Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 17.06.2023

Просмотров: 232

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Кроме того, существует ряд американских стандартов и руководств, разработанных при выявлении пробелов в существующих иных стандартах в данной области. В документе NIST SP 800–144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений» [22] рассматриваются вопросы обеспечения неприкосновенности частной жизни и рекомендации при принятии решения об аутсорсинге ИТ-услуг.

В части разработки соглашения о качестве предоставляемых услуг с облачными провайдерами можно опираться на технический отчёт ETSI TR 103125 «Облака – Соглашения о качестве услуг для облачных сервисов» [23], в котором делается упор на составление SLA при аутсорсинге ИТ-услуг, особенно при применении модели IaaS (Infrastructure as a Service), однако, данный подход может использоваться и при использовании иных моделей потребления услуг. Важной частью данного документа является наличие примеров проблем и недовольств, с которыми сталкиваются потребители ИТ-услуг, и рекомендаций по повышению уровня качества предоставляемых услуг.

1.2 Методические основы обеспечения информационной безопасности на предприятии.

Проблематика обеспечения безопасности при передаче ИТ-услуг сторонней организации довольно подробно рассматривается в международных исследованиях крупных организаций, специализирующихся на теме обеспечения информационной безопасности государства и предприятий. В целях данной дипломной работы будут рассматриваться исследования по обеспечению информационной безопасности именно организаций.

Исследование «Critical Cloud Computing: CIIP Perspective on Cloud Computing» [24] автора Dr. M.A.C. Dekker затрагивает вопросы безопасности использования облачных ресурсов при работе с критически важной информационной инфрастуктурой: анализ основан на опросе публичных источников об использовании облачных вычислений и происходивших крупных кибер-атаках и сбоев в работе облачных ресурсов. В своём исследовании Dekker делает выводы о значимости использования облачных вычислительных ресурсов в связи с их ростом использования организациями из частного и государственного секторов, в том числе критически важными секторами, такими как финансовый, энергетический и транспортный, а также в связи с концентрацией ИТ-ресурсов в центрах обработки данных, что, с одной стороны, позволяет провайдерам применять последние современные меры по обеспечению информационной безопасности, поддерживая непрерывность бизнеса своего и своих клиентов, однако, с другой стороны, при наступлении события нарушения информационной безопасности или сбоя системы это ведёт к серьёзным последствиям для организаций и миллионов пользователей. Автор определяет набор ключевых угроз для кибер-сбоев и кибер-атак, которые могут повлечь за собой серьёзное воздействие:


  • Природная катастрофа или бедствие, отказ от электропитания или оборудования;
  • Истощение ресурсов в результате перегрузки серверов или DDoS-атаки;
  • Кибер-атаки в результате наличия уязвимостей в программном обеспечении;
  • Административные и юридические вопросы.

В результате проведённых исследований и анализа приведённых угроз для различных критически важных секторов экономики автор делает выводы о том, что:

  • Использование облачных вычислительных ресурсов можно считать надёжным при наступлении стихийных бедствий и катастроф, так как ресурсы обычно находятся в распределённых центрах обработки данных;
  • Эластичность как одно из ключевых преимуществ облачных вычислительных систем позволяет выдерживать перегрузки и DDoS-атаки;
  • Уязвимости в ПО, использованные кибер-преступниками, ведут к масштабным последствиям для миллионов пользователей;
  • При решении административных и правовых споров, связанных с поставщиком ИТ-услуг или одним из его клиентов, оказывается влияние на данные всех других клиентов или соарендаторов.

В конце своего исследования автор делает рекомендации для государственного сектора в вопросах управления национальными облачными вычислениями для 3-ёх ключевых процессов: 1) оценки рисков; 2) обеспечения принятия соответствующих мер безопасности; 3) сбора отчётов об инцидентах.

Также существуют исследования в сфере обеспечения безопасности облачных систем для маленького и среднего бизнеса – одно из них авторов Dr. M.A.C. Dekker и Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» [25], направленное на обеспечение сетевой информационной безопасности облачных вычислительных ресурсов для малых и средних предприятий (МСП) и рассмотрение вопросов возможностей облачных ресурсов в сфере ИБ, сопутствующих рисков, которые МСП должны принимать во внимание при работе с облачными провайдерами, а также направленное на вопросы безопасности, которые МСП могут использовать при выборе поставщика ИТ-услуг и анализе предложений от различных поставщиков. Авторами также разработаны формы для оценки рисков, возможностей и сбора сопутствующей информации от облачных провайдеров. Авторы исследования отмечают зависимость определённых рисков и возможностей от конкретных видов деятельности малых и средних предприятий. Помимо прочего, исследование затрагивает вопросы, связанные с принятым в ЕС законодательством в сфере защиты персональных данных. Для различных типов облачных вычислений (IaaS, PaaS, SaaS) авторы выделяют различные проблемы обеспечения информационной безопасности. В исследовании выделено 11 возможностей (преимуществ) облачных вычислений: географическая распределённость, эластичность, стандартные формы и интерфейсы, физическая безопасность, круглосуточная реакция на инциденты, разработка ПО, патчи и обновление, бекапы, серверное хранилище, безопасность как сервис (Security as a Service) и надстройки безопасности, сертификация и соответствие требованиям. Также сформулированы 11 рисков сетевой и информационной безопасности: уязвимости системы безопасности, сетевые атаки, атаки социальной инженерии, управление GUI и API-интерфейсом, кража или потеря устройства, физические угрозы, перегрузки, непредвиденные затраты, блокировка поставщика, административные или юридические вопросы, вопросы внешней юрисдикции. И, наконец, сформулированы 12 вопросов безопасности к поставщикам ИТ-услуг, на основании которых пользователи могут определять преимущества и недостатки каждого провайдера в соответствии со своими бизнес-целями: организационная безопасность, управление и управление рисками; обязанности и обязательства; непредвиденные ситуации и резервные копии; юридические и административные вопросы; безопасность персонала; контроль доступа; программное обеспечение; интерфейсы пользователя, управления и прикладного программирования; мониторинг и регистрация; взаимодействие и портативность; масштабируемость и стоимость; соблюдение национального и международного законодательства.


ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ ИТ-УСЛУГ В КОМПАНИИ ООО «ЭРЕНДАЙ ГРУП»

2.1. Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «Эрендай Груп».

Компания ROOM485 с юридическим названием ООО «Эрендай Груп» основана в 2014 году как креативное пространство, входящее в группу рекламных компаний Red Communication Group (далее – RCG). Организация занимается разработкой творческих решений для всей группы компаний RCG и постоянных клиентов, основываясь на инновационных и актуальных решениях в сфере креатива и Digital.

Основными направлениями деятельности компании являются:

  • Разработка и реализация дизайн-макетов;
  • Разработка сайтов и приложений;
  • Реализация digital-активностей;
  • Разработка брендинга и айдентики;
  • Разработка нейминга и копирайта;
  • Разработка видео-решений;
  • Разработка иллюстраций и 3D;
  • Анализ рынка и существующих трендов;
  • Разработка digital-стратегий.

Основной целью своей деятельности организация ROOM485 определяет трансформацию клиентских проблем в успешный бизнес, основываясь на креативной терапии, совмещающей искусство, стратегию и digital-элементы при создании уникального клиентского продукта.

В компании существует несколько функциональных отделов:

  1. Креативный департамент, включающий в себя стратегов, арт-директоров и дизайнеров. В отделе насчитывается 15 сотрудников.
  2. Копирайт-департамент, куда входят сениор-копирайтеры, копирайтеры и джуниор-копирайтеры. Отдел включает 7 сотрудников.
  3. Digital-отдел аккумулирует менеджеров ИТ-проектов, аналитиков, разработчиков и digital-маркетологов. В отделе находится 10 сотрудников.
  4. Отдел видео-продакшена включает в себя режиссёров, операторов и видеомонтажёров. В данном отделе насчитывается 5 сотрудников.

В ROOM485 в качестве формата работы над проектами практикуется объединение ответственных за проект исполнителей во главе с руководителем проекта в команду, занимающуюся разработкой идей и дальнейшей реализацией заказа клиента. При этом каждый сотрудник компании одновременно может входить в несколько проектных команд.

В компании не существует жёсткой иерархии и специализации задач, кроме того, практикуется неформальное общение среди сотрудников организации. Также стоит отметить отсутствие разработанных корпоративных политик, регламентов деятельности сотрудников и рабочих инструкций.

Компания ROOM485 использует для обеспечения функционирования своих бизнес-процессов программное обеспечение 1С Финансист. Для хранения внутренних данных (договора, конфиденциальная информация, клиентская информация) организация задействует собственные серверные мощности.

Для обеспечения устойчивой работы сотрудников-исполнителей используется специализированное лицензированное ПО, а также внедряется в практику использование облачных систем и технологий. Для обеспечения качественного управления проектами практикуются различные форматы работы: статус-митинги, встречи, совещания, обмен информацией по электронной почте, использование мессенджеров, а также облачных решений для организации совместной работы над проектами и хранения данных. В том числе, компания использует следующие облачные сервисы: Jira, Trello, Google Диск и GitHub.

Организация ROOM485 работает с крупными FMCG-клиентами, такими как:

  • Philip Morris,
  • Unilever,
  • Bacardi,
  • Roche,
  • PepsiCo,
  • Mondelez International,
  • Cordiant,
  • Bosh,
  • Ikea,
  • Swatch,
  • Tele2,
  • GM,
  • Heineken,
  • Leroy Merlen.

Кроме того, среди клиентов организации насчитывается несколько банковских представителей: Альфа банк, Рокетбанк, Тинькофф, - для которых компания периодически ведёт разработку и реализацию креативных концепций

Из описания профиля компании ROOM485 можно сделать вывод о том, что компания передаёт часть ИТ-услуг поставщикам различных ИТ-решений – таким образом, критически важная для ведения бизнеса информация и конфиденциальные данные размещены на серверах провайдеров ИТ-услуг. Это означает, что перечисленные выше данные могут быть подвержены угрозам в сфере информационной безопасности облачных систем и средств виртуализации.

В организации не существует классификации информационных объектов, которые необходимо защищать от возможных угроз; не составлены перечни возможных рисков, угроз и уязвимостей в сфере информационной безопасности облачных сервисов; не разработаны и не приняты методы выбора поставщика ИТ-услуг, способного обеспечить требуемый уровень качества предоставляемых услуг; не разработаны регламенты по взаимодействию с провайдерами ИТ-услуг, регламенты работы сотрудников компании ROOM485 в облачных средах, регламенты по обмену критически важными данными между системами и с клиентом, регламенты выдачи доступов в облачные системы и хранилища данных.


В организации ROOM485 не регламентированы процессы, связанные с обеспечением информационной безопасности при работе с облачными системами, сотрудники не проинформированы о возможных рисках и угрозах информационной безопасности, нет квалифицированных специалистов в сфере ИБ, не производится мониторинг возможных нарушений информационной безопасности. Таким образом, можно сделать вывод, что непрерывность и целостность бизнеса ROOM485 находится под угрозой в связи с возможными утечками данных и кибератаками на облачные системы и сервисы виртуализации. При этом ущерб, который может понести компания при наступлении таких событий, оценивается высоко: утечка данных клиентов, потеря репутации и потеря прибыли.

Данная работа направлена на проведение классификации объектов защиты, существующих рисков и угроз при использовании облачных сервисов и средств виртуализации, составление рекомендаций по выбору поставщиков ИТ-услуг и рекомендаций по разработке соглашения об уровне и качестве предоставляемых ИТ-услуг с учётом существующих международных стандартов в области информационной безопасности, а также специфики российской действительности и законодательства РФ.

2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.

При выборе поставщика ИТ-услуг, а именно облачного провайдера, необходимо определить ряд критериев, на основании которых будет осуществляться сравнение и финальный отбор одного или нескольких поставщиков тех или иных ИТ-услуг.

В ITIL подробно описаны определение трёх типов поставщиков ИТ-услуг, а также процесс определения, какой тип поставщика услуг будет подходить определённой компании посредством ответа на несколько вопросов. Кроме того, подробно описаны процессы управления поставщиками, когда уже определён перечень поставщиков ИТ-услуг в конкретной организации. Преимуществом данного подхода является возможность внедрения в организацию подходов по управлению одним или несколькими поставщиками, контролю их действий и установлению доверительных и взаимовыгодных отношений. Однако, недостатком приведённого подхода в библиотеке ITIL является отсутствие как такого этапа определения и выбора поставщика ИТ-услуг, с которым организация может в дальнейшем работать. При описании процесса управления поставщиками приводится 3 фактора, влияющих на выбор поставщика ИТ-услуг: предыдущие достижения (опыт поставщика), текущие возможности (предоставляемые услуги, решения и используемые технологии) и отзывы о поставщике от других организаций-заказчиков. Данный список факторов выбора поставщика ИТ-услуг не может считаться полным, так как существует ряд ключевых показателей, не приведённых в данном подходе.