Обеспечить информационную безопасность (далее — ИБ) по всем фронтам некоторым компаниям бывает сложно. Проблемы, как правило, возникают из-за ограниченности бюджета на ИБ (покупка специализированных решений может быть просто нецелесообразной), либо из-за нехватки квалифицированных кадров в области защиты информации и информационной безопасности (держать в штате высокооплачиваемых специалистов для некоторых — непозволительная роскошь). Выход в таком случае — заказ услуг по защите конфиденциальной информации и обеспечению ИБ у сторонних подрядчиков.

Давайте рассмотрим, какие услуги по технической защите конфиденциальной информации предлагают современные компании, какие процессы им можно доверить, а с чем придется справляться своими силами.

На аутсорсинг можно отдать практически любые процессы, связанные с обеспечением информационной безопасности. Такие услуги могут быть единовременными или оказывающимися на постоянной основе.

Единовременные услуги по защите информации

1.            Разработка нормативных документов по ИБ и защите информации.

2.            Аудит информационной безопасности и ИТ-инфраструктуры.

3.            Расследование инцидентов и киберпреступлений (форезника).

4.            Внедрение решений для защиты конфиденциальных данных.

Разработка нормативных документов по информационной безопасности и защите информации

Можно попытаться сделать документацию самостоятельно. Но на это потребуется немало времени и сил (особенно, если у штатных специалистов нет аналогичного опыта). Дело в том, что законодательство по защите информации не содержит конкретного перечня документов, которые должны разрабатываться. Но в то же время 152-ФЗ, приказ ФСТЭК №17, стандарты ISO 2700х и другие руководящие документы указывают, что какие-то документы в компании быть должны.

Вот несколько примеров:

·              В статье 19 152-ФЗ в качестве одного из пунктов, которым обеспечивается безопасность персональных данных, фигурирует «…учетом машинных носителей персональных данных…». Очевидно, что для этого нужен какой-то журнал или книга учета.

·              Пункт 9 приказа ФСТЭК №17 обязует компании, работающие с персональными данными, иметь администратора безопасности. Чтобы его назначить, требуется приказ и должностная инструкция.

·              Статья 18.1 «Закона о персональных данных», указывает, что для пользователей, работающих с персональными данными и другой конфиденциальной информацией, нужны инструкции.

И таких пунктов с косвенными упоминаниями документов в различных нормативных актах немало. Чтобы правильно и в полном объеме подготовить необходимый набор документов, нужно знать массу нюансов. Конечно же, необходимо учитывать специфику работы компании и особенности области, в которой она работает.

Поэтому для многих быстрее и дешевле будет воспользоваться такой услугой от компании, имеющей опыт в данной сфере, чем пытаться составить документы своими силами.

Аудит ИБ, IT-инфраструктуры и мер по защите конфиденциальной информации

Аудит — популярная услуга по защите конфиденциальной информации. Он проводится с целью получения количественных и качественных оценок, позволяющих судить о состоянии информационной безопасности в компании и ее соответствии определённым критерием.

Эта услуга по защите важной информации может заказываться в следующих целях:

·              Приемка ИТ-инфраструктуры или ее отдельных компонентов от заказчика, чтобы оценить соответствие ТЗ.

·              Оценка соответствия инфраструктуры и ИБ в компании требованиям нормативных актов в области защиты персональных данных и другой информации (152-ФЗ, GDPR, документы ФСТЭК и пр.).

·              Поиск и локализация возможных каналов и мест утечки информации.

·              Подготовка к прохождению сертификации, проверкам заинтересованных ведомств и другим событиям.

·              Масштабирование информационных систем компании. Аудит поможет снизить риск потенциального ущерба.

По результатам оказания этой услуги по защите конфиденциальной информации клиент получает рекомендации по устранению выявленных проблем. Зачастую у аудитора сразу можно заказать и услуги по выполнению этих рекомендаций.

Расследование инцидентов в области информационной безопасности

Это услуга по защите информации, которая позволит получить полную картину по причинах утечки данных и других инцидентах, а также принять меры к пресечению подобных ситуаций в дальнейшем. В ходе расследования проводится анализ оповещения антивирусов, межсетевых экранов, IDS, DLP и иных решений. Специалисты опрашивают сотрудников компании. Часто вместе с этой услугой проводится и аудит IT-инфраструктуры на предмет качества и полноты мероприятий по защите уязвимой информации.

Внедрение решений для защиты информации

Услуга, как правило, оказывается в комплексе. Подрядчик проводит аудит IT-инфраструктуры и ИБ, выбирает по его результатам подходящие решения, разрабатывает пакет документов и вводит все в эксплуатацию. Что и как внедрять, зависит от специфики компании, характера данных с которыми она работает, и ряда других факторов.

 

Услуги по защите информации, оказываемые на постоянной основе

На постоянный аутсорсинг можно отдавать практически любые мероприятия по обеспечению защиты конфиденциальной информации. Компании, оказывающие услуги в этой сфере, берут на себя управление и мониторинг таких составляющих систем ИБ, как:

·              Антивирусы и межсетевые экраны.

·              Системы обнаружения (IPS) и предотвращения (IDS) вторжений, предотвращения утечек (DLP-системы).

·              Виртуальные частные сети (VPN).

·              Инфраструктуры открытых ключей (PKI).

·              SIEM (системы сбора и обработки информации об инцидентах).

2 важных фактора, которые нужно учесть при заказе услуг по защите информации

Чтобы получить качественные услуги и уверенность в том, что ваши данные хорошо защищены, обратите внимание на 2 фактора, без которых о качестве говорить нельзя:

1.            Оценка оказываемых услуг должна производиться по измеримым метрикам. Никаких расплывчатых понятий и определений. Пример такой метрики — время реакции на инцидент. Лучший вариант, когда к договору прилагается SLA.

2.            На поставщика услуг ни в коем случае не должны перекладываться функции принятия рисков. Заказчик сам принимает решения по закрытию спорных вопросов и нейтрализации угроз, с учетом рекомендаций аутсорсера.

 

Таким образом, защитить важную информацию можно и без многочисленного штата специалистов по ИБ. Главное – найти надежную аутсорсинговую компанию, объем и стоимость услуг которой соответствуют вашим целям.

Получить консультацию

Отправить

Solar Dozor – DLP-система с фокусом на человеке

Предотвращает утечки информации, анализирует действия пользователей и помогает проводить расследования

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах