Аутсорсинг процессов управления рисками

Если информационные риски не являются для организации основными, то управление ими можно отдавать на аутсорсинг.

В BS 7799-3 прямо говорится о такой возможности: «Управление рисками безопасности – это непрерывная деятельность, которая должна быть поручена конкретному сотруднику или группе внутри организации, или бизнес-партнеру по аутсорсингу как часть договорных обязательств».

Аутсорсинг управления информационными рисками может включать в себя, например, следующие услуги (список услуг взят из соответствующего коммерческого предложения компании GlobalTrust):

  • оценку рисков с использованием программного инструментария;

  • мониторинг и анализ существующих механизмов контроля;

  • корректировки механизмов контроля;

  • административные действия: анализ логов, изменение настроек систем защиты, контроль выполнение политики ИБ;

  • изучение отчетов, журнала регистрации инцидентов, результатов аудитов, обратной связи от сотрудников организации;

  • пересмотр и обновление политик и процедур;

  • подготовку данных для анализа СУИР руководством;

  • поддержание реестра рисков и плана обработки рисков в актуальном состоянии;

  • регулярную переоценку рисков;

  • регулярные внешние аудиты ИБ;

  • контроль документации;

  • контроль исполнения планов обработки рисков;

  • регулярное проведение семинаров в рамках программы повышения осведомленности;

  • экономическое обоснование плана обработки рисков для руководства организации;

  • измерение эффективности механизмов безопасности, расчет возврата инвестиций (ROI).

 

Преимущество аутсорсинга управления рисками такие же, как и у других видов аутсорсинга, – это, прежде всего, экономия средств на поиске, содержании и обучении экспертов и менеджеров по управлению информационными рисками. Нетрудно себе представить, что профессия риск-менеджера, особенно в сфере информационной безопасности, будет оставаться довольно редкой, а значит, хороших специалистов на все организации точно не хватит.

Вопрос аутсорсинга управления рисками пока очень слабо проработан даже на теоретическом уровне. Однако в будущем это направление бизнеса может оказаться перспективным.