Цикл статей: "Информационная безопасность в компании: в чьи руки вверить безопасность"

Цикл статей: "Информационная безопасность в компании: в чьи руки вверить безопасность"
Вот и завершаем мы цикл статей, касающийся вопросов обеспечения информационной безопасности в организации. Тема эта очень обширная и актуальная сегодня как никогда. Можно еще много рассказать о том, каким образом, как правильно организовать этот процесс в организации, как определить конфиденциальную или критичную информацию, какие этапы и в каком порядке проводить, но сегодня мы рассмотрим вопрос выбора компании-аутсорсера. Кому мы сможем доверить такой ключевой процесс, как обеспечение информационной безопасности?

В первую очередь при выборе компании-исполнителя работ необходимо обратить внимание на наличие лицензий. Оказание услуг в области защиты информации – это лицензируемый вид деятельности. Какие лицензии нам нужны?

Лицензия на оказание услуг в области технической защиты информации, выдает эту лицензию Федеральная служба по техническому и экспортному контролю России. Если мы планируем защищать информацию с использованием криптографических (шифровальных средств), то нам нужна лицензия на оказание услуг в области криптографии (шифрования). Эту лицензию выдает Федеральная служба безопасности России.

Далее, я рекомендую смотреть на штат организации, время и качество работы на рынке и квалификацию сотрудников. Эти моменты очень важны, так как работы будут выполнять именно сотрудники компании, их должно быть достаточное количество, чтобы иметь возможность постоянно уделять внимание решению поставленных вопросов. Уровень квалификации сотрудников подтверждается документами о повышении квалификации, срок давности таких документов – 3 года. Законодательство в этой сфере меняется достаточно часто, поэтому важным вопросом является своевременность получения знаний в этой области.

Также хотелось бы обратить ваше внимание на такие показатели как время и качество работы на рынке, чем дольше организация работает на рынке, тем больше у нее опыта и собственных наработанных методик. Показателем качества работы являются отзывы клиентов, поэтому если вам предоставляются рекомендательные письма, отзывы клиентов, рекомендую не полениться и позвонить в эти организации и уточнить о специалистов, насколько качественно была выполнена работа, насколько удобно было работать с компанией-аутсорсером, возникали ли какие-то сложности и т.п.

С другой стороны, чем моложе компания или меньше по штату, тем легче и проще она пойдет на решение дополнительных вопросов, неуказанных в договоре на оказание услуг, а также стоимость работ может существенно отличаться в меньшую сторону, чем у компании-гиганта, так как для такой компании очень важно получить и не потерять клиента. Поэтому здесь всегда нужно оценивать риски и соотношение цены и качества, поскольку вопрос доверия и сохранности конфиденциальной информации становится критическим. 

Обязательно хочу напомнить о том, что кого бы вы ни выбрали в рамках договора должно быть прописано соглашение о конфиденциальности, в котором необходимо указать перечень конфиденциальной информации, ответственность сторон за ее разглашение и обязанность сохранить эту информацию в тайне в тот период времени, который вы для нее определили. Это позволит при возникновении конфликтных ситуаций или инцидентов определить меру ответственности для компании-аутсорсера, а также снизит наши риски по раскрытию информации третьим лицам. 

В заключении хочу сказать о том, что если вы задумались о защите критичной для вас информации, то стоит помнить, что это в первую очередь процесс, а не ряд мер. Нельзя выполнить запланированные работы и сказать, что у нас все защищено, процесс подразумевает под собой постоянное внимание и постоянные работы в этом направлении. 

Желаю вам успеха на поприще обеспечения информационной безопасности и пусть все угрозы обойдут вас стороной! 

Автор: Эльмира Гатиятуллина,
заместитель генерального директора
по информационной безопасности, ГК "Такснет"
 

Другие статьи