CSO

Врезка 0,5 полосы

 

Diana Kelley. 7 Tips for Secure Outsourcing. CSO Magazine. April 18, 2007

Как обезопасить аутсорсинг

Дайана Келли

 

1. Необходимо понять, какие именно функции вы передаете поставщикам услуг аутсорсинга. Оцените свою внутреннюю систему контроля и политики безопасности и определите, какой уровень управления рисками должен быть присущ аутсорсинговым процессам (его необходимо ужесточить, можно уделять второстепенное внимание, имеет смысл оставить на прежнем уровне и т.д.). Помните, что большую часть рисков, связанных с ответственностью, и почти все репутационные риски передавать поставщикам услуг аутсорсинга нельзя.

2. Проанализируйте риски и взаимозависимости. Изучите нормы и законодательные акты страны, в которой работает поставщик услуг аутсорсинга, показатели его финансовой устойчивости, географические риски (возможность наводнения, бесперебойность энергоснабжения), а также юридическое право регресса.

3. Оцените уровень управления рисками, которого придерживается ваш поставщик услуг аутсорсинга. Ознакомьтесь с политиками и процедурами предоставления услуг аутсорсинга, с основными заключениями аудиторов (сертификации по стандартам SAS70 Type II, BS7799/ISO27001 и т.д.). Если речь идет об аутсорсинге приложений, рассмотрите жизненный цикл разработки программного обеспечения, а также порядок тестирования программного кода.

4. Задайте необходимые вопросы, касающиеся уровня подготовки и послужного списка персонала. Оцените профессионализм сотрудников. Постарайтесь узнать, были ли у них в прошлом проблемы с законом.

5. Убедитесь в том, что данные защищены надлежащим образом. Проанализируйте политики контроля доступа и технологии авторизации, используемые при организации подключения к данным и системам, проверьте физические и виртуальные средства разграничения доступа, ограничьте права поставщика услуг аутсорсинга перечнем минимально необходимых ему функций, изучите процессы управления жизненным циклом данных и процедуры шифрования, а также порядок создания, хранения и уничтожения данных.

6. Потребуйте от поставщика услуг аутсорсинга прозрачности мониторинга размещаемых у него данных и предоставляемых услуг. Должно быть предусмотрено ежедневное или еженедельное изучение отчетов и журналов аудита, а также наличие у вас прав удаленного администрирования для мониторинга файлов системных журналов.

7. Создайте понятные и явно прописанные соглашения об уровне сервиса с возможностью их юридического контроля. Определите права на проведение аудита (физического/логического), механизмы их расширения и корректировки, а также денежной компенсации за потерю данных или вынужденный простой при возникновении перерывов в обслуживании.