Риски информационной безопасности при передаче систем на аутсорсинг

Передача организацией на основании договора определенных бизнес-процессов или производных функций на обслуживание

Модели аутсорсинга

Выбранная модель и состав передаваемых функций определяют возникающие риски информационно безопасности

Какие системы передать на аутсорсинг?
Какая информация содержится в системе и какова

Новые условия окружения

Резко сужается круг доверенных лиц
Более активное использование внешних каналов связи
Неизвестная

Источники (факторы) риска

Готов ли менеджмент Компании-Заказчика к обработке рисков взаимодействия?

Готова ли

Новые риски

От выбранной модели и полноты передаваемых функций зависит итоговый перечень актуальных

Общий подход к менеджменту рисков

* Качественный, количественный или комбинированный подход

*

Применение менеджмента рисков к передаче систем на аутсорс

Выделить области изменений в системе

Основные этапы управления рисками

Идентификация активов
Оценка активов
Идентификация угроз и уязвимостей
Идентификация имеющихся контролей
Оценка рисков

Факторы влияющие на уровень риска

эффективность мер контроля

Потенциал нарушителя

Степень воздействия

Ценность активов

Вероятность

Последствия

УРОВЕНЬ РИСКА

Мотивация

Возможности

Результаты работ
Перечень новых рисков, возникающих в связи с передаче систем на аутсорсинг
Для

Ключевые моменты работ

Согласование шкал и критериев оценки активов и последствий
Увязка с существующими

Пример оценки

Пример контролей по снижению риска

Пример шкалы оценки активов по свойству конфиденциальности

Возможные трудности

Нечеткая классификация информации на стороне клиента
Плохо формализованные требования на стороне клиента
Невозможность

«Хороший» провайдер

Готов фиксировать в договорных обязательствах свою ответственность за нарушение режима КТ