1187

Информационная безопасность: 10 шагов к управлению рисками поставщиков

кибер_аттаки.jpg

Сегодня как никогда актуальна тема кибербезопасности. Все чаще киберприступники выбирают поставщиков в качестве мишеней. Это говорит о том, что умение управлять рисками – один из ключевых показателей компетентности современных компании.

Представим, что вы – компания по исследованию рынка, клиенты доверяют вам для хранения и обработки конфиденциальную информацию. Ваша прямая обязанность – принять все меры, чтобы ее сохранить. Насколько вы уверены в компетентности сотрудников по этому вопросу? Давайте проанализируем. Есть группа поставщиков (IT-услуги, заработная плата/авансы, юридические услуги, даже ваша клининговая компания), которые особо подвержены риску кибератаки, и это несет угрозу информационной безопасности. Как определить наиболее критичные риски, связанные с поставщиками, и как можно удостовериться, что эти риски постоянно находятся под контролем?

Ответ на эти вопросы и есть заданием политики по управлению рисками поставщиков и основным задание информационной безопасности. Повышение защищенности информации – это требование, которое предусмотрено в международном стандарте информационной безопасности  ISO 27001. Оно становится все более популярным среди многих отраслей и обеспечивает сертифицированные общие условия, которые подлежат проверке. Согласно стандарту, требования об информационной безопасности должны быть согласованы с поставщиком и задокументированы.

Ниже представлены 10 основных шагов политики по управлению рисками для разных областей, которые могут быть применимы к поставщикам, находящимся в зоне риска:

1. Определите поставщика и услугу/продукт, которую он предоставляет.
2. Опишите процесс предоставления поставщиком продукта или услуги.
3. Определите типы информации и данных, к которым будет иметь доступ поставщик.
4. Определите критические контрольные точки в этом информационном потоке.
5. Проанализируйте, какие виды контроля должны быть установлены для обеспечения работы поставщика и поддержки           
             уверенности, целостности и доступность ваших данных, когда они находятся в распоряжении поставщика.
6. Установите и четко распишите, каким образом поставщик будет продолжать предоставлять услуги вам, если появятся проблемы или произойдет cбой в работе.
7. Определите и согласуйте, как поставщик будет реагировать в случае возникновения непредвиденных проблем.
8. Выберите основной способ контакта с поставщиком.
9. Выясните, как будут проводиться необходимые изменения.
хакер.jpg
10. Установите порядок и схему проверки указанных выше этапов и шагов.

Грамотная политика по управлению рисками поставщиков – незаменимый компонент регулирования отрасли финансовых услуг. 

Если вы работаете в этой области, поставьте себе следующие вопросы: 

Проводите ли вы проверку данных руководящего состава компании-поставщика?
Пересматриваете ли вы их финансовые показатели? 
Требуете ли вы проведения независимого тестирования на возможность проникновения в систему каждый квартал?

И помните, что бы ни было включено в вашу политику по управлению рисками, оно должно быть согласовано с компаниями-поставщиками. Управление рисками – это постоянный процесс, который гарантирует, что ваша организация получает наибольшую выгоду от ограничения рисков самым эффективным путем.


Дата размещения: 04.05.2016
смотреть следующую новость

Другие новости

Связаться с нами