Михаил Зырянов
Специалисты, работающие в области информационной безопасности, — люди, как правило, осторожные, осмотрительные. И неудивительно, что они с осторожностью относятся к идее передачи функций ИБ внешним подрядчикам. Определенный скепсис вызывают и предложения использовать облачные сервисы безопасности в качестве инструментов для работы служб ИБ. Тем не менее аутсорсингом в этой области многие организации пользуются — кто в меньших масштабах, кто в больших... А есть ли направления или функции ИБ, которые никак нельзя отдавать на аутсорсинг, в том числе облачный? Опасный аутсорсинг Как, по каким признакам или на основе каких принципов можно определить, какие именно функции информационной безопасности организация не должна передавать вовне? Чтобы ответить на этот вопрос, Владимир Дрюков, руководитель направления аутсорсинга ИБ центра информационной безопасности компании «Инфосистемы Джет», предлагает задаться вопросом: а может ли аутсорсер отвечать за целевые показатели обсуждаемой функции так, как это необходимо бизнесу заказчика? Очевидно, из сферы аутсорсинга придется исключить все функции, которые принято относить к стратегическому уровню безопасности: принятие (или непринятие) рисков, планирование развития ИБ в компании, а также контроль ключевых метрик и показателей эффективности ИБ. Второй вопрос, на который предлагает ответить Дрюков: готов ли потенциальный потребитель услуги ИБ-аутсорсинга предоставить доступ к информации, необходимой для полноценного решения задачи? Вероятно, полный аутсорсинг функций DLP и нетехнических аспектов расследования инцидентов ИБ в этом плане малоперспективен. И третий вопрос: может ли компания реализовать обсуждаемую функцию своими силами? Ответив на эти вопросы, можно определить, стоит ли передать функцию на аутсорсинг.
http://www.osp.ru/cio/2014/12/13044353/