Опубликован: 14.10.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Уральский государственный технический университет
Лекция 13:

Предоставление услуг в сфере информационной безопасности

< Лекция 12 || Лекция 13: 123 || Лекция 14 >
Аннотация: В лекции рассматриваются организационные вопросы оказания различных услуг, связанных с обеспечением информационной безопасности: аудиторских, консультационных, услуг по внедрению технических средств защиты, а также услуг по страхованию информационных рисков.

Предпосылки развития рынка услуг по обеспечению информационной безопасности и его структура

Развитие современных информационных технологий, рост зависимости деятельности многих предприятий и учреждений от функционирования информационных систем и постоянное нарастание объемов и сложности информационных потоков привели к тому, что задачи обеспечения информационной безопасности стали требовать использования значительных ресурсов. В частности, финансовые средства, выделяемые на обеспечение информационной безопасности, занимают все большую долю в бюджетах предприятий, а текущее и стратегическое управление защитой информации требует большего внимания не только со стороны специалистов по информационным технологиям, но и со стороны руководителей и собственников предприятий. Зачастую необходимые ресурсы и усилия руководителей в этой сфере оказываются сопоставимыми с теми ресурсами, которые тратятся на осуществление основной деятельности предприятий. Таким образом, сложились предпосылки для формирования рынка различных услуг по обеспечению информационной безопасности, которые (услуги) помогли бы не только повысить эффективность защиты информационных ресурсов, но и оптимизировать издержки предприятий и организаций. Основными факторами, которые обусловили появление у предприятий потребностей в услугах сторонних фирм, решающих задачи обеспечения информационной безопасности, и выделение услуг по защите информационных ресурсов в самостоятельную сферу бизнеса, стали:

  • усложнение и постоянное развитие современных систем обработки, хранения и передачи информации;
  • усложнение программных и аппаратных средств, используемых для защиты информации, необходимость понимания сложного комплекса теоретических и методических вопросов для их эффективной эксплуатации;
  • рост числа инцидентов и разнообразия видов атак на информационные системы и их интенсивности;
  • нехватка квалифицированных специалистов в сфере информационной безопасности и рост затрат на их содержание и профессиональную подготовку.

Причиной того, что предприятия оказываются заинтересованными в отказе от самостоятельного выполнения определенных функций и привлечения сторонних специализированных компаний для решения этих задач (в современной практике такой подход принято называть "аутсорсингом"1От английского термина Outsourcing или "передачей на аутсорсинг"), является возможность повысить эффективность процессов защиты информации, в определенной мере сократить издержки на эти процессы, а также в большей степени сконцентрироваться на управлении основной деятельностью предприятия и не отвлекать ресурсы и время руководителей на решение задач, являющихся по своей сути вторичными и вспомогательными по отношению к основным целям и задачам деятельности предприятия. Более высокая эффективность работы специализированных компаний – поставщиков услуг в сфере информационной безопасности по сравнению с самостоятельным решением этих задач самими предприятиями, как правило, связана с тем, что высокие издержки распределяются между множеством предприятий – клиентов поставщика услуг. Характерными примерами таких расходов, которые, с одной стороны, могут оказаться непозволительными для одного предприятия, но, с другой стороны, могут быть эффективно распределены между несколькими предприятиями, являются:

  • найм высококвалифицированных специалистов в относительно узких дисциплинах и областях информационной безопасности (таких как использование криптографических средств, борьба с вирусами, внедрение виртуальных частных сетей и т.п.);
  • частое переобучение и повышение квалификации специалистов;
  • постоянное отслеживание новых угроз и глубокий качественный анализ текущего состояния информационных технологий и тенденций их развития;
  • приобретение специализированных программных и аппаратных средств, необходимых для защиты информации и аудита информационных систем;
  • обеспечение круглосуточного дежурства служб реагирования на инциденты.

При всех преимуществах передачи отдельных задач обеспечения безопасности на аутсорсинг этот подход имеет и ряд недостатков, которые в определенной мере могут ограничивать его применение.

  • Предприятие, которое пользуется такими услугами, несколько ограничивает себя в возможностях управлять своими затратами и сокращать издержки (накладные расходы) и, таким образом, попадает в определенную зависимость от ценовой политики поставщиков услуг, а также от складывающейся конъюнктуры рынка.
  • Сотрудники компании, предоставляющей услуги, получают доступ к наиболее важной информации предприятия-клиента и его информационным системам, что потенциально может быть источником дополнительных рисков для информационной безопасности.
  • Возникают дополнительные угрозы информационной безопасности при взаимодействии между компанией-поставщиком и предприятием-клиентом в процессе оказания услуг (например, может быть перехвачена информация при удаленном администрировании информационных систем предприятия-клиента).

Основными услугами, которые могут быть переданы на аутсорсинг (как по отдельности, так и в комплексе), являются:

  • услуги по проведению комплексных аудитов состояния информационной безопасности на предприятии;
  • услуги по проведению аудитов (инструментальных проверок) устойчивости и надежности отдельных информационных подсистем (сетей, программных и аппаратных платформ и т.п.) и средств защиты информации, используемых предприятием;
  • услуги по сертификации информационных систем, производимых программных и аппаратных средств защиты информации;
  • консультационные услуги, связанные с формированием стратегии предприятия в сфере информационной безопасности и разработкой политики безопасности;
  • услуги по проектированию системы защиты информации;
  • консультационные услуги по выбору и адаптации отдельных технологий защиты информации (криптографии, биометрической идентификации и т.п.) применительно к определенным условиям ведения бизнеса;
  • услуги по внедрению системы защиты информации, а также внедрению отдельных технических (программных и аппаратных) средств и реализации организационных мероприятий;
  • услуги по текущему администрированию, поддержке и сопровождению информационных систем и систем защиты информации;
  • услуги по реагированию на инциденты, связанные с нарушениями информационной безопасности;
  • услуги по обучению руководителей предприятия, специалистов службы информационной безопасности и ИТ-службы, а также пользователей информационной системы предприятия.

Также в конце этой главы мы рассмотрим еще два вида услуг, связанных с обеспечением информационной безопасности: услуги по страхованию информационных рисков и услуги по поддержанию инфраструктуры публичных ключей (Public Key Infrastructure, PKI).

В целом, к настоящему моменту сложно говорить о формировании полноценного рынка услуг в сфере информационной безопасности (особенно в России), так как у большинства менеджеров крупных, а особенно средних и малых предприятий в основном не сформировались представления о необходимых мерах в этой сфере, а финансирование работ по обеспечению информационной безопасности зачастую осуществляется по остаточному принципу. Некоторые крупные российские разработчики комплексных решений в сфере информационной безопасности, хотя и функционируют достаточно активно, но при этом фактически не являются участниками открытого рынка, так как их продукция и услуги практически полностью ориентированы на определенных потребителей в государственном секторе, таких как ФСБ, Минатом и другие. Еще одной важной особенностью рынка услуг в сфере информационной безопасности является то, что оказание таких услуг иногда становится "побочным", дополнительным видом (направлением) деятельности для компаний, занимающихся поставкой аппаратных и программных средств защиты информации (так называемых "коробочных продуктов"), а также для компаний, занимающихся разработкой комплексных решений по автоматизации предприятий. Возможным недостатком такого подхода потенциально может быть то, что консультанты и аналитики оказываются жестко "привязаны" к определенным программным и аппаратным средствам (производителям, торговым маркам) и не имеют возможности гибко подбирать отдельные средства защиты и формировать наиболее эффективные комплексные решения в соответствии с потребностями каждого конкретного предприятия.

Тем не менее, несмотря на определенные недостатки в развитии рынка услуг по обеспечению информационной безопасности, неоспоримым фактом является то, что многие такие услуги уже представлены на рынке, а основные рыночные и организационные механизмы начинают отрабатываться на практике. При этом одной из рекомендаций при работе с фирмами-поставщиками услуг в сфере информационной безопасности является правило - пользоваться услугами нескольких разных фирм и периодически менять партнеров, обеспечивающих решение тех или иных проблем безопасности.

< Лекция 12 || Лекция 13: 123 || Лекция 14 >
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Александр Кулаков
Александр Кулаков
Россия, Челябинск
Максим Овцин
Максим Овцин
Россия, Санкт-Петербург, НИУ ИТМО