Передача на IT аутсорсинг функций по обеспечению информационной безопасности. Часть 2

Во второй части нашего материала мы продолжаем поднятую ранее тему.

Клиенту затруднительно контролировать текучесть кадров в аутсорсинговой организации. При ее высоком показателе безопасность ИТ инфраструктуры заказчика может оказаться под угрозой. Вот почему необходимо тщательно проработать все возможности нарушения секретности в SLA.

IT аутсорсинг подразумевает как наличие механизмов контролирования деятельности поставщика услуг со стороны клиентской компании, так и компенсацию при возникновении утечки информации. Эксперты отмечают, что угрозы со стороны инсайдеров могут быть гораздо более реальными, чем внешние. Например, легко можно вспомнить случаи, когда из-за конфликта с начальством штатный специалист стремился нанести вред компании, выполняя функции обеспечения информационной безопасности. При аутсорсинге такое практически невозможно.

SLA позволяет регламентировать также и взаимные обязательства сторон при временной недоступности IT сервисов. Степень ответственности аутсорсера, прописанная в контракте, может во много раз превышать степень ответственности штатного системного администратора. Согласитесь, что это хороший стимул для ответственного выполнения своих обязанностей. Аутсорсинговые фирмы, специализирующиеся в области информационной безопасности, обычно отвечают за работу системы защиты периметра информационной сети.

Это означает и контроль Интернет-трафика, и контролирование безопасности шлюзов и корпоративных серверов, а также создание и управление VPN сетями. Самой популярной у отечественных компаний стала защита корпоративной почты. Аутсорсерам передается также система обнаружения внешних сетевых угроз. При помощи программно-аппаратных средств в Российской Федерации функции системы обеспечения информационной безопасности удается выполнять удаленно.

С целью контроля Интернет-трафика сейчас задействуются прокси-серверы, физически находящиеся на территории профильной организации, что позволяет увеличить скорость реагирования специалистов при сбоях и неисправностях. Пожалуй, самым распространенным критерием оценки рисков остается доступность тех сервисов, которые были переданы на обслуживание IT аутсорсингом.

В третьей части нашего материала мы расскажем о влиянии передачи серверов компании на обслуживание в центр обработки данных на степень информационной безопасности.