На взгляд авторов, этот проект представляет собой гибрид между рекламным буклетом системы мониторинга и популяризирующей это направление журнальной статьей, и в этом документе не хватает только одной фразы: «Покупайте наших слонов! Наши слоны самые слонистые слоны в России! Россия родина слонов!» Авторам кажется, что подходить к проблеме аутсорсинга так узко – просто неприлично. Это же широчайшее поле деятельности! Вот и родилась идея продолжить наши диалоги, немного обобщить уже существующий опыт аутсорсинга безопасности информации (все-таки так правильнее, чем «информационной безопасности»), добавить свое видение проблемы и попытаться положить эти мысли на бумагу и расставить все точки над «i». А поможет в этом Вовка из Тридевятого царства[1], который, наверное, один из первых применил схему аутсорсинга, хотя и не всегда удачно. Что получилось – судить, как всегда, Вам, читатель.

Вместо пролога. Что же это за зверь такой – аутсорсинг?

Это вы и пальцы за меня загибать будете?

Итак, начнем от печки. Аутсорсинг (от англ. outer-source-using), использование внешнего источника и/или ресурса), – передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области. И уж конечно, это не «форма организации труда», как указано в проекте, это договорные обязательства: одна сторона поручает что-то сделать, а другая это поручение исполняет, а уж как она «организует труд» – не важно, важен процесс и результат. Правовая основа его сложна. Здесь есть элементы и аренды, и подряда, и услуги, и агентства, и поручительства. В общем, весь Гражданский кодекс. Хотя больше всего здесь именно услуги: ведь заказчик услуги не всегда ставит во главу угла конечный результат, его больше интересует процесс, который будет исполнять поставщик.

Правда, есть у аутсорсинга и отличительные черты: первая – он, как правило, предполагает долгосрочное сотрудничество поставщика (провайдера сервиса) и заказчика, хотя возможны варианты. Вторая – при аутсорсинге, как правило, передаются целые процессы (производственные, бизнес-процессы) или отдельные функции. То есть при аутсорсинге всегда есть конечный бизнес-результат, который может быть сепарирован в компании-заказчика. Третья – это то, что поставщик услуг и заказчик «сливаются в экстазе». Не всегда можно точно сказать: то ли поставщик интегрируется в структуру заказчика, то ли наоборот. В общем, они как сиамские близнецы: разорвать их уже нельзя. Вот и получается, что аутсорсинг – это содружество, можно сказать партнерство, между поставщиком услуг и заказчиком, основанное на взаимном доверии, но подкрепленное целым ворохом юридических документов.

Часть 1. Что ждать от аутсорсера

Передача функций обеспечения безопасности информации на аутсорсинг, конечно же, увеличивает риски безопасности информации. Поэтому, прежде чем принять такое решение, необходимо все взвесить и обосновать. В принципе, на аутсорсинг можно многое передать, но надо четко определиться с тем, какие функции передаются на аутсорсинг и есть ли в этом необходимость. А то можно так «напередавать», что весь бизнес про…фукать. И главное, надо идти с открытым забралом, решение о передаче чего-либо на аутсорсинг должно быть осознано руководством заказчика и задокументировано надлежащим образом.

Это вы и конфеты за меня есть будете? Ну уж нет!

На аутсорсинг могут передаваться все наиболее ресурсоемкие функции обеспечения безопасности информации, связанные с подготовкой к принятию решения по обеспечению безопасности информации, подготовкой решения по принятию рисков безопасности информации, выполнению отдельных функций безопасности информации, проведению эксплуатации, обслуживания и поддержания в работоспособном состоянии средств защиты информации, оценке соответствия установленным требованиям.

Но! На аутсорсинг не могут и не должны предаваться функции, связанные непосредственно с принятием решений по обеспечению безопасности информации и (или) выбору требуемого уровня защищенности, функции, а также связанные с принятием рисков безопасности информации. От этого зависит судьба заказчика, и поэтому выпускать решение этих проблем из своих рук нельзя, это остается прерогативой заказчика. Ответственность за обеспечение безопасности информации при передаче даже большей части функций безопасности информации поставщику услуг не может быть передана и всегда остается за заказчиком услуг. А поставщик услуг, в свою очередь, обязан будет выполнять требования документов заказчика, определяющих политику обеспечения безопасности информации.

Ну и конечно же, решая, что передавать на аутсорсинг, надо помнить о том, что законодательство содержит прямой запрет на передачу сведений, составляющих банковскую тайну (ст. 857 ГК РФ) и налоговую тайну (ст. 102 НК РФ), третьим лицам, и поэтому процессы обработки информации, связанные с предоставлением поставщику услуг возможности ознакомления со сведениями, отнесенными к банковской и налоговой тайне, не могут быть переданы на аутсорсинг.

Отношения между поставщиком и заказчиком услуг строятся на договорной основе. Здесь важно правильно оценить возможности поставщика. Дальше мы отдельно поговорим об этом, а сейчас отметим, что поставщик услуг должен иметь необходимые силы и средства для оказания услуги. Плох тот поставщик, который не может оказать услугу самостоятельно и приглашает для этого своих контрагентов. Заключение договора с поставщиками услуг, допускающими привлечение третьих лиц (контрагентов) для оказания услуги в рамках договора, нецелесообразно. Поставщик услуг должен иметь необходимые лицензии на выполнение работ и оказание услуг, предусмотренных законодательством Российской Федерации, квалифицированный персонал, процессы, методологии, технологии, необходимые для оказания услуги, и надежную репутацию. При заключении договора на оказание услуг очень важно определить конечный результат оказания такой услуги и критерии, позволяющие оценить результативность и качество исполнения услуги. Заказчик услуги должен вести надлежащий контроль за качеством исполнения услуги и ее результативностью. Поставщик услуг обязан предоставить заказчику услуг возможность и необходимые инструменты для осуществления такого контроля, в том числе и с привлечением независимых экспертов.

Часть. 2 Что может аутсорсер

Как уже отмечали авторы, поставщик услуг может многое. Конечно, конкретные характеристики услуг (сервисов) безопасности информации зависят от возможностей и ресурсов поставщика услуг и определяются наличием у него квалифицированного персонала, отлаженных процессов и методологии, а также технологий защиты информации.

- Вы правда, что ли, всё-всё за меня делать будете? - Ага!

Чтобы иметь представление о том, что же он может на самом деле, надо все возможные услуги (сервисы) проклассифицировать и разложить по полочкам. Попробуем это сделать.

На основе анализа существующих на рынке услуг, предоставляемых различными поставщиками услуг (провайдерами), все услуги (сервисы) безопасности информации можно разделить на несколько основных групп:

1. Управленческие сервисы безопасности информации.

a. Услуга по организации (налаживанию) процесса обеспечения БИ

b. Услуга по разработке (пересмотру) документов, определяющих политику БИ

c. Услуга по управлению рисками БИ в организации

d. Услуга по разработке архитектуры БИ в организации

2. Операционные сервисы безопасности информации

a. Услуга повышения осведомленности (обучения) персонала организации

b. Услуга управления безопасностью информации

c. Услуга расследования инцидентов безопасности информации (форензика)

d. Услуга технического обслуживания средств защиты информации

3. Технологические сервисы безопасности информации

a. Услуга по реализации мер защиты

b. Услуга по предоставлению защищенной инфраструктуры ИС

c. Услуга по оценке безопасности продуктов и ИС

d. Услуга по безопасной разработке прикладного программного обеспечения

e. Услуга по обработке защищаемой информации.

Каждый из элементов сервисов может быть самостоятельной услугой, а может входить в портфель услуг, предоставляемых поставщиком одним чохом. Посмотрим, из чего состоят те или иные услуги.

Управленческие сервисы безопасности информации

Услуга по организации (налаживанию) процесса обеспечения безопасности информации (БИ) является комплексной, состоящей из множества элементов, и рассчитана на среднесрочное сотрудничество поставщика услуг с заказчиком услуг. Услуга применяется, как правило, когда требуется усовершенствовать имеющуюся систему обеспечения безопасности информации либо повысить уровень зрелости к обеспечению безопасности информации, а заказчик услуг не имеет работников требуемого уровня компетенции или такие работники заняты на выполнении других ответственных задач. В ходе оказания данной услуги поставщик услуг на основе проведения независимой оценки состояния обеспечения безопасности информации у заказчика услуг или изучения результатов аналогичных оценок, проведенных ранее собственными силами заказчика или с привлечением им подрядчиков, формирует оптимальный проект (!) плана организации процесса обеспечения безопасности информации, определяет критерии (метрики) оценки эффективности принимаемых управленческих решений по обеспечению безопасности информации и, используя собственные ресурсы, налаживает все процессы обеспечения безопасности информации у заказчика. Услуга включает в себя полностью или частично:

- оценку угроз и рисков безопасности информации;

- оценку уровня зрелости организации к обеспечению БИ;

- выбор уровня защищенности ИС;

- разработку плана обеспечения БИ;

- разработку метрик оценки эффективности БИ;

- разработку процедуры планирования обеспечения БИ;

- разработку процедур контроля состояния БИ;

- разработку процедур отчетности о состоянии БИ;

- разработку процедуры обработки инцидентов БИ;

- разработку процедуры восстановления состояния БИ после прерывания.

Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и уровня ее зрелости к обеспечению безопасности информации.

Еще раз обратим внимание, что поставщик услуг только подготавливает и обосновывает решение по обеспечению безопасности информации, а само решение принимается руководством заказчика и претворяется в жизнь после его одобрения.

Услуга по разработке (пересмотру) документов, определяющих политику безопасности информации, также является комплексной и рассчитана на периодическое краткосрочное сотрудничество поставщика услуг и заказчика. Услуга применяется на этапе формирования системы обеспечения безопасности информации или с определенной периодичностью, установленной для пересмотра документов, определяющих политику обеспечения безопасности информации, при отсутствии необходимых компетенций у работников заказчика услуг либо в случае возможного нарушения основных процессов обеспечения безопасности информации заказчика услуг за счет отвлечения штатных работников для пересмотра документов. Услуга включает в себя полностью или частично:

- разработку документов стратегического планирования обеспечения БИ;

- разработку документов оперативного управления обеспечением БИ;

- разработку документов текущего планирования обеспечения БИ;

- разработку регламентов выполнения процедур обеспечения БИ;

- разработку методик оценки и управления рисками БИ;

- разработку плана ликвидации нештатных ситуаций.

Перечень указанных элементов услуги также не является окончательным и зависит от конкретных потребностей заказчика, принятой у него системы организационно-нормативных документов и локальных нормативных актов и уровня ее зрелости к обеспечению безопасности информации.

При оказании услуги по разработке (пересмотру) документов поставщик услуги может содействовать заказчикам в анализе существующих и разработке новых документов, определяющих политику безопасности информации, внутренних (корпоративных) стандартов, руководящих принципов и процедур. При этом полномочия по утверждению данных документов, введению их в действие и ответственность за принятые решения остаются прерогативой заказчика.

Услуга по управлению рисками безопасности информации рассчитана на среднесрочное или долгосрочное сотрудничество поставщика услуг с заказчиком. Услуга применяется при уже сформированной системе обеспечения безопасности информации, когда у заказчика отсутствуют необходимые ресурсы для своевременного мониторинга рисков безопасности информации или на начальном этапе, когда работники заказчика еще не достигли требуемого уровня компетенции по управлению такими рисками, и предполагает:

- разработку Руководства по управлению рисками безопасности информации;

- оперативное управление рисками и выработку рекомендаций по их снижению;

- проведение оценки рисков безопасности информации;

- разработку плана по снижению рисков информации.

При оказании услуги по управлению рисками безопасности информации поставщики услуг могут содействовать заказчикам в организации процедуры управления рисками, выполнению необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций по снижению рисков. При этом заказчик услуг всегда остается ответственным за принятые решения по управлению рисками. В случае, если заказчик услуг уже имеет программу по управлению рисками безопасности информации, данная услуга, как правило, сводится к аудиту такой программы на предмет ее эффективности.

Услуга по разработке архитектуры безопасности информации относится к процессу подготовки решения по стратегическому планированию и развитию инфраструктуры безопасности информации. Услуга применяется на этапе проектирования и создания системы обеспечения безопасности информации и обуславливается необходимостью наличия специальных лицензий на выполнение работ по проектированию защищенных информационных систем, а также большими затратами по времени и привлечением квалифицированных ресурсов. Услуга носит разовый (но продолжительный) характер и предполагает:

- сбор необходимых исходных данных, инвентаризацию ресурсов и процессов БИ;

- определение бизнес-потребностей в обеспечении безопасности информации;

- определение функциональных требований к системе обеспечения безопасности;

- инвентаризацию и оценку технологий, которые позволят обеспечить БИ;

- разработку методики выбора решений по обеспечению БИ;

- разработку и защиту проекта архитектуры системы БИ;

- разработку системы контроля (мониторинга) состояния БИ.

При оказании услуги по разработке архитектуры безопасности информации поставщики услуг могут содействовать заказчикам услуг в выполнении необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций. При этом заказчик остается ответственным за принятые решения по выбору архитектуры безопасности информации на основе представленных рекомендаций.

Операционные сервисы безопасности информации

Услуга повышения осведомленности (обучения) персонала организации может носить как среднесрочный, так и периодический краткосрочный характер. Услуга применяется при уже сформированной системе обеспечения безопасности информации и обуславливается необходимостью владения специальными методиками обучения и развития навыков, наличия опыта слаживания коллектива, глубокого знания теоретических основ обеспечения безопасности информации и предполагает:

- разработку индивидуальных программ обучения работников основам обеспечения БИ;

- проведение тренингов, семинаров, воркшопов с работниками;

- обучение применению конкретных средств защиты;

- проведение периодических инструктажей работников по вопросам обеспечения БИ;

- подготовку рекомендаций по совершенствованию системы подготовки работников.

Услуга управления безопасностью информации относится к долгосрочным услугам и направлена на создание эффективного механизма управления процессами обеспечения безопасности информации при минимальных затратах на содержание обслуживающего персонала. Услуга основана на необходимости проведения достаточно сложной и квалифицированной работы по определению взаимосвязи (корреляции) между разрозненными событиями безопасности информации и выявлению возникающих событий, влияющих на ее состояние, а также выработки правил контроля за работоспособностью средств защиты информации. Услуга предполагает разработку регламентов устранения инцидентов и разделения полномочий по обработке инцидентов с передачей функций контроля и первичной аналитической обработки поставщику услуг, а также передачей ему прав управления (администрирования) средствами защиты информации. Услуга включает в себя:

- анализ возможных инцидентов и определение взаимосвязи событий;

- формирование базы решающих правил для обнаружения событий БИ;

- контроль (мониторинг) установленных безопасных конфигурации ИС и настроек СЗИ;

- администрирование средств защиты информации;

- консультационно-юридическую поддержку процессов обеспечения БИ.

Услуга расследования инцидентов безопасности информации (форензика) является эпизодической или может носить долговременный характер (абонентское обслуживание). Услуга основана на необходимости наличия глубоких компетенций в юридической и технологических областях, а также анализа существующей судебной практики. Услуга требует использования специального программного обеспечения для сбора, анализа и фиксации данных об инциденте и предполагает:

- восстановление хронологии событий при инциденте;

- обнаружение используемых инструментов совершения противоправных действий;

- сбор и фиксацию доказательной базы по инциденту;

- установление источника инцидента;

- оценку масштаба произведенных действий и возможных последствий;

- подготовку рекомендаций по устранению инцидента и недопущению его в дальнейшем;

- установление виновного и причин его действий.

При оказании услуги расследования инцидентов поставщик услуги может оказывать содействие заказчику услуги в юридическом оформлении результатов расследования для передачи в компетентные органы, проведении независимых и судебных криминалистических экспертиз.

Услуга технического обслуживания средств защиты информации является среднесрочной или долгосрочной. Услуга обуславливается необходимостью наличия специальных лицензий на выполнение работ по техническому обслуживанию (например, для СКЗИ), отсутствием у заказчика работников требуемого уровня компетенции или когда такие работники заняты на выполнении других ответственных задач. Состав услуги определяется текущими потребностями заказчика и составом применяемых средств защиты информации.

Технологические сервисы безопасности информации

Услуга по реализации мер защиты является, как правило, долгосрочной и применяется при использовании арендуемой инфраструктуры для размещения информационной системы или передаче наиболее ресурсоемких функций обеспечения безопасности информации поставщику услуг. Такая услуга может быть оказана в различных комбинациях элементов услуги, предполагающих управление:

- средствами межсетевого экранирования ИС;

- средствами обнаружения вторжений в ИС;

- средствами защиты от DDoS-атак;

- средствами контентной фильтрации электронной почты;

- средствами защиты Web-приложений;

- средствами антивирусной защиты;

- средствами сбора и обработки информации об инцидентах;

- системами идентификации и аутентификации пользователей.

Услуга требует обязательной разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров передаваемых функций безопасности информации, определения порядка контроля за исполнением функций безопасности информации со стороны заказчика.

Услуга по предоставлению защищенной инфраструктуры для ИС также носит долгосрочный характер и характерна при использовании (аренде) инфраструктуры для размещения информационной системы или ее элементов в ЦОД или при аренде элементов инфраструктуры у поставщиков услуг. Она предполагает представление в пользование заказчику:

- инфраструктуры защищенной электронной почты;

- защищенных каналов связи;

- инфраструктуры открытых ключей;

- защищенного сегмента инфраструктуры ИС в ЦОД.

Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и имеющейся у него инфраструктуры. Услуга требует обязательного подтверждения со стороны независимой экспертной организации возможности предоставления защищенной инфраструктуры поставщиком услуг, разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров функций безопасности информации, реализуемых предоставляемой инфраструктурой, и порядка контроля за исполнением функций безопасности информации со стороны заказчика.

Услуги по оценке безопасности продуктов и ИС могут носить как разовый (эпизодический), так и постоянный (периодический) характер. Применимость услуги обуславливается сложностью и трудоемкостью процедур оценки безопасности продуктов и ИС, необходимостью наличия специализированного стендового оборудования, методик и квалифицированного персонала. Услуга применяется как на этапе создания (модернизации) системы обеспечения безопасности информации, так и при периодических оценках соответствия информационной системы установленным требованиям безопасности информации. Услуга предполагает:

- проведение периодического анализа уязвимостей и тестирование ИС;

- проведение контроля безопасности кода программного обеспечения;

- проведение сертификации средств защиты информации;

- проведение периодической оценки соответствия ИС требованиям по БИ.

Услуга по безопасной разработке прикладного программного обеспечения предполагает не только собственно разработку программного обеспечения, но и его поддержку в ходе эксплуатации, устранение выявленных уязвимостей, совершенствование механизмов защиты, применяемых в программном обеспечении. Применимость услуги обуславливается ресурсоемкостью процесса разработки прикладного программного обеспечения, необходимостью глубокого знания стандартов и методик разработки безопасного программного обеспечения, проведения значительного объема тестовых испытаний по поиску и устранению уязвимостей. Услуга применяется на этапе создания (модернизации) информационной системы.

Услуга по обработке защищаемой информации носит долгосрочный характер и применяется в случае отсутствия у заказчика необходимой инфраструктуры и специалистов и предполагает передачу поставщику услуг всего цикла обработки информации. Данная услуга наиболее характерна для малых и микроорганизаций. При оказании данной услуги заказчик услуг, передавая весь процесс обработки информации поставщику услуг, остается ответственным за обеспечение безопасности информации. Данная услуга связана с допуском работников поставщика услуг к защищаемой информации в полном объеме и требует тщательного документирования необходимых требований по обеспечению безопасности информации и порядка взаимодействия сторон.

Часть 3. Ворох документов

- Замесить и нарубить!

Привлекая поставщика услуг, заказчик пускает его в свою жизнь, встраивает в свои бизнес-процессы. И зачастую, отказаться от услуг поставщика бывает сложнее, чем начать отношения с ним. Поэтому правила игры надо выстраивать еще на берегу, до того, как приступить к потреблению благ от поставщика. Здесь важно все грамотно юридически оформить, чтобы в дальнейшем не было мучительно больно за бесцельно потраченные деньги. Поэтому и требуется целый ворох правильных документов, охватывающий все аспекты дальнейшего сотрудничества между поставщиком и заказчиком услуг. Пакет документов при передаче функций (процессов) обеспечения безопасности информации поставщику услуг должен включать в себя:

- договор с поставщиком услуг;

- соглашение об уровне предоставления услуг (SLA);

- соглашение о конфиденциальности (NDA);

- требования по безопасности информации (для отдельных видов услуг);

- поручение на обработку защищаемой информации (для отдельных видов услуг);

- регламент взаимодействия.

Договор с поставщиком услуг

Договор с поставщиком услуг по своей сути является комплексным договором, но в своей основе относится к договорам возмездного оказания услуг, при котором ценностью для заказчика являются сами действия исполнителя в ходе оказания услуги как процесс, а не достижение поставщиком определенного результата. Такой договор оформляется в соответствии с требованиями ст. 779 ГК РФ, которая предусматривает совершение определенных действий или осуществление определенной деятельности поставщиком услуг. Исключение составляет договор на передачу обработки защищаемой информации поставщику услуг, который заключается как договор поручения в соответствии со ст. 971 ГК РФ.

Существенными условиями договора возмездного оказания услуг являются предмет договора (осуществление определенных действий или определенной деятельности) и цена. В договоре должны быть четко указаны перечень услуг и конкретные действия, которые поставщик услуг обязан совершить для заказчика. Можно, конечно, не указывать в договоре конкретный объем услуг, если он определяется в дополнительных соглашениях между сторонами. В договоре, в зависимости от оказываемых услуг, также должны быть отражены:

- обязанность поставщика услуг оказывать услуги личным исполнением;

- уровень качества оказываемых услуг;

- обязанность обеспечения безопасности информации поставщиком услуг;

- обязанность поставщика услуг не раскрывать третьим лицам и не распространять защищаемую информацию;

- обязанность поставщика услуг принять технические и организационные меры защиты в соответствии с требованиями заказчика услуг;

- обязанность поставщика услуг провести оценку эффективности принятых мер защиты;

- обязанность поставщика услуг соблюдать согласованные показатели качества услуг;

- право и возможность оператора осуществлять проверку (контроль) принятых мер защиты (аудита безопасности), в том числе с привлечением третьей независимой стороны;

- право оператора осуществлять проверку (оценку) качества выполнения услуги;

- санкции за нарушение мер защиты и за невыполнение согласованных ключевых параметров качества услуг и порядок возмещения ущерба;

- состав услуг, поддерживаемых поставщиком услуг в случае возникновения чрезвычайных ситуаций;

- порядок приемки оказанных услуг.

Чтобы облегчить себе жизнь в дальнейшем, при подготовке договора надо стремиться к включению в него положений, обеспечивающих полную компенсацию ущерба от нарушения мер защиты и невыполнения согласованных параметров качества, включая репутационный и моральный ущерб, без обращения в суд.

В договоре также целесообразно указать услуги (сервисы), которые будут поддерживаться поставщиком услуг в случае возникновения чрезвычайных ситуаций, а также возможность проведения независимого аудита обеспечения безопасности информации со стороны поставщика услуг третьей независимой стороной.

Обычно поставщик услуг предоставляет некоторый период тестирования своей услуги для принятия окончательного решения о ее предоставлении. Но если перед заключением договора этап тестирования предоставляемой услуги не проводится, в договор надо включить положение, по которому в течение определенного периода услуги оказываются бесплатно, и заказчик в течение этого периода вправе расторгнуть договор без каких-либо санкций и обязательств.

Все положения договора возмездного оказания услуг должны быть согласованы сторонами. К договору могут быть приложены в качестве неотъемлемой части договора остальные документы из состава пакета договорных документов.

Соглашение об уровне предоставления услуг (SLA)

Соглашение об уровне предоставления услуг (SLA) – это формальный договор между заказчиком и поставщиком услуги, гарантирующий предоставление услуги с уровнем качества не ниже согласованного и содержащий:

- описание состава предоставляемой услуги (сервиса);

- обязательства поставщика услуг и условия предоставления услуг;

- права и обязанности сторон, описание и распределение зон ответственности;

- согласованный уровень качества услуги (перечень ключевых параметров качества);

- описание расчета ключевых параметров качества и частоты отчетов;

- методы и средства контроля ключевых параметров качества;

- описание процедуры контроля за исполнением соглашения;

- описание процедуры отчетов о проблемах и условия эскалации проблем;

- описание процедуры восстановления работы в случае перебоев;

- описание процедуры решения рассогласований (спорных вопросов);

- описание процедуры запросов на изменение;

- описание порядка платежей, связанных с оказанием услуги (сервиса).

Описание состава услуги, предоставляемой поставщиком услуг, должно содержать:

- стороны, вовлеченные в соглашение, и сроки действия соглашения;

- общее описание услуги;

- функции безопасности информации, реализуемые поставщиком услуг;

- состав используемого программного и аппаратно-программного обеспечения;

- местоположение оборудования, используемого для оказания услуги;

- каналы связи, используемые поставщиком услуг для оказания услуги;

- состав входящей информации, обеспечивающей выполнение услуги;

- процедуры, используемые поставщиком услуг и порядок их применения;

- стандарты безопасности информации, используемые поставщиком услуг;

- наличие необходимых лицензий у поставщика услуг на выполнение работ;

- наличие лицензий на использование задействованного программного обеспечения;

- состав работников, занятых для оказания услуги, их функции, роли и обязанности;

- уровень квалификации работников, занятых для оказания услуги;

- состав ведущейся поставщиком услуг документации и отчетность по услуге.

Контрольные параметры качества услуги (сервиса), вносимые в соглашение, должны быть измеримыми и представляться в виде числовых метрик. Состав ключевых параметров качества зависит от состава заказываемых услуг. Для выбора ключевых параметров качества рекомендуется использовать стандарты ITIL и COBIT. Например, в качестве параметров качества услуги могут выступать:

- Время реакции на обращение пользователя – время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение пользователя о проблеме) до момента фактического начала работ по факту обращения.

- Время решения проблемы – время, прошедшее с момента фактического начала работ над проблемой до закрытия заявки. Временем начала работы над проблемой считается момент отправки заказчику уведомления о начале работ. Временем решения проблемы считается момент отправки заказчиком сообщения, подтверждающего закрытие заявки.

- Время жизни инцидента – суммарное время, прошедшее с момента поступления и регистрации обращения, до момента закрытия заявки на обслуживание.

- Минимальное время реакции исполнителя – минимальное время, необходимое поставщику услуг при аварийных ситуациях для устранения их последствий.

- Уровень брака – это количественное или процентное выражение количества сбоев, включающее в себя число отказов за отчетный период, число случаев несоблюдения сроков и случаев предоставления услуги неприемлемого качества, приведших к необходимости ее повторного оказания.

- Техническое качество – в случае разработки приложений в режиме аутсорсинга этот критерий определяет уровень технического качества предоставленного программного кода. Контроль за этим параметром обычно осуществляется при помощи коммерческих программных инструментов, проверяющих такие характеристики, как длина кода, уровень структурированности, уровень сложности, а также погрешности кода.

- Доступность услуги – количество времени или временной промежуток, в котором услуги, предоставляемые поставщиком услуг, остаются доступными. Параметр может принимать значения «да» или «нет». Оговаривается допустимый уровень (максимальное время недоступности).

- Средняя доступность услуги – среднее количество сбоев (фактов, когда предоставляемые поставщиком услуги остаются доступными) за период предоставления услуги.

- Удовлетворенность сервисом – степень удовлетворенности заказчика услуг уровнем предоставленной поставщиком услуги (сервиса). Параметр определяется отдельно для каждой значимой функции при помощи внутренних и внешних опросов. Опросы могут проводиться нейтральной третьей стороной.

Количество параметров качества услуги (сервиса), вносимых в соглашение, должно быть минимальным, но достаточным для проведения объективной оценки качества предоставляемой услуги. При выборе значений показателей параметров качества услуги (сервиса) можно исходить из текущего состояния процесса, передаваемого на аутсорсинг. Установленные параметры должны быть достижимы в текущей обстановке и при существующих обстоятельствах. При определении метрик параметров качества услуги (сервиса) необходимо учитывать, что разные работники заказчика могут требовать разных условий оказания одних и тех же услуг.

В соглашении об уровне предоставления услуг должна быть также отражена ответственность заказчика при использовании услуги (сервиса), например:

- необходимость подготовки и поддержки соответствующих конфигураций оборудования и программного обеспечения;

- соблюдение правил настройки и проведения регламентных работ;

- процедура изменения согласованной конфигурации.

Соглашение об уровне предоставления услуг требует периодического пересмотра и внесения изменений в случаях изменения:

- внешних обстоятельств;

- ожиданий и/или потребностей заказчика;

- рабочей нагрузки;

- появление лучших средств, процедур и параметров измерения качества услуг.

Соглашение о конфиденциальности (NDA)

Соглашение о конфиденциальности (NDA) – это формальный договор между заказчиком и поставщиком услуги, направленный на урегулирование вопросов обмена информацией, подлежащей защите, и создания правового основания для возложения на виновную в нарушении конфиденциальности информации сторону обязанности по компенсации убытков невиновной стороне.

Соглашение о конфиденциальности является одной из мер по защите информации, но самостоятельно не является достаточным механизмом защиты информации. Для создания правовой основы действия Соглашения о конфиденциальности как правового механизма, позволяющего защитить коммерческую тайну, у заказчика должен быть введен режим коммерческой тайны в соответствии с законодательством Российской Федерации, а само соглашение должно учитывать требования этого законодательства и включать следующие существенные условия:

- предмет соглашения, определение конфиденциальной информации;

- формы и способы предоставления конфиденциальной информации;

- условия обеспечения конфиденциальности информации;

- сроки действия режима конфиденциальности информации;

- права и обязанности сторон по сохранению конфиденциальности информации;

- допустимость раскрытия конфиденциальной информации в определенных случаях;

- ответственность за нарушение Соглашения о конфиденциальности;

- порядок разрешения споров.

При определении предмета соглашения необходимо закрепить в Соглашении о конфиденциальности полный перечень информации, которая не подлежит разглашению и требует защиты. Целесообразно использовать перечень (выписку из перечня) информации, составляющий коммерческую тайну у заказчика. Необходимо также в данный перечень включать информацию, подлежащую защите в силу закона (персональные данные, банковская тайна и др.) и которая может стать известной поставщику услуг при оказании услуги.

При определении форм и способов представления информации необходимо исходить из того, что информация может передаваться как в письменной или электронной форме, так и устно. При этом необходимо определить порядок маркирования (нанесения грифа, атрибутирования) на носители информации и порядок фиксирования конфиденциальности устной информации.

При определении условий обеспечения конфиденциальности необходимо:

- определить состав мер, которые надлежит исполнить для защиты информации;

- регламентировать порядок защиты, хранения, обмена (предоставления) информации;

- установить порядок допуска работников поставщика услуг к защищаемой информации;

- определить порядок возврата и/или уничтожения информации по окончании услуги.

Сроки действия режима конфиденциальности определяются по согласованию сторон, но не могут быть меньше сроков хранения документов и соблюдения конфиденциальности, установленных законодательством Российской Федерации для различных видов информации.

При определении прав и обязанностей сторон в Соглашении о конфиденциальности необходимо отразить право заказчика осуществлять контроль за соблюдением установленного режима защиты информации и обязанность поставщика услуг предоставлять возможность такого контроля. Необходимо также оговорить право сторон на обращение в суд за разрешением спорных вопросов и истребованием понесенных убытков (ущерба).

В Соглашении о конфиденциальности должны быть оговорены случаи, при которых допускается раскрытие конфиденциальной информации, предусмотренные законодательством.

Меры ответственности сторон за нарушение Соглашения о конфиденциальности определяются в соответствии с общими нормами, установленными ст. ст. 15, 330, 394 ГК РФ, и могут включать как возмещение убытков в полном объеме, так и реального ущерба.

При определении порядка разрешения споров целесообразно использовать обязательный претензионный досудебный порядок разрешения споров.

Требования по безопасности информации

Составление Требований по безопасности информации характерно для технологических сервисов безопасности информации и в частности при оказании услуг:

- по реализации мер защиты;

- по предоставлению защищенной инфраструктуры ИС;

- по обработке защищаемой информации.

Не будем забывать, что ответственность за правильный выбор мер защиты и формирование требований к механизмам и функциям защиты лежит на заказчике. В случае если поставщик услуг в рамках оказания услуги проводит оценку угроз безопасности информации и состояния защищенности информационной системы заказчика, он может подготовить предложения по необходимым требованиям безопасности информации, однако окончательное решение о достаточности данных требований принимает непосредственно заказчик.

Требования по безопасности информации, которые надлежит выполнить поставщику услуг, могут быть оформлены в виде ссылки на необходимость выполнения требований, изложенных в руководящих и методических документах ЦБ РФ, ФСТЭК России и ФСБ России для соответствующего класса защищенности используемых средств защиты, либо как самостоятельный документ, описывающий конкретные функции (механизмы) безопасности и их параметры, которые должны быть реализованы при оказании услуги.

В качестве методического материала при выборе требований к механизмам (функциям) безопасности информации можно использовать «Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах», утвержденный 11.02.2014 г.

Поручение на обработку защищаемой информации

Поручение на обработку информации характерно при передаче поставщику услуг обработки информации (технологический сервис), в том числе обязательно для сведений, содержащих персональные данные. При этом поручение должно содержать:

- цель обработки и состав персональных данных, подлежащих обработке;

- перечень действий (операций) поставщика услуг с обрабатываемой информацией;

- уровень защищенности ИС, который должен быть обеспечен;

- требования к защите обрабатываемой информации;

- порядок уничтожения информации по завершении ее обработки;

- порядок оценки эффективности принятых мер защиты.

Регламент взаимодействия

Регламент взаимодействия – документ, определяющий порядок взаимодействия подразделений и работников поставщика услуг и заказчика в рамках процесса предоставления услуги (сервиса). Регламент представляет собой свод правил принятия решений исполнителями в разных ситуациях и позволяет организовать горизонтальные взаимодействия подразделений и/или работников поставщика услуг и заказчика услуг. Регламент должен содержать:

- терминологию, используемую при оказании услуги;

- состав процессов, регулируемых регламентом;

- порядок инициирования, выполнения, эскалации и закрытия регулируемых процессов;

- порядок контроля исполнения процессов.

В качестве формы регламента можно использовать ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов».

Регламент может содержать описание процессов взаимодействия подразделений и/или работников поставщика услуг и заказчика при:

- нештатных ситуациях;

- инцидентах безопасности информации;

- при эскалации возникающих проблем;

- осуществлении контроля и мониторинга качества предоставляемых услуг;

- размещении и эксплуатации оборудования и программного обеспечения;

- обеспечении физического допуска на объекты поставщика услуг.

Конкретный состав регламентируемых процессов определяется объемом и составом предоставляемых услуг. При описании регламентируемых процессов надо указывать:

- событие, запускающее процесс;

- событие, завершающее процесс;

- срок выполнения процесса;

- место выполнения процесса;

- функции (действия), выполняемые в рамках процесса;

- правила и методы выполнения процесса;

- исполнителей процесса;

- права и ответственность исполнителей;

- средства документирования процесса;

- средства контроля выполнения процесса.

К событиям, запускающим процесс (наступление определенных условий), как правило, относятся:

- получение внешнего сигнала или воздействия (должны быть указаны допустимый вид и источник такого сигнала);

- инициатива определенных работников (право инициативы должно быть установлено нормативным актом);

- достижение определенных (критических) значений контролируемыми параметрами (должны быть указаны величины значений);

- наступление определенных сроков (календарных или относительных);

Событие, завершающее процесс, состоит, как правило, в получении всех требуемых выходных объектов и достижении цели регулируемого процесса. Момент события, завершающего процесс, как правило, жестко связан с моментом учета выполнения данного процесса.

Срок выполнения процесса задается либо как общая продолжительность процесса с момента запуска процесса до момента его завершения, либо как требуемое время завершения процесса. Для учета выполнения процесса рекомендуется в регламенте предусмотреть порядок фиксации моментов запуска и завершения процесса.

Функции (действия), выполняемые в рамках процесса, должны соответствовать функциям, установленным в должностных инструкциях, положениях о подразделениях.

В регламенте указываются конкретные исполнители процесса. В случае если указать конкретного исполнителя невозможно, в рамках регламента надо определить роль (совокупность функций, прав и ответственности), необходимую для выполнения регулируемого процесса, и установить порядок определения конкретного работника, исполняющего данный процесс. Указываемый исполнитель должен соответствовать масштабу процесса.

В регламенте четко фиксируются моменты передачи управления процессом (или передачи объектов процесса) от одного исполнителя к другому.

Как приложение к регламенту могут оформляться графические схемы процессов, описываемых регламентом, которые служат для иллюстративных, облегчающих понимание регламента целей и не заменяют собой текст регламента. Такие схемы, как правило, оформляются для часто повторяющихся процессов.

Часть 4. Кто лучше?

Действительно, кто лучше? Кого выбрать поставщиком услуг безопасности информации? Вопрос далеко не праздный. Авторы уже не раз отмечали, что отношения между поставщиком услуг и заказчиком строятся на доверии. А доверие, в свою очередь, определяется той степенью осведомленности заказчика о деятельности поставщика, которую он может себе позволить. Поэтому на предварительном этапе необходимо сосредоточиться на всесторонней оценке претендента и подходить к этому так, как подходит расчетливая будущая теща к выбору будущего зятя. К оценке поставщика услуг надо привлекать все силы службы собственной безопасности заказчика, риск-менеджеров и всех, кто отвечает за оценку контрагентов. Такая оценка должна проводиться на основе сбора и анализа информации, имеющейся в открытом доступе, а также сведений, предоставляемых самими поставщиком услуг или полученных в ходе предварительных переговоров. Каждый поставщик должен соответствовать тем требованиям, которые выдвигает заказчик. А требования эти могут быть как объективные, так и субъективны.

Объективные требования к поставщику услуг

При выборе поставщика услуг (сервисов) безопасности информации необходимо удостовериться в наличии у него:

- необходимых лицензий;

- необходимых ресурсов производственных мощностей;

- системы менеджмента сервисами и качеством;

- квалифицированных кадров;

- опыта оказания аналогичных услуг;

- аттестата соответствия требованиям безопасности или

- заключения независимых экспертов.

Большинство видов услуг (сервисов) безопасности информации, а также передачи информации относятся к лицензируемым видам деятельности. В соответствии с законодательством Российской Федерации поставщик услуг должен иметь действующую на все время оказания услуги и на территории, на которой осуществляет деятельность заказчик услуги:

- Лицензию на оказание телематических услуг связи[2] – для поставщиков операционных и технологических сервисов, связанных с предоставлением хостинга, доступа в интернет, электронной почты, доступа к информации с использованием инфокоммуникационных технологий.

- Лицензию на оказание услуг по предоставлению каналов связи в соответствии[3] – для поставщиков технологических услуг (услуга по предоставлению защищенной инфраструктуры ИС), связанных с предоставлением (арендой) каналов связи.

- Лицензию на деятельность по технической защите конфиденциальной информации[4], в том числе на проектирование в защищенном исполнении средств и систем информатизации, установку, монтаж, испытания, ремонт средств защиты информации, защищенных программных (программно-технических) средств обработки информации – для всех поставщиков сервисов (услуг) безопасности информации.

- Лицензию на деятельность по технической защите конфиденциальной информации[5], в том числе контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации – для поставщиков управленческих сервисов безопасности информации.

- Лицензию на предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[6] – для поставщиков технологических сервисов (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с использованием средств криптографической защиты информации.

- Лицензию на предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[7] – для поставщиков технологических сервисов (услуга по предоставлению защищенной инфраструктуры ИС, услуга по обработке защищаемой информации, услуга по реализации мер защиты), связанных с использованием имитозащиты обрабатываемой информации.

- Лицензию на предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации[8] – для поставщиков технологических сервисов, связанных с предоставлением (арендой) каналов связи.

- Лицензию на изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств[9] – для поставщиков технологических сервисов безопасности информации (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с формированием и использованием сертификатов электронных подписей или формированием исходной ключевой информации.

Оценка необходимых ресурсов и производственных мощностей поставщика услуг связана с тем, что при оказании услуги заказчик услуги непосредственно присутствует в процессе, передаваемом на аутсорсинг, а также с необходимостью индивидуализации предоставляемого сервиса под нужды заказчика. При изучении наличия необходимых ресурсов и производственных мощностей поставщика услуг необходимо оценить:

- объемы выделяемых ресурсов для предоставления услуги;

- наличие у поставщика услуг собственных средств и специалистов;

- наличие и достаточность для оказания услуги производственных площадей;

- номенклатуру (спецификацию) имеющихся у поставщика услуг средств и ресурсов;

- наличие резервного оборудования и мощностей, используемых для оказания услуги;

- период времени, необходимый на получение ресурсов.

Оказание сервиса (услуги) безопасности информации предполагает необходимость управления персоналом поставщика услуг, регламентации процессов и системы обеспечения безопасности информации, задействованных при оказании услуги. При изучении системы менеджмента сервисами и качеством поставщика услуг необходимо изучить:

- организацию управления процессами у поставщика услуг;

- организацию управления качеством предоставляемой услуги;

- организацию управления безопасностью информации.

Для оценки организации управления целесообразно опираться на требования национальных стандартов Российской Федерации[10].

Соответствие требованиям данных стандартов свидетельствует о некотором уровне надежности поставщика и добротности его компании, поэтому целесообразно, чтобы поставщик услуг имел соответствующие сертификаты соответствия требованиям данных стандартов, являющиеся внешним независимым подтверждением достижения требований стандарта.

При рассмотрении сертификатов необходимо обращать внимание на объект оценки, которая должна соответствовать содержанию предоставляемой услуги (сервиса). Необходимо также учитывать, что наличие сертификата соответствия требованиям ГОСТ Р ИСО/МЭК 27001-2006 свидетельствует о наличии у поставщика услуг системы управления информационной безопасностью, но не гарантирует соответствие самой системы обеспечения безопасности установленным требованиям.

Квалификация и компетентность работников поставщика услуг, участвующих в оказании услуги, оценивается по наличию у них сертификатов производителей оборудования и программного обеспечения, свидетельств обучения и повышения квалификации по направлению информационных технологий и обеспечения безопасности информации, стаж работы по требуемым направлениям деятельности.

При оценке квалификации и компетентности работников поставщика услуг необходимо убедиться, что внутренними документами поставщика услуг определен порядок организации работ по повышению квалификации (профессиональному обучению и (или) дополнительному образованию) работников.

Опыт оказания аналогичных услуг оценивается по представляемым поставщиком услуг сведениям о таких работах и анализу запросов о качестве услуг, направляемых в адрес предшествующих заказчиков, или публичных отзывов о деятельности поставщика услуг.

Наличие аттестата соответствия требованиям безопасности или заключения независимых экспертов является свидетельством того, что система обеспечения безопасности информации поставщика услуг соответствует установленным требованиям по безопасности информации. При этом необходимо оценить достаточность подтвержденного уровня защищенности информационной системы поставщика услуг требуемому для заказчика услуг.

Субъективные требования к поставщику услуг

При выборе поставщика услуг должны учитываться также качественные показатели. К таким показателям относятся:

- сведения о владельцах и администрации поставщика услуг;

- специализация поставщика услуг;

- репутация (имидж) поставщика услуг;

- отсутствие негативных сообщений о нем в средствах массовой информации;

- кредитоспособность и финансовое положение поставщика услуг;

- конкурентное положение (рейтинг) поставщика услуг на рынке аналогичных услуг;

- способность к контакту и длительным доверительным отношениям;

- психологический климат в трудовом коллективе поставщика услуг, риск забастовок.

Негативная оценка хотя бы по одному из таких показателей может служить поводом в отказе от его услуг.

Мониторинг порядка и качества предоставления услуг

При аутсорсинге главное правило: доверяй, но проверяй! Поэтому вопросу мониторинга порядка и качества предоставления услуг поставщиком надо уделять особое внимание. Такой мониторинг может проводиться на основе:

- анализа отчетов провайдера услуг;

- опроса работников (потребителей) заказчика услуг;

- инспекционного контроля;

- мониторинга с привлечением третьей стороны.

Не будем забывать, что именно поставщик услуг должен организовать мониторинг предоставления услуги по оговоренным с заказчиком параметрам, это и в его интересах. Результаты мониторинга предоставляются заказчику периодически или по требованию.

Со своей стороны заказчик должен организовать регулярный опрос работников (потребителей) с целью определения качества услуг, предоставляемых поставщиком, и удовлетворенности ожиданий. Такой опрос проводится на основе заранее разработанных опросных листов (чек-лист), охватывающих основные параметры предоставляемой услуги и оценку ожиданий потребителя.

Инспекционный контроль проводится на основе договоренностей с поставщиком услуг и в объеме, установленном в договорных документах (не забудьте включить это в договор). Заказчик должен иметь возможность проведения внезапного инспекционного контроля.

При наличии возможности контроль услуг может производиться заказчиком путем получения и анализа информации с использованием предоставленных поставщиком услуг консолей мониторинга и управления.

Для оценки выполнения порядка и качества предоставляемой услуги может привлекаться третья независимая сторона, которая осуществляет такую оценку на основе опроса работников поставщика и заказчика и анализа результатов технического мониторинга, предоставляемого поставщиком услуг или проводимого самостоятельно.

Эпилог

Резюмируя все сказанное, можно отметить, что аутсорсинг безопасности информации возможен и даже где-то полезен. Да, особенности есть, их надо помнить и учитывать, но ничего невозможного нет. Хотя… В заключение несколько слов о проблемах применения аутсорсинга в госучреждениях и иже с ними. Встает вопрос, могут ли такие учреждения применять схему аутсорсинга? Вопрос не праздный. Теоретически – да, никто не запрещает. А на практике? Мы много говорили о том, что отношения между поставщиком и заказчиком услуг строятся на доверии, которое во многом зависит от изучения возможностей и репутации поставщика. И в то же время законом прямо определено: не допускается включение в документацию о закупке требований к участнику закупки, в том числе требования к квалификации участника закупки, включая наличие опыта работы, а также требования к деловой репутации участника закупки, требования к наличию у него производственных мощностей, технологического оборудования, трудовых, финансовых и других ресурсов, необходимых для выполнения работы или оказания услуги, являющихся предметом контракта[11]. Вот и приплыли. Либо покупай кота в мешке, либо откажись от аутсорсинга…