Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 17.06.2023

Просмотров: 229

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

3.2 Регламент выбора поставщика ИТ-услуг и разработка SLA.

В ООО «Эрендай груп» не существует разработанного и принятого регламента и/или правил выбора поставщиков ИТ-услуг. Для того чтобы взаимодействовать с надёжным поставщиком ИТ-услуг, который будет соответствовать международным и российским нормам информационной безопасности, необходимо разработать регламент отбора таких поставщиков и внедрить его в компанию.

В соответствии с выявленными рисками и угрозами был составлен перечень тем с вопросами к поставщику ИТ-услуг. Каждой теме соответствует несколько рисков, вероятность наступления которых, в зависимости от ответов провайдера ИТ-услуг, будет увеличиваться или уменьшаться при условии использования облачных сервисов и систем. Важно учесть, что в большинстве случаев ответы на тематические вопросы можно найти на официальном сайте провайдера ИТ-услуг. Оставшуюся невыясненную информацию можно узнать посредством общения с технической поддержкой поставщика ИТ-услуг.

Темы, в соответствии с которыми составлен список вопросов к поставщикам ИТ-услуг, представлены ниже:

  1. Организационная безопасность, структура и риск-менеджмент;
  2. Обязанности и обязательства;
  3. Стихийные бедствия и резервные копии;
  4. Юридические и административные вопросы;
  5. Безопасность персонала;
  6. Управление доступом;
  7. Программное обеспечение;
  8. Интерфейсы пользователя, управления и прикладного программирования;
  9. Мониторинг и логирование;
  10. Взаимодействие и портативность;
  11. Масштабирование и стоимостные затраты;
  12. Соблюдение национального и международного законодательств.

Далее подробно раскрывается каждая тема и приводится перечень вопросов и возможные варианты ответов по каждой теме.

Организационная безопасность, структура и риск-менеджмент. Прежде чем приобретать облачные услуги и продукты у поставщика, компания-заказчик должна иметь представление о качестве и эффективности организационной структуры и процессах управления рисками у поставщика.
Также важно, чтобы заказчик был осведомлён, какие организационные структуры, подразделения и службы провайдера ИТ-услуг будут иметь дело с инцидентами безопасности, как заказчик должен выполнять ключевые роли, как найти важную информацию относительно информационной безопасности, советы по безопасности, информацию об отключении от предоставления ИТ-услуг провайдером.


По данной теме первым делом необходимо проверить наличие у поставщика ИТ-услуг поддерживаемых и регулярно обновляемых доказательств и свидетельств соответствия международным и национальным стандартам в области информационной безопасности:

  • Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения. Среди международных стандартов к данной категории относится, например, ISO 27001, полным аналогом которого является российский стандарт ГОСТ Р ИСО/МЭК 27001. Таким образом, наличие сертификации по указанным выше стандартам является хорошим показателем для поставщика ИТ-услуг.
  • Опубликованные аудиторские отчёты независимых аудиторов.
  • Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике.
  • И пр.

Вопрос, на который необходимо получить ответ по данной тематике: «Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?». Ответ может содержаться в следующих документах и информации, на которые стоит обратить внимание:

  • Общая политика и подход к управлению рисками безопасности;
  • Наличие или отсутствие контактных центров по инцидентам безопасности;
  • Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц;
  • Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками.

Обязанности и обязательства в сфере безопасности. На этапе выбора поставщика ИТ-услуг важно разделить такие понятия, как обязанности по задачам обеспечения информационной безопасности и обязанности / обязательства в случае наступления инцидентов безопасности, так как они различны для разных видов облачных сервисов.

Вопрос, на который необходимо получить ответ: «Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?». Возможные варианты ответа:

  • Активы находятся в зоне ответственности провайдера ИТ-услуг;
  • Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.;
  • Перечисление примеров инцидентов, попадающих под ответственность провайдера;
  • Перечень задач и обязанностей, за которые несёт ответственность заказчик.

Документы и гарантии, в которых может и должна быть отражена данная информация:


  • Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности;
  • Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы;
  • Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами.

Непредвиденные обстоятельства и резервные копии. На предоставление облачных ИТ-услуг и сервисов могут повлиять землетрясения, выключение электричества, гроза и прочие непредвиденные бедствия и обстоятельства, которые никак не могут регулироваться провайдером ИТ-услуг или заказчиком. Данные бедствия могут оказать влияние на объекты, поставки, центры обработки данных, электрические или сетевые кабели. Для компании-заказчика важно понимать, на сколько облачный сервис является устойчивым перед лицом непредвиденных обстоятельств и бедствий и каким образом и в каком порядке выполняется резервное копирование данных.

Вопрос, на который необходимо получить ответ: «Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?». Возможные варианты ответа поставщика:

  • Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.);
  • Избыточность сети, географическая распределённость, зоны доступности, контроль доступа;
  • Резервные копии и механизмы обеспечения отказоустойчивости;
  • Планы аварийного восстановления.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Соответствующие положения, включённые в контракт / договор и / или SLA;
  • KPI по времени на восстановление облачных систем и ресурсов.

Правовые, нормативные и административные вопросы. Данные возможные проблемы могут стать причиной сбоев и отключений. Например, вопросы по контрактам и договорам, биллингу, юридическим процедурам против соарендаторов (других компаний-заказчиков ИТ-услуг у данного провайдера). Поэтому компания-заказчик должна быть осведомлена, каким образом обеспечивается безопасность её данных и процессов в случае наличия правовых вопросов и административных споров.

Вопрос, на который необходимо получить ответ: «Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?». Возможные ответы:


  • Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.;
  • Реализация экспорта гарантированных данных.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Соответствующие положения о доступе к данным в договоре и / или SLA;
  • Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям.

Безопасность персонала. Сотрудники, работающие в компании-поставщике ИТ-услуг, могут повлиять на безопасность предоставляемых услуг и / или обработку данных компании-заказчика. Заказчику необходимо быть проинформированным о том, каким образом провайдер гарантирует надёжность своего персонала при работе с услугами и данными клиентов.

Вопрос, на который необходимо получить ответ: «Как провайдер гарантирует, что его персонал работает надёжно?». Возможные ответы:

  • Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера;
  • Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов;
  • Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System);
  • Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных).

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Управление доступом. Данные и процессы компании-заказчика должны быть защищены от несанкционированного доступа. Таким образом, заказчику необходимо иметь представление, каким образом осуществляется управление доступом в целях обеспечения защиты своих данных и процессов.

Вопрос, на который необходимо получить ответ: «Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?». Возможные варианты ответов:

  • Предоставление мер по защите от несанкционированного физического доступа;
  • Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий);
  • Использование механизмов аутентификации пользователей;
  • Соблюдение стандартов и / или передовых практик в соответствии со СМИБ.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Безопасность программного обеспечения. Уязвимости программного обеспечения могут повлечь за собой огромное воздействие на данные и / или процессы компании-заказчика. Заказчик должен быть проинформирован о том, какие меры предпринимаются для обеспечения безопасности ПО, лежащего в основе облачного сервиса, а также какое ПО не находится в зоне ответственности провайдера ИТ-услуг и должно обеспечиваться защитой со стороны заказчика.

Вопрос, на который необходимо получить ответ: «Как провайдер обеспечивает безопасность программного обеспечения и какое ПО остаётся в зоне ответственности компании-заказчика?». Возможные варианты ответа:

  • Защищённый метод разработки ПО;
  • Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.);
  • Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг;
  • Процедуры выкатки исправлений и обновлений;
  • Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014).

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Информация о прошлых уязвимостях соответствующего программного обеспечения;
  • Отчёты о наличии уязвимостей;
  • Результаты независимых аудитов программного обеспечения;
  • Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM).

Интерфейсы пользователя, управления и прикладного программирования. Доступность облачных сервисов обычно обеспечивается за счёт веб-интерфейсов пользователя и / или API. Эти интерфейсы должны быть защищены от несанкционированного доступа, в частности, интерфейсы управления для администраторов и роли с широким спектром привилегий, так как через интерфейсы с этими уровнями доступа злоумышленники могут получить доступ к большому количеству данных и процессов компании-заказчика.

Вопрос, на который необходимо получить ответ: «Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?». Возможные варианты ответа:

  • Перечисление методов аутентификации в GUI и через API;
  • Меры защиты для интерфейсов администратора;
  • Процессы аутентификации для интерфейса администрирования;
  • Ограничения по IP, роли и привилегии администратора.