Дата публикации: 22.12.2025
Обеспечение информационной безопасности бизнеса – комплексная трудоемкая задача, справиться с которой, опираясь только на собственный персонал, сегодня сложно. Когда без экспертов не обойтись, на помощь приходят компании, предоставляющие услуги по информационной безопасности.

3bb7b920-a48d-4419-adcb-6170d8f4ec52.png

Что целесообразно отдать на аутсорс?

Компании, занимающиеся информационной безопасностью, обычно предлагают широкий спектр услуг, но далеко не всегда нужно полностью отдавать вопросы ИБ организации стороннему подрядчику.

Привлекать сторонних экспертов лучше для решения ресурсоемких задач, а также для реализации процессов, на которые у компании просто нет необходимого персонала, техники технологий (или их недостаточно). Например:

Внешний аудит

Привлечение специализированной организации позволяет получить объективную картину состояния защищенности ИТ-инфраструктуры компании, кроме того, отчет сторонних аудиторов, как правило, вызывает больше доверия как у бизнес-партнеров, так и у контролирующих органов. Когда аудит информационной безопасности компании проводит подрядчик, он берет на себя тестирование на проникновение, аудит конфигураций, имитацию атак и сканирование уязвимостей. Внешний аудит ИБ компании позволяет получить комплексные рекомендации о том, как может быть улучшена система информационной безопасности компании.

Внедрение новых решений, совершенствование защиты в сфере ИБ
Информационная безопасность бизнеса представляет собой комплексный процесс, требующий постоянного совершенствования. Это значит, что имеющиеся средства защиты информации необходимо регулярно совершенствовать, обновлять, отказываться от устаревших и внедрять более эффективные, актуальные и современные – здесь также пригодится помощь подрядной организации.

Здесь аутсорсер может взять на себя:

  • развертывание защитных систем (в том числе, но не ограничиваясь EDR, SIEM, DLP);
  • интеграцию новых решений в сфере ИБ в ИТ-инфраструктуру компании;
  • настройку политик таким образом, чтобы была обеспечена информационная безопасность в облачных хранилищах.
  • Также при необходимости подрядной организации можно доверить разработку учебных материалов для сотрудников, проведение тренингов и симуляцию фишинговых атак. Учитывая, что внутренние угрозы информационной безопасности (в том числе человеческий фактор) не менее, а иногда даже более опасны, чем внешние, вопросами кибергигиены персонала пренебрегать не стоит.
Организация мониторинга и реагирования на киберинциденты

Киберпреступники могут атаковать компанию в любое время суток и совершают попытки взлома, не считаясь с производственным календарем – даже в выходные и праздничные дни. Не каждая организация может позволить себе организовать собственными силами мониторинг и реагирование на инциденты круглый год. В этом случае, чтобы информационная безопасность компании не оказалась под угрозой, также стоит рассмотреть вариант с привлечением подрядчика.

 Что может делать аутсорсер:

  • мониторить события ИБ;
  • обнаруживать инциденты и обеспечивать первичное реагирование;
  • поддерживать центр реагирования (то есть оказывать SOC-услуги).
  • Также подрядчика можно привлечь к расследованию киберинцидентов, восстановлению хронологии атаки и подготовке материалов для взаимодействия с регуляторами.
Частичная передача функций службы ИБ

Если содержать солидный штат профессиональных «безопасников» для компании нецелесообразно (часто так случается, когда речь идет о малом и среднем бизнесе), часть функций службы ИБ также можно делегировать сторонним экспертам. В данном ситуации аутсорсеры смогут, к
примеру:

  • заняться администрированием инфраструктур открытых ключей и VPN, а также решений для защиты электронной почты;
  • обслуживать системы защиты от DDoS-атак;
  • настраивать и поддерживать DLP, WAF, IDS/IPS;
  • управлять межсетевыми экранами и антивирусным ПО;
  • собирать и анализировать данные о том, какие существуют угрозы информационной безопасности компании;
  • проводить мониторинг цифровых активов;
  • управлять ключами и сертификатами;
  • усиливать ИБ компании за счет поддержки систем шифрования.
  • Полный перечень делегируемых функций может варьироваться в зависимости от актуальных потребностей компании.
Договор с подрядчиком – что важно учесть

  Даже если часть ИБ-функций будут выполнять сторонние компании в области информационной безопасности, ответственность за соблюдение требований законодательства перед регуляторами, клиентами и партнерами по-прежнему несет сама организация-заказчик. В связи с этим при заключении договора об оказании ИБ-услуг со сторонним экспертом или специализированной компанией, стоит предусмотреть в тексте контракта следующие моменты: 1 обязательства подрядчика должны быть четко и прозрачно сформулированы, в том числе необходимо указать, что он обязан:

  •  исполнять требования федеральных законов, подзаконных актов, требований ФСТЭК / ФСБ – с указанием ссылок на конкретные нормативные акты;
  • применять СрЗИ;
  • информировать об инцидентах в сроки, установленные законодательством;
  • локализовывать данные (если речь идет об обработке ПДн или иной информации, для которой установлены требования о хранении на территории России).
  • 2 положения о конфиденциальности и ответственности за разглашение коммерческой тайны – когда на кону информационная безопасность бизнеса, пренебрегать этими пунктами в договоре нельзя.
  • 3 перечислить стандарты, которые должны стать основой для разработки и применения защитных мер;
  • 4 закрепить право заказчика проводить аудит работы подрядной организации.
... А что лучше оставить «внутри» компании
Организация информационной безопасности компании – трудоемкая задача, однако полностью избавить себя от погружения в вопросы ИБ не получится. Некоторые процессы информационной безопасности в компаниях не стоит передавать в «третьи руки».

В их число входят:

  • Стратегические вопросы. Политика информационной безопасности компании, как и ее стандарты должны разрабатываться внутри организации. Также подрядчик не может полностью взять на себя такие моменты, как оценка приоритетов и рисков.
  • Взаимодействие с регуляторами. Даже если управление информационной безопасностью компании в значительной степени передано на аутсорс, подавать уведомления о киберинцидентах и участвовать в проверках РКН, ФСТЭК и ФСБ придется самой компании – делегировать эти моменты подрядчику не получится.
  • Управление доступами и антифрод-механизмы. Чтобы повысить уровень защищенности, контролировать привилегированные учетные записи, RBAC, а также разрабатывать правила выявления мошенников и организовывать мониторинг транзакций и аномалий (при необходимости) лучше самостоятельно.
Также внутри компании рекомендуется оставить обеспечение информационной безопасности бизнес-процессов, относящихся к категории критических. Например, сопровождение ключевых проектов, обеспечение защиты ноу-хау и чувствительных данных, относящихся к коммерческой тайне.

Привлечение сторонних организаций к обеспечению ИБ компаний – это разумная и результативная мера, которая позволяет разумно распределять ресурсы, доверяя многие вопросы профессионалам и позволяя собственным сотрудникам сосредоточиться на своей основной деятельности. Специалисты «КРЕДО-С» могут взять на себя решение широкого спектра задач в сфере ИБ, гарантируя при этом эффективность, высокое качество и конфиденциальность.

Часто задаваемые вопросы

Что можно отдать на аутсорсинг информационной безопасности, а что нет?
На аутсорсинг ИБ целесообразно передавать ресурсоёмкие и узкоспециализированные задачи: внешний аудит и пентест, внедрение и сопровождение средств защиты (EDR, SIEM, DLP), круглосуточный мониторинг и реагирование на инциденты (SOC-услуги), а также администрирование отдельных систем защиты — VPN, PKI, защиты почты, anti-DDoS. Внутри компании следует оставить стратегические вопросы: разработку политики ИБ, оценку рисков, взаимодействие с регуляторами, управление доступами и антифрод, а также защиту критичных бизнес-процессов и коммерческой тайны.
Стоит ли передавать функции службы ИБ на аутсорс малому и среднему бизнесу?
Да, для малого и среднего бизнеса частичная передача функций службы ИБ на аутсорс часто экономически оправдана: содержать полноценный штат «безопасников» дорого и нецелесообразно. Сторонним экспертам можно делегировать администрирование VPN и инфраструктуры открытых ключей, поддержку DLP, WAF и IDS/IPS, управление межсетевыми экранами и антивирусами, мониторинг цифровых активов и поддержку систем шифрования. Это позволяет распределять ресурсы рационально, а собственным сотрудникам — концентрироваться на основной деятельности.
Что такое SOC-услуги на аутсорсе и зачем они нужны?
SOC-услуги на аутсорсе — это передача стороннему подрядчику функций мониторинга событий ИБ, обнаружения инцидентов и первичного реагирования в режиме 24/7. Киберпреступники атакуют в любое время суток, включая выходные и праздники, а организовать круглогодичный мониторинг собственными силами может не каждая компания. Аутсорсер берёт на себя работу центра реагирования, а при необходимости — расследование киберинцидентов, восстановление хронологии атаки и подготовку материалов для регуляторов.
Кто несёт ответственность перед регуляторами при аутсорсинге ИБ?
Даже при передаче части функций ИБ на аутсорс ответственность за соблюдение требований законодательства перед регуляторами, клиентами и партнёрами несёт сама компания-заказчик, а не подрядчик. Уведомлять о киберинцидентах, участвовать в проверках РКН, ФСТЭК и ФСБ придётся самой организации — делегировать это исполнителю нельзя. Поэтому передача ИБ на сторону не снимает с заказчика юридической ответственности, а лишь распределяет операционную нагрузку.
Что обязательно прописать в договоре на аутсорсинг ИБ?
В договоре на аутсорсинг ИБ нужно чётко и прозрачно зафиксировать обязательства подрядчика: исполнение требований федеральных законов и нормативных актов ФСТЭК/ФСБ со ссылками на конкретные документы, применение сертифицированных средств защиты информации, информирование об инцидентах в установленные законом сроки и локализацию персональных данных на территории России. Также важно включить положения о конфиденциальности и ответственности за разглашение коммерческой тайны, перечислить применяемые стандарты и закрепить право заказчика проводить аудит работы подрядчика.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Аутсорсинг ИБ оправдан там, где нужны ресурсы и экспертиза 24/7 — мониторинг, аудит, SOC, — но стратегия, риски и общение с регуляторами всегда должны оставаться внутри компании.