Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf
Добавлен: 17.06.2023
Просмотров: 231
Скачиваний: 4
Кроме того, существует ряд американских стандартов и руководств, разработанных при выявлении пробелов в существующих иных стандартах в данной области. В документе NIST SP 800–144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений» [22] рассматриваются вопросы обеспечения неприкосновенности частной жизни и рекомендации при принятии решения об аутсорсинге ИТ-услуг.
В части разработки соглашения о качестве предоставляемых услуг с облачными провайдерами можно опираться на технический отчёт ETSI TR 103125 «Облака – Соглашения о качестве услуг для облачных сервисов» [23], в котором делается упор на составление SLA при аутсорсинге ИТ-услуг, особенно при применении модели IaaS (Infrastructure as a Service), однако, данный подход может использоваться и при использовании иных моделей потребления услуг. Важной частью данного документа является наличие примеров проблем и недовольств, с которыми сталкиваются потребители ИТ-услуг, и рекомендаций по повышению уровня качества предоставляемых услуг.
1.2 Методические основы обеспечения информационной безопасности на предприятии.
Проблематика обеспечения безопасности при передаче ИТ-услуг сторонней организации довольно подробно рассматривается в международных исследованиях крупных организаций, специализирующихся на теме обеспечения информационной безопасности государства и предприятий. В целях данной дипломной работы будут рассматриваться исследования по обеспечению информационной безопасности именно организаций.
Исследование «Critical Cloud Computing: CIIP Perspective on Cloud Computing» [24] автора Dr. M.A.C. Dekker затрагивает вопросы безопасности использования облачных ресурсов при работе с критически важной информационной инфрастуктурой: анализ основан на опросе публичных источников об использовании облачных вычислений и происходивших крупных кибер-атаках и сбоев в работе облачных ресурсов. В своём исследовании Dekker делает выводы о значимости использования облачных вычислительных ресурсов в связи с их ростом использования организациями из частного и государственного секторов, в том числе критически важными секторами, такими как финансовый, энергетический и транспортный, а также в связи с концентрацией ИТ-ресурсов в центрах обработки данных, что, с одной стороны, позволяет провайдерам применять последние современные меры по обеспечению информационной безопасности, поддерживая непрерывность бизнеса своего и своих клиентов, однако, с другой стороны, при наступлении события нарушения информационной безопасности или сбоя системы это ведёт к серьёзным последствиям для организаций и миллионов пользователей. Автор определяет набор ключевых угроз для кибер-сбоев и кибер-атак, которые могут повлечь за собой серьёзное воздействие:
- Природная катастрофа или бедствие, отказ от электропитания или оборудования;
- Истощение ресурсов в результате перегрузки серверов или DDoS-атаки;
- Кибер-атаки в результате наличия уязвимостей в программном обеспечении;
- Административные и юридические вопросы.
В результате проведённых исследований и анализа приведённых угроз для различных критически важных секторов экономики автор делает выводы о том, что:
- Использование облачных вычислительных ресурсов можно считать надёжным при наступлении стихийных бедствий и катастроф, так как ресурсы обычно находятся в распределённых центрах обработки данных;
- Эластичность как одно из ключевых преимуществ облачных вычислительных систем позволяет выдерживать перегрузки и DDoS-атаки;
- Уязвимости в ПО, использованные кибер-преступниками, ведут к масштабным последствиям для миллионов пользователей;
- При решении административных и правовых споров, связанных с поставщиком ИТ-услуг или одним из его клиентов, оказывается влияние на данные всех других клиентов или соарендаторов.
В конце своего исследования автор делает рекомендации для государственного сектора в вопросах управления национальными облачными вычислениями для 3-ёх ключевых процессов: 1) оценки рисков; 2) обеспечения принятия соответствующих мер безопасности; 3) сбора отчётов об инцидентах.
Также существуют исследования в сфере обеспечения безопасности облачных систем для маленького и среднего бизнеса – одно из них авторов Dr. M.A.C. Dekker и Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» [25], направленное на обеспечение сетевой информационной безопасности облачных вычислительных ресурсов для малых и средних предприятий (МСП) и рассмотрение вопросов возможностей облачных ресурсов в сфере ИБ, сопутствующих рисков, которые МСП должны принимать во внимание при работе с облачными провайдерами, а также направленное на вопросы безопасности, которые МСП могут использовать при выборе поставщика ИТ-услуг и анализе предложений от различных поставщиков. Авторами также разработаны формы для оценки рисков, возможностей и сбора сопутствующей информации от облачных провайдеров. Авторы исследования отмечают зависимость определённых рисков и возможностей от конкретных видов деятельности малых и средних предприятий. Помимо прочего, исследование затрагивает вопросы, связанные с принятым в ЕС законодательством в сфере защиты персональных данных. Для различных типов облачных вычислений (IaaS, PaaS, SaaS) авторы выделяют различные проблемы обеспечения информационной безопасности. В исследовании выделено 11 возможностей (преимуществ) облачных вычислений: географическая распределённость, эластичность, стандартные формы и интерфейсы, физическая безопасность, круглосуточная реакция на инциденты, разработка ПО, патчи и обновление, бекапы, серверное хранилище, безопасность как сервис (Security as a Service) и надстройки безопасности, сертификация и соответствие требованиям. Также сформулированы 11 рисков сетевой и информационной безопасности: уязвимости системы безопасности, сетевые атаки, атаки социальной инженерии, управление GUI и API-интерфейсом, кража или потеря устройства, физические угрозы, перегрузки, непредвиденные затраты, блокировка поставщика, административные или юридические вопросы, вопросы внешней юрисдикции. И, наконец, сформулированы 12 вопросов безопасности к поставщикам ИТ-услуг, на основании которых пользователи могут определять преимущества и недостатки каждого провайдера в соответствии со своими бизнес-целями: организационная безопасность, управление и управление рисками; обязанности и обязательства; непредвиденные ситуации и резервные копии; юридические и административные вопросы; безопасность персонала; контроль доступа; программное обеспечение; интерфейсы пользователя, управления и прикладного программирования; мониторинг и регистрация; взаимодействие и портативность; масштабируемость и стоимость; соблюдение национального и международного законодательства.
ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ ИТ-УСЛУГ В КОМПАНИИ ООО «ЭРЕНДАЙ ГРУП»
2.1. Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «Эрендай Груп».
Компания ROOM485 с юридическим названием ООО «Эрендай Груп» основана в 2014 году как креативное пространство, входящее в группу рекламных компаний Red Communication Group (далее – RCG). Организация занимается разработкой творческих решений для всей группы компаний RCG и постоянных клиентов, основываясь на инновационных и актуальных решениях в сфере креатива и Digital.
Основными направлениями деятельности компании являются:
- Разработка и реализация дизайн-макетов;
- Разработка сайтов и приложений;
- Реализация digital-активностей;
- Разработка брендинга и айдентики;
- Разработка нейминга и копирайта;
- Разработка видео-решений;
- Разработка иллюстраций и 3D;
- Анализ рынка и существующих трендов;
- Разработка digital-стратегий.
Основной целью своей деятельности организация ROOM485 определяет трансформацию клиентских проблем в успешный бизнес, основываясь на креативной терапии, совмещающей искусство, стратегию и digital-элементы при создании уникального клиентского продукта.
В компании существует несколько функциональных отделов:
- Креативный департамент, включающий в себя стратегов, арт-директоров и дизайнеров. В отделе насчитывается 15 сотрудников.
- Копирайт-департамент, куда входят сениор-копирайтеры, копирайтеры и джуниор-копирайтеры. Отдел включает 7 сотрудников.
- Digital-отдел аккумулирует менеджеров ИТ-проектов, аналитиков, разработчиков и digital-маркетологов. В отделе находится 10 сотрудников.
- Отдел видео-продакшена включает в себя режиссёров, операторов и видеомонтажёров. В данном отделе насчитывается 5 сотрудников.
В ROOM485 в качестве формата работы над проектами практикуется объединение ответственных за проект исполнителей во главе с руководителем проекта в команду, занимающуюся разработкой идей и дальнейшей реализацией заказа клиента. При этом каждый сотрудник компании одновременно может входить в несколько проектных команд.
В компании не существует жёсткой иерархии и специализации задач, кроме того, практикуется неформальное общение среди сотрудников организации. Также стоит отметить отсутствие разработанных корпоративных политик, регламентов деятельности сотрудников и рабочих инструкций.
Компания ROOM485 использует для обеспечения функционирования своих бизнес-процессов программное обеспечение 1С Финансист. Для хранения внутренних данных (договора, конфиденциальная информация, клиентская информация) организация задействует собственные серверные мощности.
Для обеспечения устойчивой работы сотрудников-исполнителей используется специализированное лицензированное ПО, а также внедряется в практику использование облачных систем и технологий. Для обеспечения качественного управления проектами практикуются различные форматы работы: статус-митинги, встречи, совещания, обмен информацией по электронной почте, использование мессенджеров, а также облачных решений для организации совместной работы над проектами и хранения данных. В том числе, компания использует следующие облачные сервисы: Jira, Trello, Google Диск и GitHub.
Организация ROOM485 работает с крупными FMCG-клиентами, такими как:
- Philip Morris,
- Unilever,
- Bacardi,
- Roche,
- PepsiCo,
- Mondelez International,
- Cordiant,
- Bosh,
- Ikea,
- Swatch,
- Tele2,
- GM,
- Heineken,
- Leroy Merlen.
Кроме того, среди клиентов организации насчитывается несколько банковских представителей: Альфа банк, Рокетбанк, Тинькофф, - для которых компания периодически ведёт разработку и реализацию креативных концепций
Из описания профиля компании ROOM485 можно сделать вывод о том, что компания передаёт часть ИТ-услуг поставщикам различных ИТ-решений – таким образом, критически важная для ведения бизнеса информация и конфиденциальные данные размещены на серверах провайдеров ИТ-услуг. Это означает, что перечисленные выше данные могут быть подвержены угрозам в сфере информационной безопасности облачных систем и средств виртуализации.
В организации не существует классификации информационных объектов, которые необходимо защищать от возможных угроз; не составлены перечни возможных рисков, угроз и уязвимостей в сфере информационной безопасности облачных сервисов; не разработаны и не приняты методы выбора поставщика ИТ-услуг, способного обеспечить требуемый уровень качества предоставляемых услуг; не разработаны регламенты по взаимодействию с провайдерами ИТ-услуг, регламенты работы сотрудников компании ROOM485 в облачных средах, регламенты по обмену критически важными данными между системами и с клиентом, регламенты выдачи доступов в облачные системы и хранилища данных.
В организации ROOM485 не регламентированы процессы, связанные с обеспечением информационной безопасности при работе с облачными системами, сотрудники не проинформированы о возможных рисках и угрозах информационной безопасности, нет квалифицированных специалистов в сфере ИБ, не производится мониторинг возможных нарушений информационной безопасности. Таким образом, можно сделать вывод, что непрерывность и целостность бизнеса ROOM485 находится под угрозой в связи с возможными утечками данных и кибератаками на облачные системы и сервисы виртуализации. При этом ущерб, который может понести компания при наступлении таких событий, оценивается высоко: утечка данных клиентов, потеря репутации и потеря прибыли.
Данная работа направлена на проведение классификации объектов защиты, существующих рисков и угроз при использовании облачных сервисов и средств виртуализации, составление рекомендаций по выбору поставщиков ИТ-услуг и рекомендаций по разработке соглашения об уровне и качестве предоставляемых ИТ-услуг с учётом существующих международных стандартов в области информационной безопасности, а также специфики российской действительности и законодательства РФ.
2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.
При выборе поставщика ИТ-услуг, а именно облачного провайдера, необходимо определить ряд критериев, на основании которых будет осуществляться сравнение и финальный отбор одного или нескольких поставщиков тех или иных ИТ-услуг.
В ITIL подробно описаны определение трёх типов поставщиков ИТ-услуг, а также процесс определения, какой тип поставщика услуг будет подходить определённой компании посредством ответа на несколько вопросов. Кроме того, подробно описаны процессы управления поставщиками, когда уже определён перечень поставщиков ИТ-услуг в конкретной организации. Преимуществом данного подхода является возможность внедрения в организацию подходов по управлению одним или несколькими поставщиками, контролю их действий и установлению доверительных и взаимовыгодных отношений. Однако, недостатком приведённого подхода в библиотеке ITIL является отсутствие как такого этапа определения и выбора поставщика ИТ-услуг, с которым организация может в дальнейшем работать. При описании процесса управления поставщиками приводится 3 фактора, влияющих на выбор поставщика ИТ-услуг: предыдущие достижения (опыт поставщика), текущие возможности (предоставляемые услуги, решения и используемые технологии) и отзывы о поставщике от других организаций-заказчиков. Данный список факторов выбора поставщика ИТ-услуг не может считаться полным, так как существует ряд ключевых показателей, не приведённых в данном подходе.