Построение стойкой системы защиты информации - это комплексный процесс, в который входит менеджмент информационной безопасности (ИБ), разработка организационно-распорядительной документации (ОРД), внедрение технических средств защиты, регулярный мониторинг и анализ поступающих данных и др. Разработка и сопровождение ОРД является ключевым видом деятельности в ИБ, так как в последствии ОРД влияет на организацию бизнес-процессов подразделений компании и процессов ИБ. Качественно разработанная ОРД позволяет обеспечить выполнение требований регулирующих органов РФ и отраслевых стандартов.
В виду постоянного усложнения ИТ-процессов и расширения требований нормативных актов (№152-ФЗ «О персональных данных», №161-ФЗ «О национальной платежной системе», Стандарт Банка России СТО БР ИББС, Стандарт PCI DSS и др.) разработка и поддержание ОРД в актуальном состоянии становится сложной и трудозатратной задачей для компании.
На практике до 50% времени сотрудника, отвечающего за ИБ в компании, уходит на разработку и сопровождение ОРД, в результате чего остаётся не так много времени на процессы обеспечения ИБ: выявление уязвимостей, внедрение и настройка средств защиты информации, мониторинг событий, обучение персонала, аудит ИТ-инфраструктуры, оперативное реагирование на инциденты ИБ и пр.
В чем же основные проблемы «классического» процесса разработки и сопровождения ОРД в компании:
1. Трата специалистами компании большого количества времени на разработку и сопровождение ОРД в ущерб другим производственным задачам.
2. Зачастую отсутствие опыта и специализированных профессиональных знаний специалистов компании, ответственных за разработку и сопровождение ОРД.
3. Несвоевременная и неоперативная актуализация ОРД.
Резюмируя, можно сказать, что компаниям, желающим обеспечить реальную защиту своих активов, имеет смысл передать процесс управления документацией (разработка и актуализация) на стороннее сопровождение (аутсорсинг).
Основные преимущества выделения процесса управления документацией на аутсорсинг:
1. Сокращение денежных затрат компании на трудовые ресурсы (возможность сэкономить в найме специализированных и высокооплачиваемых специалистов).
2. Оптимизация времени ответственных специалистов по ИБ (у специалистов появляется больше возможности заниматься техническими и оперативными задачами).
3. Разработка и внедренная ОРД осуществляется профессиональными и опытными специалистами, с учетом специфики бизнес-процессов компании и требований регулирующих органов.
4. Минимизация рисков претензий со стороны регулирующих органов.
Аутсорсингом ИТ-систем сейчас никого не удивишь, но аутсорсинг ОРД пока является нераспространённым, но перспективным явлением, суть которого – это выделение методологической работы на сопровождение команде профессионалов, тем самым сокращая издержки и повышая эффективность самого бизнеса.