Блог
17.09.2020
21.06.2019
24.12.2018
19.08.2016
24.05.2016
14.08.2015
15.05.2015
16.04.2015
27.03.2015
20.11.2014
13.11.2014
Управление документацией: экономия и эффективность

Построение стойкой системы защиты информации - это комплексный процесс, в который входит менеджмент информационной безопасности (ИБ), разработка организационно-распорядительной документации (ОРД), внедрение технических средств защиты, регулярный мониторинг и анализ поступающих данных и др. Разработка и сопровождение ОРД является ключевым видом деятельности в ИБ, так как в последствии ОРД влияет на организацию бизнес-процессов подразделений компании и процессов ИБ. Качественно разработанная ОРД позволяет обеспечить выполнение требований регулирующих органов РФ и отраслевых стандартов.

В виду постоянного усложнения ИТ-процессов и расширения требований нормативных актов (№152-ФЗ «О персональных данных», №161-ФЗ «О национальной платежной системе», Стандарт Банка России СТО БР ИББС, Стандарт PCI DSS и др.) разработка и поддержание ОРД в актуальном состоянии становится сложной и трудозатратной задачей для компании.

На практике до 50% времени сотрудника, отвечающего за ИБ в компании, уходит на разработку и сопровождение ОРД, в результате чего остаётся не так много времени на процессы обеспечения ИБ: выявление уязвимостей, внедрение и настройка средств защиты информации, мониторинг событий, обучение персонала, аудит ИТ-инфраструктуры, оперативное реагирование на инциденты ИБ и пр.

 

В чем же основные проблемы «классического» процесса разработки и сопровождения ОРД в компании:

1. Трата специалистами компании большого количества времени на разработку и сопровождение ОРД в ущерб другим производственным задачам.

2. Зачастую отсутствие опыта и специализированных профессиональных знаний специалистов компании, ответственных за разработку и сопровождение ОРД.

3. Несвоевременная и неоперативная актуализация ОРД.

Резюмируя, можно сказать, что компаниям, желающим обеспечить реальную защиту своих активов, имеет смысл передать процесс управления документацией (разработка и актуализация) на стороннее сопровождение (аутсорсинг).

 

Основные преимущества выделения процесса управления документацией на аутсорсинг:

1. Сокращение денежных затрат компании на трудовые ресурсы (возможность сэкономить в найме специализированных и высокооплачиваемых специалистов).

2. Оптимизация времени ответственных специалистов по ИБ (у специалистов появляется больше возможности заниматься техническими и оперативными задачами).

3. Разработка и внедренная ОРД осуществляется профессиональными и опытными специалистами, с учетом специфики бизнес-процессов компании и требований регулирующих органов.

4. Минимизация рисков претензий со стороны регулирующих органов.

 

Аутсорсингом ИТ-систем сейчас никого не удивишь, но аутсорсинг ОРД пока является нераспространённым, но перспективным явлением, суть которого – это выделение методологической работы на сопровождение команде профессионалов, тем самым сокращая издержки и повышая эффективность самого бизнеса.