Для обсуждению вопроса аутсорсинга предлагаю использовать CobiT-like разделение ИБ активностей в целом на:
А) планирование ИБ
Б) внедрение контролей ИБ
В) эксплуатацию средств и механизмов ИБ
Г) контроль и измерение ИБ
В силу существования необходимости, в специфических и редкоиспользуемых навыков, в трех остальных типах ИБ активностей, при внедрении многих средств обеспечения ИБ, внедрение уже по факту обычно передано на аутсорсинг интеграторам.
Из трех оставшихся, В и Г довольно часто только управляются подразделением обеспечения ИБ, а выполняются другими подразделениями (ИТ и аудитом\внутренним контролем соответственно), т.е. их передача пройдет более гладко чем активностей по планированию ИБ.
С другой стороны, планирование тоже возможно аутсорсить (аутсорсят же управление рисками), оставив только сервис-менеджеров услуг ИБ..... но, отдав решительно все типы активностей повышаются риски в части контроля за обеспечением ИБ (подрядчики могут между собой договориться и получится некий "черный ящик").
Отношение руководства организации к этому overall risk и его компонентам, и является ответом на вопрос, может ли предприятие аутсорсить всю безопасность, или конкретные типы ее активностей наружу (аутсорсинг в кэптивную ИТ-компанию типа РН-Информ\ИТСК не рассматриваю как "наружу" в силу наличия контрольного пакета аутсорсера у заказчика).
А) планирование ИБ
Б) внедрение контролей ИБ
В) эксплуатацию средств и механизмов ИБ
Г) контроль и измерение ИБ
В силу существования необходимости, в специфических и редкоиспользуемых навыков, в трех остальных типах ИБ активностей, при внедрении многих средств обеспечения ИБ, внедрение уже по факту обычно передано на аутсорсинг интеграторам.
Из трех оставшихся, В и Г довольно часто только управляются подразделением обеспечения ИБ, а выполняются другими подразделениями (ИТ и аудитом\внутренним контролем соответственно), т.е. их передача пройдет более гладко чем активностей по планированию ИБ.
С другой стороны, планирование тоже возможно аутсорсить (аутсорсят же управление рисками), оставив только сервис-менеджеров услуг ИБ..... но, отдав решительно все типы активностей повышаются риски в части контроля за обеспечением ИБ (подрядчики могут между собой договориться и получится некий "черный ящик").
Отношение руководства организации к этому overall risk и его компонентам, и является ответом на вопрос, может ли предприятие аутсорсить всю безопасность, или конкретные типы ее активностей наружу (аутсорсинг в кэптивную ИТ-компанию типа РН-Информ\ИТСК не рассматриваю как "наружу" в силу наличия контрольного пакета аутсорсера у заказчика).
Комментариев нет:
Отправить комментарий