Кисель Николай Николаевич
Государственный ВУЗ " Национальный горный университет ", Украина
ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ БИЗНЕС-ПРОЦЕССОВ
ВВЕДЕНИЕ
Первый шаг на пути к
аутсорсингу – определиться с тем, действительно ли эти функции необходимо
передавать или разговоры об аутсорсинге просто дань моде. Но, если же
аутсорсинг является наиболее выгодной альтернативой, то важно знать и учитывать
то, что при его использовании стоит обратить внимание на качество обеспечения
информационной безопасности этих взаимоотношений. [1]
АУТСОРСИНГ
И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ – ПОНЯТИЯ ВЗАИМОИСКЛЮЧАЮЩИЕ?
Нельзя опираться и на
понимание «информационной безопасности» как «безопасности информации».
Во-первых, в этом случае понятие информационной безопасности сливается с
понятием защиты информации. Использовать же два понятия для обозначения одного
и того же явления действительности неразумно. Во-вторых, при этом
информационная безопасность понимается слишком узко: нельзя сводить
ин-формационную безопасность только к безопасности (защите) информации, в
рамках информационной без-опасности должна обеспечиваться еще, как минимум, и
защита от использования недостоверной информации.
Говоря об обеспечении
информационной безопасности при аутсорсинге, правильнее всего понимать под этим
термином систему мер по безопасному хранению информации, упорядочению и
контролю информационных потоков. Информационная безопасность, таким образом –
это, прежде всего, отсутствие небрежности в обработке, передаче, хранении
информации.
Проблемы обеспечения
информационной безопасности при аутсорсинге можно рассматривать как правовой
аспект, при этом сравнив механизмы обеспечения безопасности в рамках
организации и при обращении к услугам сторонних поставщиков. С точки зрения
права, все процессы, происходящие внутри организации, могут быть урегулированы
на основании локальных актов. Локальными актами работникам организации могут
быть определены обязанности по обеспечению информационной безопасности,
установлены меры контроля исполнения данных обязанностей, меры ответственности
за нарушение обязанностей.
Иначе складывается
ситуация, если функции по обеспечению отдельных направлений деятельности
организации передаются третьим лицам. Организация-аутсорсер для заказчика
выступает своего рода «черным ящиком»: контролировать процессы внутри
аутсорсера для заказчика не представляется возможным. Единственное, что можно
требовать от аутсорсера – соблюдения тех обязательств, которые были
предусмотрены соглашением между ним и заказчиком, и возмещения убытков в случае
нарушения данных обязательств или причинения вреда.
В данной ситуации
есть как положительные, так и отрицательные стороны. Положительный фактор
заключается в том, что заказчику уже нет необходимости контролировать процессы,
отданные на аутсорсинг: так как данный вид деятельности передан профессионалам,
и именно на них лежит ответственность за надлежащую реализацию. В случаи, если
аутсорсер не выполняет своих обязанностей, то он обязан возместить все
понесенные заказчиком убытки в полном объеме. С работников же взыскать
причиненные ими убытки можно, как правило, лишь в размере ежемесячного
заработка. С другой стороны, специфика передаваемых на аутсорсинг видов
деятельности может быть такой, что чрезвычайные ситуации в них легче
предотвратить, чем ликвидировать. При таком положении, стоит задуматься о том,
чтобы усилить внутренние возможности компании и не передавать этот
бизнес-процесс на аутсорсинг, дабы избежать значительно ущерба.
Вопрос об обеспечении
информационной безопасности при аутсорсинге имеет большое значение. Оптимизация
бизнес-процессов путем передачи непрофильных направлений деятельности на
аутсорсинг позволяет повысить эффективность расходов; но обращение к
аутсорсерам требует внедрения мер обеспечения информационной безопасности в
отношениях с ними, а, следовательно, и расходов на эти меры. Вопрос обеспечения
информационной безопасности при аутсорсинге, это вопрос нахождения оптимального
баланса между аутсорсингом (и приносимой им экономией средств) и информационной
безопасностью (и расходами на ее обеспечение).
Поиск оптимального
баланса между интересами информационной безопасности и использованием
аутсорсинга, в некоторых случаях, может быть упрощен за счет применения
средств, обеспечивающих исполнение аутсорсером своих обязательств. Одним из
таких методов может быть рассмотрено страхование. [2]
ВЫВОДЫ
На основе вышеизложенного
можно сделать следующие выводы, что для успешного партнерства при аутсорсинге
очень важно найти хорошего поставщика услуг, которому можно доверять, однако
еще важнее определить внутри организации следующее: что делается
самостоятельно, а что передается на аутсорсинг. При этом необходимо проводить
постоянные оценки, так как применение аутсорсинга зависит:
- от величины
допустимого риска;
- от ограничений
бюджета;
- от собственной
компетенции;
- от собственных
технических и кадровых возможностей.
СПИСОК
ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1.Невский А.Г. Практика
управления информационной безопасностью. ISACA.RU 2002.
http://www.cobit.ru/security/Pubs/Pub5_AAM_ADT.htm.
2.Будзко В.И.,
Киселев Э.В. Проблемы защиты информации от легального пользователя// Тез. докл.
первой общероссийской ежегодной научно-практической конференции «Защита
информации» 17-20 сентября 2002 г.