Прочитал статью "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова, потом стандарт, потом еще раз статью. И сам стандарт, и статья о нем оставляют ощущение очень неоднозначное. Пока читаешь – все вроде правильно, все слова складываются в толковые рассуждения. Но в тот момент, когда начинаешь мысленно выстраивать всю эту конструкцию применительно к Банку, понимаешь, что нам предлагают оценить степень разрушения айсберга только по его видимой части. Чтобы эта конструкция заработала, необходима совсем нелокальная революция в мышлении, способах взаимоотношений участников и прочее, прочее, прочее…
Простая аналогия. Сама по себе проблема подтверждения соответствия некоторым требованиям решается давно и успешно в рамках, например, системы менеджмента качества (попробуйте в стандартах серии ГОСТ 9000 заменить слова "менеджмент качества" на "менеджмент информационной безопасности" - очень интересный эффект!). Там все на своих местах. Вот сюда система оценки рисков аутсорсинга легла бы практически идеально.
НО.
Чтобы все заработало, необходимо всего ничего:
1. Создание системы аккредитации (?) компаний-аудиторов ИБ, мнение которых будет приниматься как объективная оценка третьей стороной, Реестр доверенных (?) компаний -?
2. Создание системы подготовки и аттестации аудиторов-специалистов, которые будут проводить эти самые аудиты, ведение реестра аудиторов, контроль своевременной их переподготовки и переаттестации-?
3. Создание системы внешней оценки соответствия требованиям для этих самых аутсорсеров и ведение реестра "доверенных" поставщиков услуг.
Идея стандарта, безусловно, правильная и очень своевременная. Но этого совершенно недостаточно. Я просто набросал несколько мыслей-вопросов, без ответа на которые все замечательные начинания останутся благими намерениями сделать лучше, а вот что получится?
Как всегда?
