"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Риски «третьей стороны» - это серьезно


Кражи и утечки конфиденциальной информации приняли глобальный масштаб. В мире в одном только 2018 году зафиксированы утечки 5 миллиардов закрытых данных. И это только верхушка айсберга, поскольку многие компании скрывают подобные инциденты, боясь навредить репутации.

Как отмечает Мишель Друайе в журнале Chief Security Officer, значительная часть информационных утечек, так или иначе, вызвана проблемами с безопасностью у партнеров и поставщиков. Но нельзя забывать, что ответственность за утраченные или украденные  по вине третьей стороны корпоративные данные лежит на вашей организации со всеми юридическими и финансовыми последствиями. Надо помнить, что популярный, особенно в последнее время,  аутсорсинг при всех его плюсах расширяет пространство, где хранятся и обрабатываются служебные данные, следовательно, и увеличивает вектор потенциальных хакерских атак.

Автор публикации рекомендует уже на старте взаимодействия с новым партнером, клиентом или поставщиком самым серьезным образом проверить надежность его систем кибербезопасности. Для начала задайте себе и партнеру следующие вопросы:

- Почему необходимо отдавать на аутсорсинг данную услугу (информацию)?

- Чем конкретно придется делиться с партнером и так ли уж нужно делиться корпоративными данными?

- Как хранится и защищается информация у партнера? Например, шифруется ли она?

- Планирует ли партнер нанимать специалистов (или фирму по субконтракту) для осуществления проекта, и если да, то предполагается ли передача им вашей информации?

- Где находится центр обработки данных, которым пользуется третья сторона?

- Как сформулированы в проекте контракта вопросы, связанные с возможными инцидентами безопасности?

Ясный и четкий план мер реагирования на инцидент кибербезопасности должен быть прописан в контракте очень конкретно: кто за что отвечает, разумный период времени на ликвидацию последствий и восстановление атакованных сетей и баз данных, линии коммуникации в кризисной ситуации. Мишель Друайе подчеркивает необходимость серьезного внимания к самым, на первый взгляд, незначительным, мизерным уязвимостям и возможным инцидентам, ибо последние, подобно снежному кому, могут быстро превратиться в большую угрозу. 

Не принимайте на веру слова, что все у партнера в порядке. Предусмотрите регулярную проверку состояния систем информзащиты. В тексте контракта надо прописать обязательства партнера по защите передаваемых ему данных, требования адекватно реагировать на инциденты, детальный план контроля и тестирования систем, а также перечень внешних контактов, каналов, по которым могут утекать данные.

Подобный документ, жестко регламентирующий защиту информации в процессе аутсорсинга, очень даже пригодится в судебном заседании, где решается вопрос о виновной стороне в утечке персональных данных или другой важной конфиденциальной информации. Просчеты в составлении контракта и прочих документов для аутсорсинга, к примеру, невозможность отслеживать, как обрабатываются и хранятся переданные третьей стороне данные, чреваты серьезными негативными последствиями для вашей организации, подчеркивает Друайе.

Если в процессе аутсорсинга вы убеждаетесь, что ваш партнер не выполняет принятые на себя обязательства, зафиксированные в соответствующем документе, не мешкая, разрывайте контракт!

вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru