Прочитал статью "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова, потом стандарт, потом еще раз статью. И сам стандарт, и статья о нем оставляют ощущение очень неоднозначное. Пока читаешь – все вроде правильно, все слова складываются в толковые рассуждения. Но в тот момент, когда начинаешь мысленно выстраивать всю эту конструкцию применительно к Банку, понимаешь, что нам предлагают оценить степень разрушения айсберга только по его видимой части. Чтобы эта конструкция заработала, необходима совсем нелокальная революция в мышлении, способах взаимоотношений участников и прочее, прочее, прочее…

Простая аналогия. Сама по себе проблема подтверждения соответствия некоторым требованиям решается давно и успешно в рамках, например, системы менеджмента качества (попробуйте в стандартах серии ГОСТ 9000 заменить слова "менеджмент качества" на "менеджмент информационной безопасности" - очень интересный эффект!). Там все на своих местах. Вот сюда система оценки рисков аутсорсинга легла бы практически идеально.

НО.

Чтобы все заработало, необходимо всего ничего:
 1. Создание системы аккредитации (?) компаний-аудиторов ИБ, мнение которых будет приниматься как объективная оценка третьей стороной, Реестр доверенных (?) компаний -?

2. Создание системы подготовки и аттестации аудиторов-специалистов, которые будут проводить эти самые аудиты, ведение реестра аудиторов, контроль своевременной их переподготовки и переаттестации-?

3. Создание системы внешней оценки соответствия требованиям для этих самых аутсорсеров и ведение реестра "доверенных" поставщиков услуг.

Идея стандарта, безусловно, правильная и очень своевременная. Но этого совершенно недостаточно. Я просто набросал несколько мыслей-вопросов, без ответа на которые все замечательные начинания останутся благими намерениями сделать лучше, а вот что получится?

Как всегда?

 

 

Василий Окулесский, кандидат технических наук, Центр исследования безопасности ИТ
6 августа, 2018

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

20.08.2025
NIST советует бороться с морфингом ещё с порога
20.08.2025
Голосовая связь в Telegram блокируется, но сам сервис растёт
20.08.2025
ChatGPT съел половину мирового ИИ-трафика, а шестое поколение бота будет внимательнее и безопаснее
20.08.2025
Сроки предоставления данных по запросу силовиков сократят
20.08.2025
«Увеличение технологических угроз требует инновационных страховых механизмов»
19.08.2025
«Селеронъ»? В Москве попросили аннулировать охрану суббренда Intel
19.08.2025
MIT: ИИ не запоминает обратную связь и не адаптируется со временем
19.08.2025
Б1: К новому десятилетию ИТ-рынок России сбавит скорость
19.08.2025
Корона сдала назад. iCloud — на прежних позициях
19.08.2025
Мнение: Антифишингу нужны новые методы и сугубо научная оценка их эффективности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных