Безопасность физической инфраструктуры
Стоит уточнить, где находятся дата-центры поставщика, существует ли задокументированный процесс физической защиты офисных помещений. Физическую кражу данных никто не отменял, и компаниям не хотелось бы, чтобы были скомпрометированы их данные, которые обрабатываются на неконтролируемой для них территории.
Защита от утечек
Если у сторонней компании не реализован процесс защиты от утечек, то стоит задуматься, можно ли доверять ему обработку конфиденциальной информации. Есть ли у поставщика средства предотвращения утечек конфиденциальных данных? Есть ли политика допустимого использования ресурсов? И как контролируется выполнение ее требований? Тут же необходимо уточнить вопрос о разграничении доступа к данным (по сути, в части политик данный пункт пересекается с первым).
Криптография
Очень важный пункт, если мы говорим об обработке некоторых категорий данных, например ПДн, где требования к шифрованию предъявляются на законодательном уровне. Готов ли поставщик реализовать шифрование данных при их передаче? Шифруются ли конфиденциальные данные при их хранении?
Управление инцидентами информационной безопасности
Первое, что следует уточнить — случались ли у поставщика инциденты, связанные с утечками клиентских данных. Кроме того, необходимо проверить, выстроен ли у организации процесс реагирования на инциденты, учитываются ли их типы (есть ли инструкции по реагированию на каждый тип инцидента), а также осуществляется ли непрерывный мониторинг событий. Помимо систем безопасности, происходит ли проверка журналов доступа к базе данных логов событий?
