Иллюстрированный самоучитель по Development of safety

       

Привлечение консультантов по защите информации


Привлечение внешних ресурсов стало основой деятельности компьютерной индустрии с тех пор, как компании стали предлагать компьютерную обработку информации на мощных компьютерах в режиме разделения времени. Современные внешние ресурсы могут обеспечить компании обработку любого рода информации, включая и обеспечение защиты информации.

Ниже представлены серьезные аргументы в пользу привлечения консультантов или независимых компаний, специализирующихся на защите информации. При определении целей политики безопасности в отношении внешнего окружения необходимо рассмотреть несколько вопросов.

  • Работа с собственным отделом информационной, безопасности. Даже в том случае, когда защита информации проводится независимыми организациями или для этой работы примечены консультанты со стороны, настоятельно рекомендуется, чтобы в организации существовал хотя бы небольшой собственный отдел безопасности, пусть его штат состоит хотя бы из одного специалиста по информационной безопасности. Информационная безопасность требует доверительных взаимоотношений между пользователями и теми, кто проводит в жизнь политику безопасности. Для некоторых довольно трудно преодолеть психологический барьер и доверить это дело сторонним специалистам.
  • Разработать четкие инструкции. В любом договоре со сторонними организациями или с подрядчиками необходимо четко оговорить функциональные обязанности и ответственность этих аутсайдеров. Но бывает, что высшие интересы организации не позволяют предоставлять свободный доступ аутсайдерам к информационным активам организации. Поэтому, в каждый договор со сторонними организациями, обеспечивающими защиту информации, должны быть внесены рабочие предписания (SOW —statement of work), являющиеся четкими инструкциями для работы. SOW не должны быть документами, определяющими политику безопасности, но их инструкции должны быть утверждены руководством.
  • Определение обязанностей. Другой аспект SOW заключается в определении ответственности сторонних специалистов или подрядчиков за работу, связанную с информационной безопасностью организации. В правилах безопасности необходимо определить ответственность каждого, кто связан с информационной безопасностью организации.


  • Содержание раздела