![]() |
![]() ![]() ![]() ![]() | ![]() |
![]() |
![]() ![]() ![]() |
![]() |
начало | ![]() |
![]() |
|
![]() |
![]() ![]()
|
![]() |
![]() |
Распространение практики аутсорсинга, предусматривающей передачу части функций партнерам, включая провайдеров «облачных исчислений», остро ставит вопрос о защите служебной информации, уходящей в третьи руки. Роб Элгин, автор статьи в онлайновом издании Security Magazine, подчеркивает необходимость тщательной подготовки, прежде чем доверить свои данные новому партнеру/ провайдеру. Первым делом надо постараться получить ответы на следующие вопросы: Какого рода информацию вы планируете передать провайдеру аутсорсинга? Риск утечки данных присутствует всегда, но утечка утечке рознь. Поэтому так важно иметь ясное представление, насколько строго провайдер следует требованиям регуляторов, имеются ли у него в наличии соответствующие инструкции. Каким именно путем будет осуществляться передача информации? Закрытая служебная информация обычно шифруется. А как с этим обстоят дела у партнера? Насколько надежны, современны имеющие у него технологии шифрования? Где и как будет храниться информация после передачи ее провайдеру аутсорсинга? Отдельно или вместе с собственной информацией? Насколько надежно защищена компания фильтрами и другими технологиями кибербезопасности? Кто получит допуск к данным? Есть и другие не менее важные пункты, например, планы действий на случай утечек, пожара, стихийных бедствий…. Все требования, которые вы предъявляете к своей кибербезопасности, дублируются в вопроснике для потенциального партнера. Они нуждаются в тщательном изучении на раннем этапе, до подписания партнерского соглашения. И само соглашение должно в полной мере отражать требования к безопасности данных, предъявляемые регуляторами на федеральном и региональном уровнях. Проблема в том, что в случае утечки информации по вине провайдера перед своими клиентами и регуляторами отвечаете вы, утверждает Роб Элгин. Он предлагает в ходе переговоров и подписания контракта следовать следующим рекомендациям: Зафиксируйте в соглашении время, в течение которого провайдер обязан вас проинформировать об утечке информации. Чем быстрее, тем лучше. Самый плохой вариант – когда вы узнаете об этом из новостей. В таком случае на вас обрушится торнадо звонков и обращений взволнованных клиентов. Добивайтесь, чтобы партнер уведомлял вас об инцидентах, пока дело не зашло слишком далеко. Выясните, располагает ли провайдер аутсорсинга страховкой на случай инцидента кибербезопасности и будет ли она покрывать ваш информационный сегмент. Попросите копию политики и/или инструкции по безопасности. С такими документами расстаются неохотно. Но если у вас получится, то многое, касающееся защиты информации, вам будет ясно. Постарайтесь прояснить, будет ли доступ к вашей информации со стороны других организаций, с которыми работает провайдер. Если да, то это означает риск получить дополнительные трещины в броне защиты, что вообще ставит под вопрос целесообразность такого партнерства. Потребуйте полной картины работы провайдера с персоналом по вопросам кибербезопасности. Включаются ли соответствующие требования в контракты при найме работников и как они контролируются. Как часто проводятся тренинги. Каков их практический результат: статистика инцидентов безопасности говорит сама за себя. Не пренебрегайте деталями: шифрование, практика использования паролей и кодов для допуска в сеть, копирование и архивация, система реагирования на инциденты и т.п.
Фактически речь идет о создании солидного вопросника, без проработки которого не стоит спешить с подписанием соглашения об аутсорсинге.
|
![]() |
карта сайта![]() ![]() ![]() |
![]() |
![]() |
|
![]() ![]() |