Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Аутсорсинг безопасности информации: что и кому доверять

(Нет голосов)

04.10.2016 Количество просмотров 1470 просмотров
Артём Сычев, заместитель начальника ГУБЗИ Банка России
Артём Сычев,
заместитель начальника ГУБЗИ Банка России

Анализ существующего опыта и рекомендации Банка России

Необходимо помнить, что передача некоторых отдельных задач безопасности информации на аутсорсинг может грозить банку потерей бизнеса


Тема аутсорсинга информационной безопасности в широком смысле этого термина сегодня на слуху – тема горячая, разве что ленивый к ней не обращался. Авторы настоящей публикации, получившей рабочее название «Эссе на тему как Вовка в Тридевятом царстве аутсорсинг пользовал», не ленивы, за темой следят, а сподвигло их взяться за клавиатуру упоминание 06.07.2016 в Твиттере А. Прозоровым о разработке одной из компаний (не называем ее, здесь нет места рекламе!) проекта рекомендаций Банка России «Аутсорсинг информационной безопасности», который благополучно размещен на сайте ТК 122.

На взгляд авторов, этот проект представляет собой гибрид рекламного буклета системы мониторинга и популяризирующей это направление журнальной статьи, и в этом документе не хватает только одной фразы: «Покупайте наших слонов! Наши слоны самые слонистые слоны в России! Россия – родина слонов!» Авторам настоящей публикации кажется, что подходить к проблеме аутсорсинга так узко просто неприлично. Это же широчайшее поле деятельности! Вот и родилась идея продолжить наши диалоги, немного обобщить уже существующий опыт аутсорсинга безопасности информации (все-таки так правильнее, чем «информационной безопасности»), добавить свое видение проблемы, попытаться положить эти мысли на бумагу и расставить все точки над «i». А визуально поможет в этом Вовка из Тридевятого царства1, который, наверное, один из первых применил схему аутсорсинга, хотя и не всегда удачно.

Сергей Вихорев, директор по ИБ филиала «ПЕТЕР-СЕРВИС Спецтехнологии»
Сергей Вихорев,
директор по ИБ филиала «ПЕТЕР‑СЕРВИС Спецтехнологии»

Что такое аутсорсинг?
Итак, начнем от печки. Аутсорсинг (от англ. outer-source-using), использование внешнего источника и/или ресурса), – передача организацией на основании договора, определенных видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области. И уж конечно, это не «форма организации труда», как указано в упомянутом проекте рекомендаций Банка России, это договорные обязательства: одна сторона поручает что-то сделать, а другая это поручение исполняет, а уж как она «организует труд» – не важно, важен процесс и результат.

Правовая основа аутсорсинга сложна. Здесь есть элементы и аренды, и подряда, и услуги, и агентства, и поручительства. В общем, весь Гражданский кодекс. Хотя больше всего здесь именно услуги: ведь заказчик услуги не всегда ставит во главу угла конечный результат, его больше интересует процесс, который будет исполнять поставщик.

Правда, есть у аутсорсинга и отличительные черты: первая – он, как правило, предполагает долгосрочное сотрудничество поставщика (провайдера сервиса) и заказчика, хотя возможны варианты. Вторая – при аутсорсинге (опять же – как правило) передаются целые процессы (производственные, бизнес-процессы) или отдельные функции. То есть при аутсорсинге всегда есть конечный бизнес-результат, который может быть сепарирован в компании-заказчика. Третья – это то, что поставщик услуг и заказчик «сливаются в экстазе». Не всегда можно точно сказать: то ли поставщик интегрируется в структуру заказчика, то ли наоборот. В общем, они как сиамские близнецы: разъединить их уже нельзя. Вот и получается, что аутсорсинг – это содружество, можно сказать партнерство, между поставщиком услуг и заказчиком, основанное на взаимном доверии, но подкрепленное целым ворохом юридических документов.

Вовка удивлен предложением Двоих из ларца загибать за него пальцы
– «Это вы и пальцы за меня загибать будете?»

Что ждать от аутсорсера
Передача функций обеспечения безопасности информации на аутсорсинг, конечно же, увеличивает риски безопасности информации. Поэтому, прежде чем принять такое решение, необходимо все взвесить и обосновать. В принципе, на аутсорсинг можно передать многое, но надо четко определиться с тем, какие функции передаются на аутсорсинг и есть ли в этом необходимость. А главное, необходимо помнить, что передача некоторых отдельных задач может грозить ни больше ни меньше чем потерей бизнеса. И главное, надо идти с открытым забралом, решение о передаче чего-либо на аутсорсинг должно быть осознано руководством заказчика и задокументировано надлежащим образом.

На аутсорсинг могут передаваться все наиболее ресурсоемкие функции обеспечения безопасности информации, связанные с подготовкой к принятию решения по обеспечению безопасности информации, подготовкой решения по принятию рисков безопасности информации, выполнению отдельных функций безопасности информации, проведению эксплуатации, обслуживания и поддержания в работоспособном состоянии средств защиты информации, оценки соответствия установленным требованиям.

Вовка возмущен, что Двое из ларца едят за него
Это вы и конфеты за меня есть будете? Ну уж нет!

В то же время на аутсорсинг не могут и не должны (!) передаваться функции, связанные непосредственно с принятием решений по обеспечению безопасности информации и (или) выбору требуемого уровня защищенности, функции, а также связанные с принятием рисков безопасности информации. От этого зависит судьба заказчика, и поэтому выпускать решение этих проблем из своих рук нельзя, это остается прерогативой заказчика. Ответственность за обеспечение безопасности информации при передаче даже большей части функций безопасности информации поставщику услуг не может быть передана и всегда остается за заказчиком услуг. А поставщик услуг, в свою очередь, обязан будет выполнять требования документов заказчика, определяющих политику обеспечения безопасности информации.


Есть процессы, передача которых на аутсорсинг связана с нарушением законодательства о банковской и налоговой тайне


Ну и конечно же, решая, что передавать на аутсорсинг, надо помнить о том, что законодательство содержит прямой запрет на передачу сведений, составляющих банковскую тайну (ст. 857 ГК РФ) и налоговую тайну (ст. 102 НК РФ), третьим лицам, и поэтому процессы обработки информации, связанные с предоставлением поставщику услуг возможности ознакомления со сведениями, отнесенными к банковской и налоговой тайне, не могут быть переданы на аутсорсинг.

Отношения между поставщиком и заказчиком услуг строятся на договорной основе. Здесь важно правильно оценить возможности поставщика. Дальше мы отдельно поговорим об этом, а сейчас отметим, что поставщик услуг должен иметь необходимые силы и средства для оказания услуги. Плох тот поставщик, который не может оказать услугу самостоятельно и приглашает для этого своих контрагентов. Заключение договора с поставщиками услуг, допускающими привлечение третьих лиц (контрагентов) для оказания услуги в рамках договора, нецелесообразно. Поставщик услуг должен иметь необходимые лицензии на выполнение работ и оказание услуг, предусмотренных законодательством Российской Федерации, квалифицированный персонал, процессы, методологии, технологии, необходимые для оказания услуги, и надежную репутацию. При заключении договора на оказание услуг очень важно определить конечный результат оказания такой услуги и критерии, позволяющие оценить результативность и качество исполнения услуги. Заказчик услуги должен вести надлежащий контроль за качеством исполнения услуги и ее результативностью. Поставщик услуг обязан предоставить заказчику услуг возможность и необходимые инструменты для осуществления такого контроля, в том числе и с привлечением независимых экспертов.

Вовка удивлен желанием Двоих из ларца делать за него все-все
- Вы правда, что ли, всё-всё за меня делать будете? - Ага!

Что может аутсорсер
Как уже отмечали авторы статьи, поставщик услуг может многое. Конечно, конкретные характеристики услуг (сервисов) безопасности информации зависят от возможностей и ресурсов поставщика услуг и определяются наличием у него квалифицированного персонала, отлаженных процессов и методологии, а также технологий защиты информации.

Чтобы иметь представление о том, что же он может на самом деле, надо все возможные услуги (сервисы) проклассифицировать и разложить по полочкам. Попробуем это сделать.

На основе анализа существующих на рынке услуг, предоставляемых различными поставщиками услуг (провайдерами), все услуги (сервисы) безопасности информации можно разделить на несколько основных групп:

  1. Управленческие сервисы безопасности информации
    • Услуга по организации (налаживанию) процесса обеспечения БИ
    • Услуга по разработке (пересмотру) документов, определяющих политику БИ
    • Услуга по управлению рисками БИ в организации
    • Услуга по разработке архитектуры БИ в организации
  2. Операционные сервисы безопасности информации
    • Услуга повышения осведомленности (обучения) персонала организации
    • Услуга управления безопасностью информации
    • Услуга расследования инцидентов безопасности информации (форензика)
    • Услуга технического обслуживания средств защиты информации
  3. Технологические сервисы безопасности информации
    • Услуга по реализации мер защиты
    • Услуга по предоставлению защищенной инфраструктуры ИС
    • Услуга по оценке безопасности продуктов и ИС
    • Услуга по безопасной разработке прикладного программного обеспечения
    • Услуга по обработке защищаемой информации.

Каждый из элементов сервисов может быть самостоятельной услугой, а может входить в портфель услуг, предоставляемых поставщиком «одним чохом».

Ворох документов
Привлекая поставщика услуг, заказчик пускает его в свою жизнь, встраивает в свои бизнес-процессы. И зачастую отказаться от услуг поставщика бывает сложнее, чем начать отношения с ним. Поэтому правила игры надо выстраивать еще на берегу, до того как приступить к потреблению благ от поставщика. Здесь важно все грамотно юридически оформить, чтобы в дальнейшем не было мучительно больно за бесцельно потраченные деньги. Поэтому и требуется целый ворох правильных документов, охватывающий все аспекты дальнейшего сотрудничества между поставщиком и заказчиком услуг. Пакет документов при передаче функций (процессов) обеспечения безопасности информации поставщику услуг должен включать в себя:

  • договор с поставщиком услуг;
  • соглашение об уровне предоставления услуг (SLA);
  • соглашение о конфиденциальности (NDA);
  • требования по безопасности информации (для отдельных видов услуг);
  • поручение на обработку защищаемой информации (для отдельных видов услуг);
  • регламент взаимодействия.
Замесить и нарубить: замесить дрова, нарубить тесто
- Замесить и нарубить!

Договор с поставщиком услуг
Договор с поставщиком услуг по своей сути является комплексным договором, но в своей основе относится к договорам возмездного оказания услуг, при котором ценностью для заказчика являются сами действия исполнителя в ходе оказания услуги как процесс, а не достижение поставщиком определенного результата. Такой договор оформляется в соответствии с требованиями ст. 779 ГК РФ, которая предусматривает совершение определенных действий или осуществление определенной деятельности поставщиком услуг. Исключение составляет договор на передачу обработки защищаемой информации поставщику услуг, который заключается как договор поручения в соответствии со ст. 971 ГК РФ.

Существенными условиями договора возмездного оказания услуг являются предмет договора (осуществление определенных действий или определенной деятельности) и цена. В договоре должны быть четко указаны перечень услуг и конкретные действия, которые поставщик услуг обязан совершить для заказчика. Можно, конечно, не указывать в договоре конкретный объем услуг, если он определяется в дополнительных соглашениях между сторонами. В договоре, в зависимости от оказываемых услуг, также должны быть отражены:

  • обязанность поставщика услуг оказывать услуги личным исполнением;
  • уровень качества оказываемых услуг;
  • обязанность обеспечения безопасности информации поставщиком услуг;
  • обязанность поставщика услуг не раскрывать третьим лицам и не распространять защищаемую информацию;
  • обязанность поставщика услуг принять технические и организационные меры защиты в соответствии с требованиями заказчика услуг;
  • обязанность поставщика услуг провести оценку эффективности принятых мер защиты;
  • обязанность поставщика услуг соблюдать согласованные показатели качества услуг;
  • право и возможность оператора осуществлять проверку (контроль) принятых мер защиты (аудита безопасности), в том числе с привлечением третьей независимой стороны;
  • право оператора осуществлять проверку (оценку) качества выполнения услуги;
  • санкции за нарушение мер защиты и за невыполнение согласованных ключевых параметров качества услуг и порядок возмещения ущерба;
  • состав услуг, поддерживаемых поставщиком услуг в случае возникновения чрезвычайных ситуаций;
  • порядок приемки оказанных услуг.

Чтобы облегчить себе жизнь в дальнейшем, при подготовке договора надо стремиться к включению в него положений, обеспечивающих полную компенсацию ущерба от нарушения мер защиты и невыполнения согласованных параметров качества, включая репутационный и моральный ущерб, без обращения в суд.

В договоре также целесообразно указать услуги (сервисы), которые будут поддерживаться поставщиком услуг в случае возникновения чрезвычайных ситуаций, а также возможность проведения независимого аудита обеспечения безопасности информации со стороны поставщика услуг третьей независимой стороной.

Обычно поставщик услуг предоставляет некоторый период тестирования своей услуги для принятия окончательного решения о ее предоставлении. Но если перед заключением договора этап тестирования предоставляемой услуги не проводится, в договор надо включить положение, по которому в течение определенного периода услуги оказываются бесплатно, и заказчик в течение этого периода вправе расторгнуть договор без каких-либо санкций и обязательств.

Все положения договора возмездного оказания услуг должны быть согласованы сторонами. К договору могут быть приложены в качестве неотъемлемой части договора остальные документы из состава пакета договорных документов.

Кто лучше?
Действительно, кто лучше? Кого выбрать поставщиком услуг безопасности информации? Вопрос далеко не праздный. Авторы уже не раз отмечали, что отношения между поставщиком услуг и заказчиком строятся на доверии. А доверие, в свою очередь, определяется той степенью осведомленности заказчика о деятельности поставщика, которую он может себе позволить. Поэтому на предварительном этапе необходимо сосредоточиться на всесторонней оценке претендента и подходить к этому так, как подходит расчетливая будущая теща к выбору будущего зятя.


Договор должен предусматривать полную компенсацию ущерба от нарушения мер защиты без обращения в суд


К оценке поставщика услуг надо привлекать все силы службы собственной безопасности заказчика, риск-менеджеров и всех, кто отвечает за оценку контрагентов. Такая оценка должна проводиться на основе сбора и анализа информации, имеющейся в открытом доступе, а также сведений, предоставляемых самим поставщиком услуг или полученных в ходе предварительных переговоров. Каждый поставщик должен соответствовать тем требованиям, которые выдвигает заказчик. А требования эти могут быть как объективные, так и субъективные.

Вовку не устроила работа Двоих из ларца
Ну нет! Тогда убирайтесь обратно в ларец!

Объективные требования к поставщику услуг
При выборе поставщика услуг (сервисов) безопасности информации необходимо удостовериться в наличии у него:

  • необходимых лицензий;
  • необходимых ресурсов производственных мощностей;
  • системы менеджмента сервисами и качеством;
  • квалифицированных кадров;
  • опыта оказания аналогичных услуг;
  • аттестата соответствия требованиям безопасности или
  • заключения независимых экспертов.

Большинство видов услуг (сервисов) безопасности информации, а также передачи информации относятся к лицензируемым видам деятельности. В соответствии с законодательством Российской Федерации поставщик услуг должен иметь полный набор лицензий, действующих на все время оказания услуги и на территории, на которой осуществляет деятельность заказчик услуги:

  • Лицензию на оказание телематических услуг связи2 – для поставщиков операционных и технологических сервисов, связанных с предоставлением хостинга, доступа в интернет, электронной почты, доступа к информации с использованием инфокоммуникационных технологий.
  • Лицензию на оказание услуг по предоставлению каналов связи в соответствии– для поставщиков технологических услуг (услуга по предоставлению защищенной инфраструктуры ИС), связанных с предоставлением (арендой) каналов связи.
  • Лицензию на деятельность по технической защите конфиденциальной информации4, в том числе на проектирование в защищенном исполнении средств и систем информатизации, установку, монтаж, испытания, ремонт средств защиты информации, защищенных программных (программно-технических) средств обработки информации – для всех поставщиков сервисов (услуг) безопасности информации.
  • Лицензию на деятельность по технической защите конфиденциальной информации5, в том числе контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации – для поставщиков управленческих сервисов безопасности информации.
  • Лицензию на предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей– для поставщиков технологических сервисов (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с использованием средств криптографической защиты информации.
  • Лицензию на предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей7 – для поставщиков технологических сервисов (услуга по предоставлению защищенной инфраструктуры ИС, услуга по обработке защищаемой информации, услуга по реализации мер защиты), связанных с использованием имитозащиты обрабатываемой информации.
  • Лицензию на предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации8 – для поставщиков технологических сервисов, связанных с предоставлением (арендой) каналов связи.
  • Лицензию на изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств9 – для поставщиков технологических сервисов безопасности информации (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с формированием и использованием сертификатов электронных подписей или формированием исходной ключевой информации.

Оценка необходимых ресурсов и производственных мощностей поставщика услуг связана с тем, что при оказании услуги заказчик услуги непосредственно присутствует в процессе, передаваемом на аутсорсинг, а также с необходимостью индивидуализации предоставляемого сервиса под нужды заказчика. При изучении наличия необходимых ресурсов и производственных мощностей поставщика услуг необходимо оценить:

  • объемы выделяемых ресурсов для предоставления услуги;
  • наличие у поставщика услуг собственных средств и специалистов;
  • наличие и достаточность для оказания услуги производственных площадей;
  • номенклатуру (спецификацию) имеющихся у поставщика услуг средств и ресурсов;
  • наличие резервного оборудования и мощностей, используемых для оказания услуги;
  • период времени, необходимый на получение ресурсов.

Оказание сервиса (услуги) безопасности информации предполагает необходимость управления персоналом поставщика услуг, регламентации процессов и системы обеспечения безопасности информации, задействованных при оказании услуги. При изучении системы менеджмента сервисами и качеством поставщика услуг необходимо изучить:

  • организацию управления процессами у поставщика услуг;
  • организацию управления качеством предоставляемой услуги;
  • организацию управления безопасностью информации.

Для оценки организации управления целесообразно опираться на требования национальных стандартов Российской Федерации10.

Соответствие требованиям данных стандартов свидетельствует о некотором уровне надежности поставщика и добротности его компании, поэтому целесообразно, чтобы поставщик услуг имел соответствующие сертификаты соответствия требованиям данных стандартов, являющиеся внешним независимым подтверждением достижения требований стандарта.

При рассмотрении сертификатов необходимо обращать внимание на объект оценки, которая должна соответствовать содержанию предоставляемой услуги (сервиса). Необходимо также учитывать, что наличие сертификата соответствия требованиям ГОСТ Р ИСО/МЭК 27001-2006 свидетельствует о наличии у поставщика услуг системы управления информационной безопасностью, но не гарантирует соответствие самой системы обеспечения безопасности установленным требованиям.

Квалификация и компетентность работников поставщика услуг, участвующих в оказании услуги, оцениваются по наличию у них сертификатов производителей оборудования и программного обеспечения, свидетельств обучения и повышения квалификации по направлению информационных технологий и обеспечения безопасности информации, стаж работы по требуемым направлениям деятельности.

При оценке квалификации и компетентности работников поставщика услуг необходимо убедиться, что внутренними документами поставщика услуг определен порядок организации работ по повышению квалификации (профессиональному обучению и (или) дополнительному образованию) работников.

Опыт оказания аналогичных услуг оценивается по представляемым поставщиком услуг сведениям о таких работах и анализу запросов о качестве услуг, направляемых в адрес предшествующих заказчиков, или публичных отзывов о деятельности поставщика услуг.

Наличие аттестата соответствия требованиям безопасности или заключения независимых экспертов является свидетельством того, что система обеспечения безопасности информации поставщика услуг соответствует установленным требованиям по безопасности информации. При этом необходимо оценить достаточность подтвержденного уровня защищенности информационной системы поставщика услуг требуемому для заказчика услуг.

Субъективные требования к поставщику услуг
При выборе поставщика услуг должны учитываться также качественные показатели. К таким показателям относятся:

  • сведения о владельцах и администрации поставщика услуг;
  • специализация поставщика услуг;
  • репутация (имидж) поставщика услуг;
  • отсутствие негативных сообщений о нем в средствах массовой информации;
  • кредитоспособность и финансовое положение поставщика услуг;
  • конкурентное положение (рейтинг) поставщика услуг на рынке аналогичных услуг;
  • способность к контакту и длительным доверительным отношениям;
  • психологический климат в трудовом коллективе поставщика услуг, риск забастовок.

Негативная оценка хотя бы по одному из таких показателей может служить поводом для отказа от его услуг.

Мониторинг порядка и качества предоставления услуг
При аутсорсинге главное правило: доверяй, но проверяй! Поэтому вопросу мониторинга порядка и качества предоставления услуг поставщиком надо уделять особое внимание. Такой мониторинг может проводиться на основе:

  • анализа отчетов провайдера услуг;
  • опроса работников (потребителей) заказчика услуг;
  • инспекционного контроля;
  • мониторинга с привлечением третьей стороны.

Не будем забывать, что именно поставщик услуг должен организовать мониторинг предоставления услуги по оговоренным с заказчиком параметрам, так как это и в его интересах. Результаты мониторинга предоставляются заказчику периодически или по требованию.

Со своей стороны, заказчик должен организовать регулярный опрос работников (потребителей) с целью определения качества услуг, предоставляемых поставщиком, и удовлетворенности ожиданий. Такой опрос проводится на основе заранее разработанных опросных листов (чек-листов), охватывающих основные параметры предоставляемой услуги и оценку ожиданий потребителя.

Инспекционный контроль проводится на основе договоренностей с поставщиком услуг и в объеме, установленном в договорных документах (не забудьте включить это в договор). Заказчик должен иметь возможность проведения внезапного инспекционного контроля.

При наличии возможности контроль услуг может производиться заказчиком путем получения и анализа информации с использованием предоставленных поставщиком услуг консолей мониторинга и управления.

Для оценки выполнения порядка и качества предоставляемой услуги может привлекаться третья независимая сторона, которая осуществляет такую оценку на основе опроса работников поставщика и заказчика и анализа результатов технического мониторинга, предоставляемого поставщиком услуг или проводимого самостоятельно.

Вовка читает книгу "Сделай сам", Двое из ларца потешаются над ним
Вспомнил тогда Вовка про книжку «Сделай сам»

Вместо эпилога
Резюмируя все сказанное, можно отметить, что аутсорсинг безопасности информации возможен и даже где-то полезен. Да, особенности есть, их надо помнить и учитывать, но ничего невозможного нет. Однако в заключение хотелось бы добавить несколько слов о проблемах применения аутсорсинга в госучреждениях и иже с ними. Встает вопрос: могут ли такие учреждения применять схему аутсорсинга? Вопрос не праздный. Теоретически – да, никто не запрещает. А на практике? Мы много говорили о том, что отношения между поставщиком и заказчиком услуг строятся на доверии, которое во многом зависит от изучения возможностей и репутации поставщика. В то же время законом прямо определено: не допускается включение в документацию о закупке требований к участнику закупки, в том числе требования к квалификации участника закупки, включая наличие опыта работы, а также требования к деловой репутации участника закупки, требования к наличию у него производственных мощностей, технологического оборудования, трудовых, финансовых и других ресурсов, необходимых для выполнения работы или оказания услуги, являющихся предметом контракта11. В результате, даже принимая в расчет все наши рекомендации, заказчик оказывается перед небогатым выбором: либо покупай кота в мешке, либо откажись от аутсорсинга…

Полный текст материала с подробным анализом всех аспектов аутсорсинга безопасности, включая разбор каждого отдельного документа и т. п., вы найдете на портале PLUSworld.ru (www.plusworld.ru/professionals/autsorsing-bezopasnosti-informatsii/)

1 Иллюстрации с сайта: http://miniskazka.ru/author_razn/vovka_v_tridevyatom_carstve.html

2 Постановление Правительства Российской Федерации от 18.02.2005 № 87

3 Постановление Правительства Российской Федерации от 18.02.2005 № 87

4 Постановление Правительства Российской Федерации от 03.02.2012 № 79

5 Постановление Правительства Российской Федерации от 03.02.2012 № 79

6 Постановление Правительства Российской Федерации от 16.04.2012 № 313

7 Постановление Правительства Российской Федерации от 16.04.2012 № 313

8 Постановление Правительства Российской Федерации от 16.04.2012 № 313

9 Постановление Правительства Российской Федерации от 16.04.2012 № 313

10 ГОСТ Р 54869-2011, ГОСТ Р 54870-2011, ГОСТ Р 54871-2011, ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО/МЭК 2000, ГОСТ Р ИСО/МЭК 27001-2006

11 Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», ст. 33, часть 3.

Полный текст статьи читайте в журнале «ПЛАС» № 10 (233) ’2016 стр. 6


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… за тысячи лет до нашей эры и вплоть до XX века на одном из островов существовал «монетный двор»: местные жители бросали в воду листья кокосовой пальмы и подбирали их после того, как те покрывались ракушками.