Информационная безопасность: 10 шагов к управлению рисками поставщиков

Представим, что вы – компания по исследованию рынка, клиенты доверяют вам для хранения и обработки конфиденциальную информацию. Ваша прямая обязанность – принять все меры, чтобы ее сохранить. Насколько вы уверены в компетентности сотрудников по этому вопросу? Давайте проанализируем. Есть группа поставщиков (IT-услуги, заработная плата/авансы, юридические услуги, даже ваша клининговая компания), которые особо подвержены риску кибератаки, и это несет угрозу информационной безопасности. Как определить наиболее критичные риски, связанные с поставщиками, и как можно удостовериться, что эти риски постоянно находятся под контролем?

Ответ на эти вопросы и есть заданием политики по управлению рисками поставщиков и основным задание информационной безопасности. Повышение защищенности информации – это требование, которое предусмотрено в международном стандарте информационной безопасности  ISO 27001. Оно становится все более популярным среди многих отраслей и обеспечивает сертифицированные общие условия, которые подлежат проверке. Согласно стандарту, требования об информационной безопасности должны быть согласованы с поставщиком и задокументированы.

Ниже представлены 10 основных шагов политики по управлению рисками для разных областей, которые могут быть применимы к поставщикам, находящимся в зоне риска:

1. Определите поставщика и услугу/продукт, которую он предоставляет.

2. Опишите процесс предоставления поставщиком продукта или услуги.

3. Определите типы информации и данных, к которым будет иметь доступ поставщик.

4. Определите критические контрольные точки в этом информационном потоке.

5. Проанализируйте, какие виды контроля должны быть установлены для обеспечения работы поставщика и поддержки           

             уверенности, целостности и доступность ваших данных, когда они находятся в распоряжении поставщика.

6. Установите и четко распишите, каким образом поставщик будет продолжать предоставлять услуги вам, если появятся проблемы или произойдет cбой в работе.

7. Определите и согласуйте, как поставщик будет реагировать в случае возникновения непредвиденных проблем.

8. Выберите основной способ контакта с поставщиком.

9. Выясните, как будут проводиться необходимые изменения.

10. Установите порядок и схему проверки указанных выше этапов и шагов.

Грамотная политика по управлению рисками поставщиков – незаменимый компонент регулирования отрасли финансовых услуг. 

Если вы работаете в этой области, поставьте себе следующие вопросы: 

• Проводите ли вы проверку данных руководящего состава компании-поставщика?

• Пересматриваете ли вы их финансовые показатели? 

• Требуете ли вы проведения независимого тестирования на возможность проникновения в систему каждый квартал?

И помните, что бы ни было включено в вашу политику по управлению рисками, оно должно быть согласовано с компаниями-поставщиками. Управление рисками – это постоянный процесс, который гарантирует, что ваша организация получает наибольшую выгоду от ограничения рисков самым эффективным путем.