Если информационные риски не являются для организации основными, то управление ими можно отдавать на аутсорсинг.
В BS 7799-3 прямо говорится о такой возможности: «Управление рисками безопасности – это непрерывная деятельность, которая должна быть поручена конкретному сотруднику или группе внутри организации, или бизнес-партнеру по аутсорсингу как часть договорных обязательств».
Аутсорсинг управления информационными рисками может включать в себя, например, следующие услуги (список услуг взят из соответствующего коммерческого предложения компании GlobalTrust):
- оценку рисков с использованием программного инструментария;
- мониторинг и анализ существующих механизмов контроля;
- корректировки механизмов контроля;
- административные действия: анализ логов, изменение настроек систем защиты, контроль выполнение политики ИБ;
- изучение отчетов, журнала регистрации инцидентов, результатов аудитов, обратной связи от сотрудников организации;
- пересмотр и обновление политик и процедур;
- подготовку данных для анализа СУИР руководством;
- поддержание реестра рисков и плана обработки рисков в актуальном состоянии;
- регулярную переоценку рисков;
- регулярные внешние аудиты ИБ;
- контроль документации;
- контроль исполнения планов обработки рисков;
- регулярное проведение семинаров в рамках программы повышения осведомленности;
- экономическое обоснование плана обработки рисков для руководства организации;
- измерение эффективности механизмов безопасности, расчет возврата инвестиций (ROI).
Преимущество аутсорсинга управления рисками такие же, как и у других видов аутсорсинга, – это, прежде всего, экономия средств на поиске, содержании и обучении экспертов и менеджеров по управлению информационными рисками. Нетрудно себе представить, что профессия риск-менеджера, особенно в сфере информационной безопасности, будет оставаться довольно редкой, а значит, хороших специалистов на все организации точно не хватит.
Вопрос аутсорсинга управления рисками пока очень слабо проработан даже на теоретическом уровне. Однако в будущем это направление бизнеса может оказаться перспективным.
