© 1995-2021 Компания «Инфосистемы Джет»
Почта Банк - какие функции можно и нельзя отдавать на аутсорс ?
Информационная безопасность

На сегодняшний день многие крупные финансовые организации России используют модель аутсорсинга, передавая обслуживание элементов ИТ-инфраструктуры, в том числе ИБ-составляющую, сторонним компаниям. Мы поговорили с вице-президентом, директором по безопасности «Почта Банка» Станиславом Павлуниным о том, какие функции ИБ можно и нужно отдавать на аутсорсинг, что нельзя отдавать ни в коем случае и насколько необходим собственный ИБ-отдел.

14.10.2019

Посетителей: 296

Просмотров: 303

Время просмотра: 1.6 мин.

На сегодняшний день многие крупные финансовые организации России используют модель аутсорсинга, передавая обслуживание элементов ИТ-инфраструктуры, в том числе ИБ-составляющую, сторонним компаниям. Мы поговорили с вице-президентом, директором по безопасности «Почта Банка» Станиславом Павлуниным о том, какие функции ИБ можно и нужно отдавать на аутсорсинг, что нельзя отдавать ни в коем случае и насколько необходим собственный ИБ-отдел.
Читайте нас в Telegram

Перейти на канал

— Станислав, расскажите, по каким критериям стоит выбирать ИБ-партнера.

— Есть стандартный набор критериев, который никого не удивит. Это должна быть известная компания, уважаемая на рынке и обладающая штатом высококвалифицированных специалистов. Никто не будет отдавать свои ИБ-функции на аутсорсинг noname-компании, которая появилась ниоткуда и в штате которой работают пять человек.

— То есть новой компании-аутсорсеру не заполучить хорошего клиента?

— Рынок всегда должен развиваться, и конкуренция — это замечательно. Но в последние пять лет мы видим, как стремительно растет роль ИБ в бизнесе, информационная безопасность перестает быть стандартной support-функцией. Поэтому компания при передаче даже части этих функций на аутсорсинг должна быть максимально внимательной. Если это абсолютно новый игрок на рынке аутсорсинга, нужно детально смотреть: кто эти люди, какие у них компетенции, какие есть сертификаты.

— «Роль ИБ в бизнесе растет». Что конкретно вы имеете в виду?

— За последние несколько лет тема ИБ перешла на новый виток развития под названием «кибербезопасность». Это новые угрозы, новые схемы хищения денег, а следовательно, новые методы прогнозирования угроз и защиты. Сейчас все, что связано с кибербезопасностью, имеет особую значимость для бизнеса, но по сути это лишь новый уровень развития ИБ. Остаются стандартные методы защиты сетевого периметра, регуляторные требования, просто к ним добавляется новое техническое направление. Сейчас кибербезопасность по очевидным причинам находится в фокусе внимания практически любого банка.

— По вашему мнению, что дешевле: своя ИБ-служба или аутсорсинг? И что надежнее?

— Чтобы выбрать между собственной ИБ-службой и аутсорсингом, нужно понять, на каком уровне развития находится финансовая организация. Если это стартап, когда необходимо быстро запустить рабочие решения и при этом нет соответствующего штата, лучше выбрать аутсорсинг. Тем более что в стартапах вопросам ИБ не уделяется столько внимания, сколько задачам запуска самого проекта и достижения первых бизнес-результатов. Если мы говорим о банке или финтех-компании, которая уже некоторое время работает на рынке и показывает устойчивую прибыль, обязательно необходима собственная служба информационной безопасности.

 

«Что дешевле?» — это вопрос из разряда пофантазировать. Дешевле в деньгах и в вопросе ФОТ? Наверное, тогда аутсорсинг дешевле. С точки зрения профессионализма и репутационных рисков? Не уверен, что его можно назвать дешевым. Я давно работаю в банковском секторе, и у меня сложилось четкое мнение: в банке должна быть своя служба ИБ, которая будет полностью защищать банк, самостоятельно контролировать и эксплуатировать средства защиты информации. Это в определенном смысле инвестиционная история: сначала руководство банка инвестирует в службу ИБ, а через некоторое время становится понятно, что эти инвестиции были не напрасны. Хотя некоторые функции ИБ, конечно же, можно отдавать на аутсорсинг. 

— Например? И что нельзя передавать на аутсорсинг ни в коем случае? 

— В целом я за взвешенный подход к аутсорсу. Если есть функции, которые можно отдать наружу и это будет дешевле и проще, то лучше их отдать. Например, можно пользоваться услугами SOC (Security Operations Center) — чтобы ИБ-инциденты мониторила аутсорсинговая команда и оповещала вас о критичных срабатываниях. Здесь не должно возникнуть организационных или технических проблем, и с точки зрения финансов это обычно дешевле.

 

Но если мы говорим об эксплуатации средств защиты информации, внедрении информационных систем, то это должна делать собственная ИБ-служба. Анализ рынка, выбор решений, поставка, внедрение и сопровождение —этим должны заниматься специалисты в штате, без привлечения аутсорсера. Например, эшелонированную систему защиты ни в коем случае нельзя отдавать «на сторону». Какое решение выбрать, как его внедрять, сколько именно эшелонов защиты должно быть — все эти вопросы критичны для банка. При этом, если вы хотите, чтобы у вас была собственная высококвалифицированная служба ИБ, необходимо инвестировать в нее, искать специалистов с соответствующими компетенциями. 

— И где их стоит искать? 

— В России уже сложился ИБ-рынок, так что в банках есть немало хороших специалистов. Если же вы ищете молодых специалистов, в Новосибирске, Казани, Санкт-Петербурге и Москве есть вузы, которые обучают студентов по профилю «Защита информации». 

 

Я считаю, что проблема дефицита специалистов по защите информации стоит не так остро, как принято считать. Да, не хватает экспертов по такому молодому направлению, как Application Security. Но и они рано или поздно появятся на рынке, а если такие специалисты нужны срочно, их можно найти на рынке.

— Вернемся к ИБ-аутсорсингу. Какие плюсы и минусы этой модели вы видите и какие сложности могут возникнуть при ее использовании?

— Плюсы в том, что аутсорсинг быстрее разворачивается, он отлично подходит для стартапов и немного дешевле инвестиций в собственную команду. Минусы очевидны: в случае полного аутсорсинга вы не сможете самостоятельно управлять собственной ИБ-инфраструктурой. Сложности могут возникать из-за несоблюдения SLA, но это, скорее, вопрос конкретных договоренностей. Главное, что лично мне непонятно, — как точно определить виновного в случае ИБ-инцидента. Как разграничить зоны ответственности? Это однозначно сложный вопрос. 

— К слову о SLA, что обязательно должно быть прописано?

— Необходимо детально прописать любую ситуацию, которая может возникнуть, особенно финансовую ответственность и регламенты взаимодействия. В нашем случае SLA всегда составляют юристы, и мы в дальнейшем вносим в них правки, если это необходимо. Помимо составления SLA, необходимо регулярно проверять стоимость услуг аутсорсинга у других поставщиков — мы делаем это постоянно. Это логичный шаг для организации, которая хочет знать, на что тратятся ее деньги.

— Может ли человеческий фактор негативно повлиять на аутсорсинг?

— Информационная безопасность всегда про людей. Самое слабое звено любой системы — человек, поэтому человеческий фактор очень важен, и он, безусловно, может повлиять. У меня есть примеры из практики, когда это происходило, но я не могу их разглашать. Поэтому можем с вами пофантазировать: представьте, что у человека, который в данный момент обслуживает вашу ИБ-инфраструктуру, плохое настроение, из-за этого он невнимателен. Или он не выспался, а в итоге проигнорировал критичный сигнал, из-за чего инфраструктура «упала». Такое вполне может быть, потому что все мы люди, все мы устаем и испытываем различные эмоции.

 — Как можно оценить успешность перехода к модели аутсорсинга?

— Когда вы решаете что-то отдать на аутсорсинг, необходимо внимательно все просчитать и понять, какова конечная цель. После этого нужно поэтапно расписать, как достигнуть этой цели, и в дальнейшем регулярно сверяться с планом. К примеру, банк хочет перейти на аутсорсинг ИБ, чтобы сократить расходы, повысить скорость реакции на инциденты и избавиться от проблемы, связанной с текучестью ИБ-кадров. Соответственно, после того как переход состоялся, нужно свериться по этим трем показателям, чтобы понять, принес ли он ожидаемые результаты.

Стандарт Банка России

 

В марте 2018 года Центробанк заявил о разработке стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». В документе отмечается, что сейчас в деятельности отдельных организаций банковской системы страны существует тенденция передавать выполнение отдельных собственных бизнес-функций сторонним организациям на основании договорных отношений. Но это в большинстве случаев приводит к появлению новых рисков в деятельности организаций, включая риски нарушения ИБ. 

 

Поэтому совместно с профессиональным сообществом ЦБ разработал документ, который определяет процесс обеспечения ИБ для финансовых организаций при использовании услуг аутсорсинга. В нем определены факторы риска нарушения информационной безопасности при аутсорсинге, установлены требования к управлению ими, контролю и оценке. Также стандарт определяет зону ответственности и задачи руководства финансовых организаций при аутсорсинге услуг по обеспечению информационной безопасности, утверждает критерии оценки поставщика услуг и требования к содержанию соглашений об аутсорсинге. Документ вступил в силу 1 июля 2018 года, он предназначен для банков, НФО, субъектов национальной платежной системы и других участников финансового рынка. 

— Насколько наша банковская отрасль в целом заинтересована в приобретении ИБ-сервисов «на стороне»?

— Сервисная модель в принципе выгодна, и банки заинтересованы в получении ИБ-сервисов — например, уже упомянутых мной услуг SOC, которые позволяют не тратиться на собственную команду специалистов, работающих в режиме 24/7. Также интересна услуга Threat Intelligence. Вопрос в том, насколько эксклюзивными и экономически выгодными будут эти сторонние сервисы, каким будет уровень профессионализма компании-аутсорсера. Это должна быть сбалансированная схема, с четко понятными рисками и финансовой выгодой. Насколько мне известно, сейчас много банков выбирают ИТ-аутсорсинг, в том числе передают на обслуживание элементы ИБ-инфраструктуры. 

Уведомления об обновлении тем – в вашей почте

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня