К технологическим рискам (вторая группа) относятся:

>  случайная утечка от компании-провайдера услуг;

>  нарушение целостности информации в связи с выходом из строя оборудования;

>  недоступность информации в связи с нарушениями канала связи на стороне провайдера или на стороне заказчика.

Все риски этой группы снижают посредством контроля исполнения заключенного между сторонами соглашения об уровне сервиса.

Надо учитывать, что компания-провайдер финансово заинтересована в качественном исполнении услуг. Она серьезно рискует своей репутацией, если не приложит все силы для сохранения конфиденциальности, целостности, доступности информации заказчика. От компаний-провайдеров случаются утечки информации, но по существующей статистике, гораздо большее число утечек происходит все-таки из-за деятельности внешних злоумышленников и собственных сотрудников.

Неправомерно воспользоваться служебной информацией может и внешний подрядчик, и доверенный сотрудник организации.

Специализированную функцию по защите данных от «кражи» можно обеспечить с помощью системы защиты от утечек, контролирующей основные операции с критичной информацией – копирование, изменение (включая подмену символов), а также контроль перемещения за границы подконтрольной вычислительной сети.

Наряду с системой контроля утечек защита может быть реализована с помощью дополнительных технических средств и решений несколькими способами:

Первый способ – создание внутренней защищенной сети. В ней обрабатывается конфиденциальная информация (включая создание нескольких периметров безопасности, компании-аутсорсеру доступ предоставляется только к конкретным из них, не содержащим критичную информацию).

Второй способ – шифрование любых данных, выходящих за пределы вычислительной сети, сертификатами, к которым аутсорсер не получает доступа. При этом доступ к сертификатам строго учитывается, а сами сертификаты регулярно обновляются.

Третий способ – система передачи данных через почтовый сервер ЛВС в зашифрованном виде (это также можно автоматизировать).

Четвертый способ – использование технологий ограничения прав доступа – RMS и т.п., при котором внешнему подрядчику опять же не предоставляется доступ к сертификатам.

Пятый способ – резервное копирование конфиденциальной информации, при котором данные из ЛВС передаются только в зашифрованном виде, а при невозможности – с помощью аппаратного шифрования (без передачи ключей внешнему подрядчику).

Шестой способ – шифрование всех дисков рабочих станций и серверов.

Подходы, которые можно использовать для контроля над аутсорсером см. в таблице.

Подходы, которые можно использовать для контроля над аутсорсером