Прочитал статью "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова, потом стандарт, потом еще раз статью. И сам стандарт, и статья о нем оставляют ощущение очень неоднозначное. Пока читаешь – все вроде правильно, все слова складываются в толковые рассуждения. Но в тот момент, когда начинаешь мысленно выстраивать всю эту конструкцию применительно к Банку, понимаешь, что нам предлагают оценить степень разрушения айсберга только по его видимой части. Чтобы эта конструкция заработала, необходима совсем нелокальная революция в мышлении, способах взаимоотношений участников и прочее, прочее, прочее…

Простая аналогия. Сама по себе проблема подтверждения соответствия некоторым требованиям решается давно и успешно в рамках, например, системы менеджмента качества (попробуйте в стандартах серии ГОСТ 9000 заменить слова "менеджмент качества" на "менеджмент информационной безопасности" - очень интересный эффект!). Там все на своих местах. Вот сюда система оценки рисков аутсорсинга легла бы практически идеально.

НО.

Чтобы все заработало, необходимо всего ничего:
 1. Создание системы аккредитации (?) компаний-аудиторов ИБ, мнение которых будет приниматься как объективная оценка третьей стороной, Реестр доверенных (?) компаний -?

2. Создание системы подготовки и аттестации аудиторов-специалистов, которые будут проводить эти самые аудиты, ведение реестра аудиторов, контроль своевременной их переподготовки и переаттестации-?

3. Создание системы внешней оценки соответствия требованиям для этих самых аутсорсеров и ведение реестра "доверенных" поставщиков услуг.

Идея стандарта, безусловно, правильная и очень своевременная. Но этого совершенно недостаточно. Я просто набросал несколько мыслей-вопросов, без ответа на которые все замечательные начинания останутся благими намерениями сделать лучше, а вот что получится?

Как всегда?

 

 

Василий Окулесский, кандидат технических наук, Центр исследования безопасности ИТ
6 августа, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных