BIS-КОММЕНТАРИЙ к статье "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова
Да, статья интересная, я бы даже сказал, программная. Многие эксперты скажут: «Все хорошо, но проблема еще не решена, надо еще прикладывать усилия, чтобы создать механизмы реализации этого документа». Позволю вступить с ними в полемику. Да, начало положено, да, аутсорсинг принимает правовые очертания. Это хорошо. Но дальше еще требуется много чего, чтобы эта благородная идея стала реальностью. Но это дальше, в последствии.
Мне кажется, что один из главнейших тезисов этой статьи говорит о необходимости доверия между заказчиком и провайдером аутсорсинга. Эти факторы доверия должны иметь не меньшее значение при выборе провайдера, чем целевой уровень защищённости информационных ресурсов или экономические преимущества от сотрудничества.
И очень отрадно, что Банк России, по заявлению автора, позаботился о том, чтобы создать атмосферу доверия к поставщикам через механизм внешнего аудита. Но, к сожалению, на сегодня действенных механизмов достижения такого доверия – нет. Их предстоит выработать. И, думаю, экспертному сообществу надо сосредоточиться именно на выработке этого механизма, а не на критике самого документа. Каждый мыслит по-своему, каждый решает за себя, но это не значит, что стандарт по аутсорсингу – плохой или неправильный. Но также нельзя забывать про принципиальное решение о передаче функций по информационной безопасности на аутсорсинг — про волю заказчика. Можно передать функции, можно передать некоторые риски, можно передать даже часть ответственности — но не само решение.
И еще, хочу обратить внимание на две ипостаси, которые раскрывает стандарт. С одной стороны, это обеспечение информационной безопасности при передаче бизнес-процессов на аутсорсинг. И с другой стороны – передача непосредственно функций информационной безопасности на аутсорсинг. Это две разные функции. При передаче функций информационной безопасности риски аутсорсинга связаны с нарушением свойств информации, а уж потом, как следствие, нарушение бизнес-процессов. При передаче на аутсорсинг бизнес-процессов – эти риски напрямую в нарушении бизнес-процессов. И об этом всегда надо помнить.
Ну, и напоследок, ложку дегтя. Не понятно почему автор говорит о том, что вопросы киберустойчивости, информационной безопасности в перспективе предстоит рассматривать в рамках операционных рисков организаций финансовой сферы. На мой взгляд, эти вопросы надо рассматривать уже сейчас, а не откладывать на будущее. Разрывать бизнес-процессы, а следовательно и операционные риски от информационной безопасности нельзя.
