Вопросы информационной безопасности при аутсорсинге IT-процессов компании

 

Введение

 

В настоящее время многие компании задумываются над тем, чтобы обеспечить управление IT-ресурсами не внутренними силами, а посредством передачи этой функции сторонним организациям (вывести на аутсорсинг часть процессов IT). Одна из сложных задач на пути реализации такого подхода — обеспечение режима информационной безопасности для процессов, передаваемых на аутсорсинг, и в особенности защиты от несанкционированного доступа к частной информации компании со стороны партнера или конкурента.

 

В данной статье рассмотрены основные вопросы построения эффективной системы управления информационной безопасностью при аутсорсинге IT-процессов компании, а также этапы вывода IT-процессов на аутсорсинг и механизмы выбора поставщика IT-услуг. Кроме того, затронут вопрос управления рисками при аутсорсинге IT-процессов компании. Авторы статьи, не претендуя на полный охват данной темы, попытались сформулировать основные практические рекомендации по обеспечению информационной безопасности при аутсорсинге IT-процессов компании. принципы аутсорсинга в области IT

В настоящее время применяются две модели вывода IT-процессов на аутсорсинг: эволюционная и революционная. В рамках использования эволюционной модели процессы и услуги выделяются последовательно, одна за другой, сторонним подрядчикам, при этом сотрудники IT-подразделения остаются в штате компании и постепенно передают свои функции внешним подрядчикам, сосредотачиваясь на задачах выбора поставщиков и контроля за результатами. Этот вариант позволяет анализировать все процессы, выводимые за пределы организации, и проводить анализ режима информационной безопасности для каждого процесса, определяя те мероприятия, которые нужно выполнить для обеспечения необходимого уровня информационной безопасности.

 

При использовании революционной модели IT-подразделение вместе со своими процессами выделяется в отдельное юридическое лицо (как правило, дочернее) и получает возможность оказания услуг как внешним заказчикам, так и самому предприятию. В данном случае необходимо включать новое юридическое лицо в свою систему управления информационной безопасностью и жестко регламентировать вопросы обработки конфиденциальной информации вплоть до присутствия специалистов по информационной безопасности в дочерней IT-компании.

Одним из видов аутсорсинга является привлечение в штат внутреннего IT-подразделения специалистов сторонней IT-компании. Такую услугу называют «аутстаффинг», и фактически это вырожденный тип аутсорсинга, поскольку управлением внешних IT-специалистов занимается сам заказчик. Аутстаффинг применяется в тех случаях, когда заказчик только начинает работу с внешней IT-компанией, не доверяя ей, и поэтому на первых порах строит работу с внешними специалистами под своим руководством. Фактически при таком варианте взаимодействия говорить об использовании концепции аутсорсинга преждевременно, однако вопросы информационной безопасности важны и в данном случае. Для внешних IT-специалистов необходимо ввести набор ограничений по доступу и организовать систему мониторинга над их действиями, что позволит свести к минимуму утечку конфиденциальной информации.

Наиболее совершенным и эффективным направлением аутсорсинга считается аутсорсинг бизнес-процессов. Это услуга, предоставляя которую, поставщик берет на себя ответственность как за IT-решение, так и за управление и оптимизацию бизнес-процессов заказчика. В таком варианте на аутсорсинг могут быть отданы не только сопровождение IT-решения по расчету заработной платы, но и сам расчет заработной платы персонала. Однако такая концепция в настоящее время только находит своих сторонников в России, в том числе и по причине сложности организации режима информационной безопасности.

Итак, можно сказать, что главный мотив аутсорсинга — получить IT-услуги необходимого качества, заплатив за них меньше, чем в случае использования для этого внутренних ресурсов. Понятие аутсорсинга возникает в том случае, если подрядчик выполняет регулярные действия, направленные на получение результатов, необходимых заказчику.

 

При передаче процесса на аутсорсинг можно достигнуть следующих преимуществ:

• получение более высокого уровня услуг;

• сокращение затрат на IT-инфраструктуру;

• передача и минимизация операционных рисков по процессу;

• привлечение внешних инвестиций под определенные задачи;

• концентрация на основных бизнеспроцессах.

Все это достижимо, если есть понимание того, что аутсорсером следует управлять на всех стадиях жизненного цикла процесса. Фактически при аутсорсинге вовне отдается процесс, неразрывно встроенный в основной бизнес. И чтобы этот процесс эффективно работал, необходимо создать, регламентировать и контролировать все интерфейсы между процессами, которые происходят в рамках компании, и процессами, переданными на аутсорсинг.

В числе вопросов, которые старательно обходятся аутсорсинговыми компаниями, — убытки в случае утечки конфиденциальной информации и стоимость мероприятий по организации эффективной системы информационной безопасности в компании, которая сможет обеспечить взаимодействие без рисков нарушения режима информационной безопасности. Очень часто анализ дополнительных затрат на информационную безопасность, возникающих при организации аутсорсинга, может показать невыгодность вывода на аутсорсинг процессов, связанных с обработкой конфиденциальной информации. Анализ стоимости изменения механизмов информационной безопасности в обязательном порядке должен предшествовать принятию решения об аутсорсинге.

 

Информационная безопасность при аутсорсинге IT-процессов

 

Как уже было отмечено выше, одним из важных вопросов вывода IT-процессов на аутсорсинг является информационная безопасность. Нужно понимать, что вся экономическая эффективность аутсорсинга может быть потеряна, если произойдет инцидент в части информационной безопасности, в результате которого компания может понести убытки, несравнимые с полученной от аутсорсинга экономией. Сохранение режима информационной безопасности потребует выполнения определенных требований, которым должны удовлетворять как процессы обеспечения информационной безопасности, так и другие процессы IT-подразделения. Одно из ключевых требований — налаженная система по управлению рисками информационной безопасности с целью минимизации их последствий или их полного предотвращения, а также сформированная технологическая инфраструктура, обеспечивающая минимизацию основных технологических рисков. Российский аутсорсинг, как правило, отличается повышенными требованиями заказчика к конфиденциальности. В условиях существующей системы налогообложения и «черной» бухгалтерии любая утечка информации потенциально опасна. Тем более если поставщик требует для оперативности обслуживания выделенный канал, чтобы извне решать проблемы заказчика (что создает опасность, что не только у аутсорсера есть прямой доступ к финансовой информации заказчика). Это одна из серьезнейших проблем на рынке, в силу которой организации боятся что-либо отдавать на аутсорсинг. И хотя любой сотрудник IT-компании, привлекаемый для работы по контракту аутсорсинга, подписывает соглашение о неразглашении, заказчики часто пытаются «перестраховаться», проверяя всю информацию о компаниях, с которыми придется работать.

Построение эффективной системы управления информационной безопасностью при аутсорсинге IT-процессов компании — это не разовый проект, а комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время. На рис. 1 представлен обобщенный процесс управления информационной безопасностью при выводе на аутсорсинг IT-процессов компании.

 

Описание IT-процессов компании

 

На данном этапе производится описание всех основных IT-процессов с целью последующей их классификации по степени критичности для бизнеса компании в целом и отбора процессов-кандидатов для вывода на аутсорсинг. Это необходимо для того, чтобы посмотреть на IT-процессы в общем представлении, определить входы и выходы процессов, владельцев процессов и информационные потоки. Без этой информации качественно выбрать модель аутсорсинга, определить степень важности того или иного процесса в большинстве случаев бывает затруднительно. Для описания процессов можно использовать, например, такие методологии, как ARIS и IDEF.

В основе классификации и описания процессов может находиться информация из «Библиотеки лучшего опыта в информационных технологиях (ITIL)» или стандарта по аудиту эффективности IT (CoBIT).

 

Классификация процессов компании по степени критичности для бизнеса в целом

 

Для того чтобы понять, какие IT-процессы компании можно без угрозы для бизнеса передавать на аутсорсинг, необходимо проанализировать проходящую через них информацию на предмет ее значимости для бизнеса. На этапе предварительного анализа необходимо связать процессы поддержки IT с основными бизнеспроцессами компании и на основе анализа данной взаимосвязи получить перечень информации, которая используется в процессах. С точки зрения значимости для бизнеса информацию можно сгруппировать по трем группам:

• Коммерческая тайна. Это информация, разглашение которой может нанести серьезный ущерб компании при попадании, например, к конкурентам. К данной категории относится информация обо всех ноу-хау компании, технологиях изготовления продукции или производства услуг, управленческая и финансовая отчетность, сведения о будущих сделках, клиентах и т. д. Процессы, которые обрабатывают данный тип информации (или через которые проходит данный тип информации), не рекомендуется передавать на аутсорсинг, так как они являются одной из основ бизнеса, и если компания передает часть бизнеса третьему лицу, то она рискует лишиться бизнеса в целом.

• Для служебного пользования. К данной категории информации относятся сведения о сотрудниках и их заработной плате, оперативные планы продаж на краткосрочный период, текущая бухгалтерская отчетность и т. д. Процессы, которые обрабатывают данную категорию информации, возможно передавать на аутсорсинг. При этом следует обеспечить необходимый уровень информационной безопасности от несанкционированного доступа третьих лиц, например, посредством обеспечения ее шифрования, передачи по защищенным каналам и реализации ролевого принципа доступа.

• Открытая информация. Сюда относится вся маркетинговая и рекламная информация, информация о продуктах, производимых компанией, и их декларируемых свойствах. С процессов IT, обрабатывающих данный тип информации, рекомендуется начинать вывод на аутсорсинг. Так как данные процессы содержат открытую информацию, то ошибки при выборе поставщика услуг или низкое качество сервиса смогут причинить незначительный вред компании. На данных процессах очень хорошо «обкатывать» технологию вывода IT-процессов на аутсорсинг.

Определение модели аутсорсинга IT-процессов компании

 

Эволюционную модель аутсорсинга целесообразно использовать в том случае, когда компания изначально представляет собой монолитную структуру, где IT-подразделение тесно увязано с другими подразделениями. В таких компаниях, как показывает практика, IT-процессы и IT-системы либо слабо документированы, либо взаимосвязи между ними очень сложны, а IT-систем такое множество, что невозможно сразу сформулировать требования к уровню IT-сервиса для сторонней компании поставщику услуг.

Революционную модель целесообразно использовать в случае холдинговой или сетевой организационной структуры компании. В компаниях данного типа IT-подразделения обычно располагаются в головном офисе, а филиалы или дочерние предприятия обслуживаются удаленно. В этом случае, как показывает практика, предоставление IT-сервисов стандартизировано и они достаточно технологичны для того, чтобы их все передать на аутсорсинг поставщику IT-услуг.

 

Выбор процессов для передачи на аутсорсинг

 

После того, как определены IT-процессы, классифицирована информация, которая обрабатывается в них, и выбрана модель аутсорсинга, необходимо определить те процессы, которые в большей степени обрабатывают открытую информацию и информацию для служебного пользования. Из них и выбираются процессы — кандидаты для вывода на аутсорсинг. Для них определяются требования к поставщику IT-услуг. Одним из основных требований, наряду с уровнем предоставления сервиса, являются требования к информационной безопасности, и при расчете финансовой отдачи от аутсорсинга эти затраты и риски должны быть учтены.

 

Формирование требований к поставщику IT-услуг выбранных процессов

 

С одним из авторов данной статьи в начале его карьеры произошел занимательный случай. Для нового программного продукта потребовалось создать систему лицензирования: механизм лицензирования должен был проверять наименование фирмы-владельца в зашифрованном лицензионном файле и наименование фирмы в базе данных. Так как программный продукт состоял из нескольких компонентов, потребовалось разработать систему проверки лицензии для каждого из компонентов и генератор лицензий. Автором был выбран один из стойких алгоритмов с открытым ключом, данные между модулями передавались в зашифрованном виде. В общем, с точки зрения технической реализации все вроде было на высоте. Но в одном из компонентов, разработанном третьей фирмой, который, собственно, и содержал базу данных с наименованием фирмы-владельца, использовался внутренний язык для ее настройки. И вот в этом коде наименование фирмы передавалось открытым текстом, и ничто не мешало «хитрым» разработчикам использовать одну и ту же лицензию для различных фирм посредством модификации открытого текста. Несколько месяцев труда фактически прошли напрасно.

Важный вывод из этой истории: стойкость системы к несанкционированному доступу определяется самым слабым ее компонентом. Поэтому при определении требований к информационной безопасности необходимо рассматривать весь процесс ее обработки в целом, и на каждом этапе обеспечивать требуемый уровень IT-безопасности. Требования к информационной безопасности подразделяются на технические требования и требования к поставщику. Технические требования включают в себя:

• требования к безопасности каналов передачи информации;

• требования к механизму шифрования информации;

• требования к порядку авторизации и хранения информации;

• требования к порядку хранения информации;

• требования к механизму разграничения прав доступа к информации и т. д.

Хотелось бы отметить, что стойкость шифрования характеризуется временем, необходимым для дешифровки. Требования к стойкости шифрования необходимы для того, чтобы сформировать разумный компромисс между безопасностью и стоимостью. Например, сведения о новом продукте являются коммерческой тайной только до тех пор, пока он не начнет продаваться на рынке. И дальнейшие затраты по обеспечению сохранения его в секрете не имеют смысла. В число требований к поставщику входят:

• срок работы на рынке IT-услуг;

• наличие собственных мощностей;

• уровень технической поддержки;

• наличие защищенного Data Center;

• методы организации работ и наличие сертификации по ISO 9000:2000;

• стоимость обслуживания;

• репутация поставщика и т. д.

Выбор поставщика IT-услуг

 

После того, как выбраны процессы для передачи на аутсорсинг, сформированы требования к информационной безопасности и к поставщику, можно переходить к выбору поставщика и затем — к процедуре контрактования. Одним их эффективных инструментов выбора поставщика IT-услуг является проведение открытого или закрытого тендера. На основе его результатов осуществляется осознанный выбор поставщика услуг, для чего можно рекомендовать следующий простой метод. Формируется таблица, в которой по горизонтали перечисляются требования к информационной безопасности (критические и некритические), а по вертикали приводятся наименования поставщика и уровень поддержки того или иного требования. Выигрывает тот, кто поддержит все критические требования и максимальное число остальных требований (см. таблицу 1).

 

В данном случае побеждает «Поставщик 1», так как он поддержал все критические требования заказчика. Данный подход позволит относиться к процессу выбора поставщика с формальной точки зрения, анализируя все плюсы и минусы предлагаемых решений.

 

Регламентация вопросов информационной безопасности в двухсторонних соглашениях

 

В соглашениях и договорах между заказчиком, который выводит IT-процессы на аутсорсинг, и исполнителем могут регламентироваться следующие вопросы:

• соглашение об уровне сервиса;

• соглашение о неразглашении информации;

• регламент доступа к мощностям и каналам связи, арендуемым заказчиком;

• регламент информирования о попытках несанкционированного доступа извне;

• порядок контроля заказчиком выполнения обязательств исполнителем и т. д.

В случае аутсорсинга регламентация вопросов информационной безопасности носит обязательный характер, поскольку зоны полномочий и ответственности должны быть определены заранее, и в случае инцидента нужно четко идентифицировать ответственных и определить виновных. В настоящее время наиболее часто используется такой механизм, как соглашение о неразглашении информации, но его выполнение не всегда можно проконтролировать, особенно если к конфиденциальной информации имеет доступ множество лиц. Поэтому для обеспечения режима информационной безопасности необходимы эффективные системы как у поставщика, так и у подрядчика.

 

Управление рисками в процессе аутсорсинга IT-процессов компании

 

В нашем динамично меняющемся мире информация, которая сегодня является общедоступной, уже завтра может стать коммерческой тайной. Как определить, что информация нуждается в защите? Как узнать, что процесс, который еще вчера был вспомогательным, сегодня становится основой бизнеса? Для этого необходимо на постоянной и непрерывной основе проводить анализ как внутренних процессов, так и внешних угроз. Для чего, в свою очередь, требуется умение управлять рисками. С точки зрения процессного подхода систему информационной безопасности предприятия можно представить как процесс управления рисками. Данный процесс состоит из следующих подпроцессов:

• процесса сбора (идентификации) рисков, цель которого — выявление подверженности организации угрозам, которые могут нанести существенный ущерб при аутсорсинге IT-процессов;

• процесса оценки рисков. Его цель состоит в определении характеристик рисков при аутсорсинге IT-процессов. Основным результатом (выходом) данного процесса является перечень (список) всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Дополнительным результатом данного процесса выступает перечень рисков, которые не будут отслеживаться в организации;

• процесса планирования мероприятий с целью определения сроков и перечня работ по исключению или минимизации ущерба в случае реализации риска;

• процесса реализации мероприятий, нацеленного на выполнение запланированных мероприятий по минимизации рисков и контроль качества полученных результатов и сроков их выполнения. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения;

• процесса оценки эффективности системы управления информационной безопасностью при аутсорсинге IT-процессов. Это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Ключевые показатели эффективности, по которым можно отслеживать эффективность построенной системы информационной безопасности, могут быть интегрированы в систему управления рисками и подвергаться регулярному мониторингу. Кроме того, на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты данного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005.

 

Заключение

 

В заключение хотелось бы отметить, что, хотя обеспечение информационной безопасности при аутсорсинге процессов и представляет собой достаточно сложную задачу, при системном подходе к данной проблеме и постоянном улучшении процедур описания и анализа бизнес-процессов с непрерывной оценкой рисков можно достичь значительного снижения затрат на IT в целом с одновременным улучшением качества предоставления IT-сервисов. Вместе с тем необходимо особенно внимательно подходить к принятию решений по аутсорсингу и анализировать вопросы информационной безопасности в контексте принимаемого решения.