Главная » Новости » Спросите поставщика информационной безопасности: что нужно знать при выборе решений

Спросите поставщика информационной безопасности: что нужно знать при выборе решений

Безопасность физической инфраструктуры

Стоит уточнить, где находятся дата-центры поставщика, существует ли задокументированный процесс физической защиты офисных помещений. Физическую кражу данных никто не отменял, и компаниям не хотелось бы, чтобы были скомпрометированы их данные, которые обрабатываются на неконтролируемой для них территории.

Защита от утечек  

Если у сторонней компании не реализован процесс защиты от утечек, то стоит задуматься, можно ли доверять ему обработку конфиденциальной информации. Есть ли у поставщика средства предотвращения утечек конфиденциальных данных? Есть ли политика допустимого использования ресурсов? И как контролируется выполнение ее требований? Тут же необходимо уточнить вопрос о разграничении доступа к данным (по сути, в части политик данный пункт пересекается с первым).

Криптография

Очень важный пункт, если мы говорим об обработке некоторых категорий данных, например ПДн, где требования к шифрованию предъявляются на законодательном уровне. Готов ли поставщик реализовать шифрование данных при их передаче? Шифруются ли конфиденциальные данные при их хранении?

Управление инцидентами информационной безопасности

Первое, что следует уточнить — случались ли у поставщика инциденты, связанные с утечками клиентских данных. Кроме того, необходимо проверить, выстроен ли у организации процесс реагирования на инциденты, учитываются ли их типы (есть ли инструкции по реагированию на каждый тип инцидента), а также осуществляется ли непрерывный мониторинг событий. Помимо систем безопасности, происходит ли проверка журналов доступа к базе данных логов событий?

Опубликовано: 9 сентября 2021
↓