Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Аутсорсинг информационной безопасности – проблема доверия

Создавать самим или отдать на аутсорсинг? Сколько это может стоить? В чем плюсы? Много ли минусов? Эти вопросы задают себе многие руководители компаний и профильных подразделений информационной безопасности, перед которыми так или иначе в какой-то момент встает вопрос целесообразности отдачи той или иной функции ИБ на аутсорсинг.

23.08.2008

В статье Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия" перечислены те моменты, которые обязательно надо учитывать, принимая решение о привлечении сторонней организации:

"Не каждая компания, испытывающая потребность в формировании стратегии реагирования на комплексные угрозы информационной безопасности, может позволить себе нанять квалифицированного специалиста. В этой ситуации может показаться, что аутсориснг – наиболее быстрый путь "подтянуть" отстающие процессы в области ИБ. В действительности же процесс согласования условий оказания услуг подчас сильно затягивается и сократить время возможно только за счет увеличения соответствующих рисков.

В профессиональной среде бытует мнение, что компании обращаются к аутсорсингу в основном в поисках снижения издержек. Однако исследование Forrester показало, что это не так. Денежные вопросы, конечно, важны, однако в отношении информационной безопасности у руководителей компаний другие приоритеты. В большинстве случаев аутсорсинг информационной безопасности в абсолютном значении обходится компаниям дороже.

Многие полагают, что использование аутсорсинга означает полное переложение рисков на поставщика услуг. В действительности же организация, обратившаяся к аутсорсингу, возлагает на провайдера услуг ответственность за совершение конкретных действий. Это не освобождает организацию от ответственности за общее состояние дел в области информационной безопасности. Лучшие практики включают в себя использование соответствующих пунктов, оговаривающих ответственность сторон".

Какие еще моменты следует обязательно учитывать, решая вопрос, отдавать ли функции информационной безопасности сторонней организации? О чем следует помнить при выборе аутсорсинговой компании? Можно ли аутсорсинг функций ИБ использоваться в качестве оружия для борьбы с инсайдерами? Как провести оценку внутри организации – что делается самостоятельно, а что передается на аутсорсинг? Какие функции ни в коем случае нельзя передавать сторонней организации? Об этом (и не только) читайте в статье генерального директора "Бюро профессиональных услуг 4Х4" Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия", которая публикуется в №5 журнала "Information Security/Информационная безопасность".

Источник: статья Дениса Муравьева "Аутсорсинг информационной безопасности – проблема доверия"
Вы хотите прокомментировать статью? Есть вопросы к автору? Хотите поделиться своей точкой зрения на рассматриваемую проблему? Пишите главному редактору журнала "Information Security/Информационная безопасность" Марии Калугиной ( kalugina@groteck.ru )

По вопросам размещения рекламных материалов в журнале обращайтесь к руководителю проекта "Информационная безопасность" Наталье Рохмистровой ( rohmistrova@groteck.ru ). Тел.: (495) 609 32 31.