четверг, 23 февраля 2012 г.

А может аутсорсинг?

Управление уязвимостями важный, но не очень простой процесс. По сути он состоит из 2х важных блоков каждый из которых бесполезен без другого. Эти блоки:

  1. Обнаружение и оценка уязвимостей
  2. Устранение уязвимостей
Как мы понимаем, устранение уязвимостей практически невозможна без персонала, отвечающего за поддержку ИТ-инфраструктуры, в то время как обнаружение уязвимостей можно полностью переложить на ИБ-подразделение и/или передать 3й стороне на аутсорсинг. 
I) Рассматривая вопрос о передаче на аутсорсинг, необходимо ответить для себя на несколько вопросов.
1. Финансовая рационализация
Насколько финансово выгодно передать процесс на аутсорсинг?

Выбирая между передачей на аутсорсинг и выполнением работ самостоятельно следуют оценить следующие направления расходов, необходимые на создание и поддержание системы выявления и анализа уязвимостей:
  • Стоимость основного и обеспечивающего оборудования и программного обеспечения сканера уязвимостей (в том числе лицензий на использование)
  • Зарплата персонала (трудочасы)
  • Стоимость технической поддрежки
  • Стоимость обучения персонала
Сравните эти затраты с теми, что будут при передаче на аутсорсинг. В большинстве случаев аутсорсинг будет намного выгоднее.

2. Безопасность
Безопасно ли передавать данные об уязвимостях сторонней организации?

Передавая работы по выявлению и оценке уязвимостей сторонней организации следует доверять этой организации. Следует подписать SLA и соглашение о неразглашении. При необходимости можно запросить подтверждение обеспечения безопасности передаваемых данных (даже, например, провести аудит 2й стороны).

3. Удобство
Насколько удобен будет формат получения результатов?

3. Качество работ и экспертиза
Насколько качественно будут проведены работы? Что нужно для того, чтобы собственные сотрудники выдавали аналогичные результаты?

4. Мотивация и концентрация определенной деятельности
Насколько замотивирован собственный персонал на выполнение данных работ? Есть ли задачи с большим приоритетом? Интересна ли такая работа собственным сотрудникам?

5. Независимость оценки
Нужна ли нам независимая оценка своей безопасности? Насколько она весомее собственных оценок? 

6. Гибкость в отношении к модернизации
Как изменится процесс оценки уязвимостей при внесении изменений в ИТ-инфраструкуру / изменении области работ?


II. Если вы уже приняли решение о возможности передачи процесса на аутсорсинг, то следует  определить:
  1. цели и ожидания от работ
  2. область работ
  3. требования к исполнителю работ (опыт, отзывы, персонал и пр.)
  4. примерный бюджет
Определить и согласовать с исполнителем:
  • наименоваание сканера(-ов) уязвимостей
  • периодичность проверки
  • характеристики профилей сканирования
  • формат отчета и рекомендаций
  • методологию категорирования, выявленных уязвимойстей  (см., например тут и тут)
  • порядок взаимодействия (в том числе и тех.поддержки)
  • ключевые метрики и показатели эффективности процесса
Желательно все это прописать в SLA... Удачи!


Комментариев нет:

Отправить комментарий