среда, 7 декабря 2011 г.

ИБ-аутсорсинг - что можно отдать?

    Для обсуждению вопроса аутсорсинга предлагаю использовать CobiT-like разделение ИБ активностей в целом на:
А) планирование ИБ
Б) внедрение контролей ИБ
В) эксплуатацию средств и механизмов ИБ
Г) контроль и измерение ИБ

    В силу существования необходимости, в специфических и редкоиспользуемых навыков, в трех остальных типах ИБ активностей, при внедрении многих средств обеспечения ИБ, внедрение уже по факту обычно передано на аутсорсинг интеграторам.
    Из трех оставшихся, В и Г довольно часто только управляются подразделением обеспечения ИБ, а выполняются другими подразделениями (ИТ и аудитом\внутренним контролем соответственно), т.е. их передача пройдет более гладко чем активностей по планированию ИБ.
    С другой стороны, планирование тоже возможно аутсорсить (аутсорсят же управление рисками), оставив только сервис-менеджеров услуг ИБ..... но, отдав решительно все типы активностей повышаются риски в части контроля за обеспечением ИБ (подрядчики могут между собой договориться и получится некий "черный ящик").
    Отношение руководства организации к этому overall risk и его компонентам, и является ответом на вопрос, может ли предприятие аутсорсить всю безопасность, или конкретные типы ее активностей наружу (аутсорсинг в кэптивную ИТ-компанию типа РН-Информ\ИТСК не рассматриваю как "наружу" в силу наличия контрольного пакета аутсорсера у заказчика).

Комментариев нет:

Отправить комментарий