Аутсорсинг не делегирует ответственность перед ФСТЭК, а инсорсинг не гарантирует контроль. Реальный выбор — не между «своими» и «чужими», а между разными типами скрытых уязвимостей: от непрозрачности подрядчика до внутреннего застоя. Российская регуляторика не прощает ошибок в архитектуре ответственности. https://seberd.ru/4729
Почему выбор модели работы становится источником уязвимостей
Принятое на основе прямых финансовых расчётов решение об аутсорсинге или инсорсинге игнорирует более сложную логику. Реальные издержки и угрозы формируются в трёх плоскостях: технической реализации, управлении компетенциями и распределении регуляторной ответственности. Просчёт в любой из них превращает операционное решение в стратегическую дыру в защите.
В контексте 152-ФЗ и защиты КИИ разговор о деньгах вторичен. Первичен вопрос о том, кто и как будет обеспечивать выполнение конкретных приказов ФСТЭК. Финансовая экономия на контракте может обернуться многократными затратами на устранение последствий инцидента и штрафами регулятора, которые ложатся именно на оператора, а не на подрядчика.
Скрытые риски аутсорсинга: между договором и реальностью
Ловушка в разрыве между юридическими гарантиями и практикой их исполнения. Ответственность перед ФСТЭК, Роскомнадзором остаётся на операторе персональных данных. Подписанный договор со SLA — лишь инструмент, эффективность которого зависит от деталей, часто остающихся за кадром.
Состав и реальная квалификация персонала подрядчика
Формальное требование о «прошедших обучение сотрудниках» выполняется предоставлением сертификатов. На деле над вашим проектом может работать пул с высокой текучкой, где вчерашний администратор вашего конкурента завтра получит доступ к вашим системам. Контроль за своевременным отзывом прав, глубиной проверок при найме остаётся внутри подрядчика и часто недоступен для внешней верификации. Это прямо противоречит принципу контроля за обработчиком, заложенному в 152-ФЗ.
Пересечение сред и скрытая общая инфраструктура
Подрядчик, стремясь к рентабельности, может использовать общие среды для нескольких клиентов. Общие сервисные аккаунты, единые системы управления, сегменты сети с условной маршрутизацией вместо изоляции — всё это прямое нарушение требований к изолированности систем обработки ПДн и особенно сегментов КИИ. Инцидент у одного клиента создаёт операционный и регуляторный риск для всех остальных через эти общие точки. В техническом задании и договоре такие архитектурные компромиссы не отражаются.
Иллюзия права на аудит
Пункт о проведении проверок безопасности есть в большинстве договоров. На практике он наталкивается на аргументы о коммерческой тайне и стабильности инфраструктуры подрядчика. Вам предоставят стандартизированный отчёт или ограниченный доступ к неключевым системам. Проверить реальную конфигурацию межсетевых экранов на внутренних границах подрядчика, полноту и аутентичность логов его сотрудников — задача, которую вряд ли позволят выполнить. Вы остаётесь с формальным документом, но без реальной картины.
Скрытые сложности инсорсинга: цена мнимого контроля
Перенос функций в штат создаёт впечатление полного управления, но порождает риски другого рода, связанные с человеческим фактором и прямой регуляторной нагрузкой.
«Эффект замыливания» и потеря критичности взгляда
Внутренняя команда существует внутри корпоративной культуры и бюджетных ограничений. Ей психологически сложнее заявлять о фундаментальных, дорогостоящих к исправлению проблемах. Системные уязвимости становятся «фоном», к которому привыкают. Внешний специалист, оценивающий инфраструктуру с нуля, часто видит эти проблемы сразу, но у внутренней команды этот взгляд притупляется.
Кадровая монополия и зависимость от ключевых специалистов
Формируется узкий круг незаменимых сотрудников, которые аккумулируют уникальные знания о конфигурациях и «костылях» в инфраструктуре. Их уход, это не просто поиск замены, а риск длительного простоя и ошибок. При этом стоимость поддержания их квалификации на уровне современных угроз и требований ФСТЭК (работа с сертифицированными СЗИ, знание актуальных методик) ложится полностью на компанию, как и расходы на обязательное обучение и аттестацию.
Прямые и неделегируемые регуляторные обязанности
Инсорсинг означает, что вы берёте на себя весь объём работы с регулятором. Это не только отчётность, но и:
- Самостоятельная разработка и актуализация модели угроз для каждой ИСПДн и объекта КИИ.
- Организация и оплата аттестации информационных систем силами организации, имеющей лицензию ФСТЭК.
- Полноценное проведение всех мероприятий по защите информации, включая управление инцидентами, с соответствующим документированием для проверяющих.
Это постоянная операционная нагрузка, требующая не просто специалистов, а выделенных ролей, таких как ответственный за обеспечение безопасности персональных данных.
Гибридные модели: новая зона неопределённости
Компромиссный подход — например, свой SOC слишком дорог, и его выводят на управляемый сервис (MSSP), а администрирование ключевой инфраструктуры оставляют внутри. Основной риск здесь концентрируется в точке интеграции двух миров.
Проблема — в размытости ответственности за стык. Система MSSP должна получать ваши логи для анализа. Организация этого канала требует:
- Настройки защищённых шлюзов или VPN-тоннелей.
- Определения и управления доверенными IP-адресам и диапазонами.
- Регламентов ротации ключей и сертификатов.
Кто отвечает за безопасность этой точки? За её конфигурацию и мониторинг? В договорах эта зона часто описывается общими фразами, что приводит к спорам при расследовании инцидента, когда каждая сторона считает зону ответственности другой.
Практические шаги для управления рисками модели
Выбор должен основываться на анализе глубинных факторов, а не на упрощённых сравнениях.
| Действие | Цель | Критерий эффективности |
|---|---|---|
| Аудит реальной зависимости от данных и процессов | Выделить ядро систем, где риски максимальны (ПДн, КИИ). | Составлена карта информационных потоков с чёткой привязкой к классам защищаемых систем. Для ядра принято решение в пользу максимального контроля (инсорсинг или MSSP высочайшего уровня доверия). |
| Детализация ТЗ на языке регулятора | Исключить двусмысленности в договоре с подрядчиком. | В ТЗ и договоре присутствуют прямые ссылки на приказы ФСТЭК, требования к изоляции, сегментации, проверкам персонала, формату и объёму предоставляемых для контроля логов. |
| Внедрение непрерывного контроля вместо точечных проверок | Получить реальную, а не отчётную картину безопасности. | Налажена машиночитаемая передача ключевых событий безопасности (аутентификация, изменения прав, конфигураций) от подрядчика в вашу SIEM. Для внутренних процессов внедрены скрипты автоматической проверки соответствия (Compliance as Code) ключевым требованиям. |
| Подготовка плана экстренного перехода | Снизить операционные риски при разрыве с ключевым подрядчиком. | Существует документация и минимальный внутренний компетенционный задел, позволяющий в сжатые сроки взять под управление критически важные функции в случае кризиса у аутсорсера. |
В условиях российского регуляторного поля, где требования ужесточаются, а трактовка может меняться, стратегическая устойчивость становится критическим активом. Риск, это не ошибка выбора между аутсорсингом и инсорсингом, а неверное проектирование архитектуры ответственности. В этой архитектуре для каждого риска, от кадрового до технического, должен быть явный и дееспособный владелец, а границы этой ответственности — точно определены и задокументированы как внутри периметра, так и за его пределами.