В настоящее время любой договор содержит отдельное положение по обеспечению конфиденциальности информации. Тем не менее, исходя из практики аудита, можно сказать, что вопросы детальных механизмов обеспечения физической и логической защиты данных не всегда проговариваются в таких соглашениях. Например, вопросы обеспечения физической безопасности в рамках договора могут включать основные положения по:
— ограничению физического доступа на площадки, где расположено оборудование компании;
— защите от отключения электроснабжения;
— защите от отключения каналов связи;
— защите от пожаров;
— защите от затоплений;
— защите от внешних воздействий и природных факторов;
— защите от техногенных катастроф.
Описание механизмов контроля логического доступа к информационным системам могут включать требования по:
• использованию мер идентификации, аутентификации, авторизации;
• ограничению и разграничению доступа (в том числе для сотрудников исполнителя);
• использованию антивирусной защиты;
• использованию межсетевого экранирования;
• использованию системы обнаружения и предотвращения вторжений;
• использованию криптографической защиты;
• обеспечению конфиденциальности информации клиента.