Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf
Добавлен: 17.06.2023
Просмотров: 229
Скачиваний: 4
3.2 Регламент выбора поставщика ИТ-услуг и разработка SLA.
В ООО «Эрендай груп» не существует разработанного и принятого регламента и/или правил выбора поставщиков ИТ-услуг. Для того чтобы взаимодействовать с надёжным поставщиком ИТ-услуг, который будет соответствовать международным и российским нормам информационной безопасности, необходимо разработать регламент отбора таких поставщиков и внедрить его в компанию.
В соответствии с выявленными рисками и угрозами был составлен перечень тем с вопросами к поставщику ИТ-услуг. Каждой теме соответствует несколько рисков, вероятность наступления которых, в зависимости от ответов провайдера ИТ-услуг, будет увеличиваться или уменьшаться при условии использования облачных сервисов и систем. Важно учесть, что в большинстве случаев ответы на тематические вопросы можно найти на официальном сайте провайдера ИТ-услуг. Оставшуюся невыясненную информацию можно узнать посредством общения с технической поддержкой поставщика ИТ-услуг.
Темы, в соответствии с которыми составлен список вопросов к поставщикам ИТ-услуг, представлены ниже:
- Организационная безопасность, структура и риск-менеджмент;
- Обязанности и обязательства;
- Стихийные бедствия и резервные копии;
- Юридические и административные вопросы;
- Безопасность персонала;
- Управление доступом;
- Программное обеспечение;
- Интерфейсы пользователя, управления и прикладного программирования;
- Мониторинг и логирование;
- Взаимодействие и портативность;
- Масштабирование и стоимостные затраты;
- Соблюдение национального и международного законодательств.
Далее подробно раскрывается каждая тема и приводится перечень вопросов и возможные варианты ответов по каждой теме.
Организационная безопасность, структура и риск-менеджмент. Прежде чем приобретать облачные услуги и продукты у поставщика, компания-заказчик должна иметь представление о качестве и эффективности организационной структуры и процессах управления рисками у поставщика.
Также важно, чтобы заказчик был осведомлён, какие организационные структуры, подразделения и службы провайдера ИТ-услуг будут иметь дело с инцидентами безопасности, как заказчик должен выполнять ключевые роли, как найти важную информацию относительно информационной безопасности, советы по безопасности, информацию об отключении от предоставления ИТ-услуг провайдером.
По данной теме первым делом необходимо проверить наличие у поставщика ИТ-услуг поддерживаемых и регулярно обновляемых доказательств и свидетельств соответствия международным и национальным стандартам в области информационной безопасности:
- Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения. Среди международных стандартов к данной категории относится, например, ISO 27001, полным аналогом которого является российский стандарт ГОСТ Р ИСО/МЭК 27001. Таким образом, наличие сертификации по указанным выше стандартам является хорошим показателем для поставщика ИТ-услуг.
- Опубликованные аудиторские отчёты независимых аудиторов.
- Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике.
- И пр.
Вопрос, на который необходимо получить ответ по данной тематике: «Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?». Ответ может содержаться в следующих документах и информации, на которые стоит обратить внимание:
- Общая политика и подход к управлению рисками безопасности;
- Наличие или отсутствие контактных центров по инцидентам безопасности;
- Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц;
- Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками.
Обязанности и обязательства в сфере безопасности. На этапе выбора поставщика ИТ-услуг важно разделить такие понятия, как обязанности по задачам обеспечения информационной безопасности и обязанности / обязательства в случае наступления инцидентов безопасности, так как они различны для разных видов облачных сервисов.
Вопрос, на который необходимо получить ответ: «Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?». Возможные варианты ответа:
- Активы находятся в зоне ответственности провайдера ИТ-услуг;
- Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.;
- Перечисление примеров инцидентов, попадающих под ответственность провайдера;
- Перечень задач и обязанностей, за которые несёт ответственность заказчик.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности;
- Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы;
- Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами.
Непредвиденные обстоятельства и резервные копии. На предоставление облачных ИТ-услуг и сервисов могут повлиять землетрясения, выключение электричества, гроза и прочие непредвиденные бедствия и обстоятельства, которые никак не могут регулироваться провайдером ИТ-услуг или заказчиком. Данные бедствия могут оказать влияние на объекты, поставки, центры обработки данных, электрические или сетевые кабели. Для компании-заказчика важно понимать, на сколько облачный сервис является устойчивым перед лицом непредвиденных обстоятельств и бедствий и каким образом и в каком порядке выполняется резервное копирование данных.
Вопрос, на который необходимо получить ответ: «Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?». Возможные варианты ответа поставщика:
- Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.);
- Избыточность сети, географическая распределённость, зоны доступности, контроль доступа;
- Резервные копии и механизмы обеспечения отказоустойчивости;
- Планы аварийного восстановления.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Соответствующие положения, включённые в контракт / договор и / или SLA;
- KPI по времени на восстановление облачных систем и ресурсов.
Правовые, нормативные и административные вопросы. Данные возможные проблемы могут стать причиной сбоев и отключений. Например, вопросы по контрактам и договорам, биллингу, юридическим процедурам против соарендаторов (других компаний-заказчиков ИТ-услуг у данного провайдера). Поэтому компания-заказчик должна быть осведомлена, каким образом обеспечивается безопасность её данных и процессов в случае наличия правовых вопросов и административных споров.
Вопрос, на который необходимо получить ответ: «Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?». Возможные ответы:
- Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.;
- Реализация экспорта гарантированных данных.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Соответствующие положения о доступе к данным в договоре и / или SLA;
- Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям.
Безопасность персонала. Сотрудники, работающие в компании-поставщике ИТ-услуг, могут повлиять на безопасность предоставляемых услуг и / или обработку данных компании-заказчика. Заказчику необходимо быть проинформированным о том, каким образом провайдер гарантирует надёжность своего персонала при работе с услугами и данными клиентов.
Вопрос, на который необходимо получить ответ: «Как провайдер гарантирует, что его персонал работает надёжно?». Возможные ответы:
- Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера;
- Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов;
- Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System);
- Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных).
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.
Управление доступом. Данные и процессы компании-заказчика должны быть защищены от несанкционированного доступа. Таким образом, заказчику необходимо иметь представление, каким образом осуществляется управление доступом в целях обеспечения защиты своих данных и процессов.
Вопрос, на который необходимо получить ответ: «Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?». Возможные варианты ответов:
- Предоставление мер по защите от несанкционированного физического доступа;
- Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий);
- Использование механизмов аутентификации пользователей;
- Соблюдение стандартов и / или передовых практик в соответствии со СМИБ.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.
Безопасность программного обеспечения. Уязвимости программного обеспечения могут повлечь за собой огромное воздействие на данные и / или процессы компании-заказчика. Заказчик должен быть проинформирован о том, какие меры предпринимаются для обеспечения безопасности ПО, лежащего в основе облачного сервиса, а также какое ПО не находится в зоне ответственности провайдера ИТ-услуг и должно обеспечиваться защитой со стороны заказчика.
Вопрос, на который необходимо получить ответ: «Как провайдер обеспечивает безопасность программного обеспечения и какое ПО остаётся в зоне ответственности компании-заказчика?». Возможные варианты ответа:
- Защищённый метод разработки ПО;
- Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.);
- Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг;
- Процедуры выкатки исправлений и обновлений;
- Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014).
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Информация о прошлых уязвимостях соответствующего программного обеспечения;
- Отчёты о наличии уязвимостей;
- Результаты независимых аудитов программного обеспечения;
- Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM).
Интерфейсы пользователя, управления и прикладного программирования. Доступность облачных сервисов обычно обеспечивается за счёт веб-интерфейсов пользователя и / или API. Эти интерфейсы должны быть защищены от несанкционированного доступа, в частности, интерфейсы управления для администраторов и роли с широким спектром привилегий, так как через интерфейсы с этими уровнями доступа злоумышленники могут получить доступ к большому количеству данных и процессов компании-заказчика.
Вопрос, на который необходимо получить ответ: «Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?». Возможные варианты ответа:
- Перечисление методов аутентификации в GUI и через API;
- Меры защиты для интерфейсов администратора;
- Процессы аутентификации для интерфейса администрирования;
- Ограничения по IP, роли и привилегии администратора.