Факторы доверия должны иметь не меньшее значение при выборе провайдера, чем целевой уровень защищённости информационных ресурсов или экономические преимущества от сотрудничества

BIS-КОММЕНТАРИЙ к статье "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова

Да, статья интересная, я бы даже сказал, программная. Многие эксперты скажут: «Все хорошо, но проблема еще не решена, надо еще прикладывать усилия, чтобы создать механизмы реализации этого документа». Позволю вступить с ними в полемику. Да, начало положено, да, аутсорсинг принимает правовые очертания. Это хорошо. Но дальше еще требуется много чего, чтобы эта благородная идея стала реальностью. Но это дальше, в последствии.

Мне кажется, что один из главнейших тезисов этой статьи говорит о необходимости доверия между заказчиком и провайдером аутсорсинга. Эти факторы доверия должны иметь не меньшее значение при выборе провайдера, чем целевой уровень защищённости информационных ресурсов или экономические преимущества от сотрудничества.

И очень отрадно, что Банк России, по заявлению автора, позаботился о том, чтобы создать атмосферу доверия к поставщикам через механизм внешнего аудита. Но, к сожалению, на сегодня действенных механизмов достижения такого доверия – нет. Их предстоит выработать. И, думаю, экспертному сообществу надо сосредоточиться именно на выработке этого механизма, а не на критике самого документа. Каждый мыслит по-своему, каждый решает за себя, но это не значит, что стандарт по аутсорсингу – плохой или неправильный. Но также нельзя забывать про принципиальное решение о передаче функций по информационной безопасности на аутсорсинг — про волю заказчика. Можно передать функции, можно передать некоторые риски, можно передать даже часть ответственности — но не само решение.

И еще, хочу обратить внимание на две ипостаси, которые раскрывает стандарт. С одной стороны, это обеспечение информационной безопасности при передаче бизнес-процессов на аутсорсинг. И с другой стороны – передача непосредственно функций информационной безопасности на аутсорсинг. Это две разные функции. При передаче функций информационной безопасности риски аутсорсинга связаны с нарушением свойств информации, а уж потом, как следствие, нарушение бизнес-процессов. При передаче на аутсорсинг бизнес-процессов – эти риски напрямую в нарушении бизнес-процессов. И об этом всегда надо помнить.

Ну, и напоследок, ложку дегтя. Не понятно почему автор говорит о том, что вопросы киберустойчивости, информационной безопасности в перспективе предстоит рассматривать в рамках операционных рисков организаций финансовой сферы. На мой взгляд, эти вопросы надо рассматривать уже сейчас, а не откладывать на будущее. Разрывать бизнес-процессы, а следовательно и операционные риски от информационной безопасности нельзя.  

Сергей Вихорев, заместитель руководителя направления информационной безопасности ООО «НТЦ «Вулкан»
21 августа, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных