Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Безопасная смена подрядчика

Безопасная смена подрядчика

Безопасная смена подрядчика информационной системы предприятия

Одним из способов оптимизации расходов на содержание ИТ-инфраструктуры является переход на аутсорсинговое обслуживание. В большинстве случаев это предоставляет не только экономическую выгоду, но и позволяет избежать ряда организационных проблем. Сложности, однако, случаются, когда по причине неудовлетворительного качества работы, в ходе слияния компаний, смены собственника и других обстоятельств, приходится менять подрядчика. Как грамотно организовать этот процесс, обеспечив безопасность информационных активов, мы расскажем в этой статье.

 

Кому передать дела

Для начала стоит подобрать новую компанию, которая будет заниматься поддержкой вашей инфраструктуры. Ситуации, когда произошел отказ от старого подрядчика, но договор на обслуживание с новым не заключен — не приемлемы. В случае если Вы хотите отказаться от услуг аутсорсеров в пользу штатных специалистов — произвести подбор персонала. При выборе подрядчика стоит руководствоваться следующими пунктами:

·        выбирать надежную, зарекомендовавшую себя компанию, для которой неприемлемы репутационные риски;

·        составить договор с учетом особенностей вашего ведения бизнеса – чем подробнее будут описаны ответственные лица, время поддержки, периоды предоставления отчетов, ценообразование, процесс резервного копирования, хранения и уничтожения резервных копий — тем лучше;

·        составить и утвердить план отказа от услуг (выхода из аутсорсинга), согласованного обеими сторонами с участием ИТ-специалистов;

·        подписать соглашение о конфиденциальности;

·        заключить SLA (договор о качестве оказания услуг), в котором  прописаны ожидания обеих сторон по качеству обслуживания.

Если следовать этим рекомендациям, то в дальнейшем смена подрядчика ИС либо вообще не понадобится, либо будет происходить гладко и без возможных «подводных камней».

 

Как осуществлять передачу дел

Следующим действием станет создание проекта перехода с обязательным указанием сроков. Лучше всего разделить его на этапы, в конце каждого из которых на обслуживание принимается один объект. Разумеется, в небольших компаниях сроки перехода могут занимать от одного дня до нескольких недель, а крупные организации могут затратить на этот процесс несколько месяцев. В случае если с предыдущим подрядчиком был грамтоно составлен договор (как указано в рекомендациях выше), этот процесс существенно упростится.

Стоит отметить, что все системы аутсорсингового обслуживания базируются на доверительных отношениях между клиентами и подрядчиками. В случае соблюдения обеими сторонами пунктов договора, смена подрядчика будет простой и безболезненной.

После передачи дел новому подрядчику, следует (своими силами, силами подрядчика, либо с помощью другой сторонней организации) провести аудит безопасности информационных систем. Чем раньше это будет сделано, тем лучше. Особое внимание следует уделить следующим пунктам.

·        Учетным записям домена и локальных машин с привилегиями администратора. Возможно, предыдущий подрядчик создал несколько привилегированных записей и сообщил не обо всех. К тому же, аудит службы каталогов позволит удалить старые записи и снизит нагрузку на сервер.

·        Созданным заданиям, как на серверах, так и на рабочих станциях. Они могут сработать как бомба замедленного действия, запустив определенное приложение, скрипт или команду на удаление в определенный момент времени в будущем, когда о старом подрядчике все забудут.

·        Механизмам резервного копирования, функционирующим внутри организации. Их работоспособность существенно повышает шансы организации безболезненно восстановиться после сбоев.

·        Сетевому оборудованию (пользователи и их уровень доступа, сетевые правила), настройкам межсетевого экрана. Не лишним будет получить контроль над маршрутизаторами и запретить доступ из сети бывшего подрядчика.

·        Антивирусному программному обеспечению (АВПО), его наличию на всех ПК организации, и его настройкам. АВПО позволяет значительно снизить риски информационной безопасности. Его наличие на всех ПК — требование любого международного стандарта информационной безопасности. Необходимо убедиться, что защита настроена правильно, с необходимыми уровнем проверки и частотой обновления.

·        Программному обеспечению, реализующему возможность удаленного доступа и его настройкам. Необходимо провести смену портов, пользователей и паролей, закрытие возможности подключения из сети бывшего подрядчика.

В случае конфликта со старым подрядчиком, необходимо уведомить об этом нового. Пароли, полученные в процессе отказа от услуг необходимо менять сразу, желательно при участии специалистов. Не стоит забывать, что пароли должны меняться не только в службе каталогов домена или локальной сети, но и на сетевых устройствах.

Необходимо получить резервные копии ваших данных у старого подрядчика и проконтролировать их уничтожение на его стороне. В таком случае, вы можете не переживать за секреты своей компании.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности