Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf

На основании собственного опыта и проведённого внутри организации ООО «Эрендай Груп» опроса ключевых сотрудников предложен следующий список критериев выбора поставщика ИТ-услуг:

1. Опыт поставщика ИТ-услуг: данный фактор включает в себя количество и сложность реализованных проектов и управления бизнес-процессами клиентов конкретного поставщика, а также количество и основные характеристики (масштаб компании, количество сотрудников, схожесть с деятельностью организации, выбирающей ИТ-поставщика и пр.) клиентов.
2. Репутация и надёжность поставщика ИТ-услуг: отзывы клиентов о поставщике, степень удовлетворения потребностей клиентов в их бизнес-целях и задачах.
3. Предоставляемые услуги и навыки: определение списка предоставляемых услуг данным поставщиком необходимо для решения вопроса о количестве поставщиков ИТ-услуг в компании.
4. Гибкость и масштабируемость: возможность поставщика ИТ-услуг подстраиваться под изменяющиеся потребности клиента.
5. Стоимость: данный критерий необходим для сравнения стоимостных затрат на использование одной и той же услуги у разных поставщиков. Очевидно, что организация при прочих равных будет стремиться сократить свои расходы на поставщиков.
6. Качество обслуживания: условия предоставления и реализации технической поддержки и обслуживания компании-заказчика.
7. Соответствие деятельности поставщика ИТ-услуг и его услуг международным и национальным стандартам в области информационной безопасности: определение перечня стандартов и законов, действующих на территории компании-заказчика, соответствие требованиям которых необходимо и / или желательно соблюсти поставщику ИТ-услуг. Это приобретает критическую важность при использовании в предоставляемых поставщиком ИТ-услугах персональных данных, а также хранении и обработке информации ограниченного доступа.

В соответствии с приведённым перечнем факторов, влияющих на выбор поставщика ИТ-услуг, в частности облачного провайдера, для организации ООО «Эрендай Груп» будет составлен перечень вопросов, возможных вариантов ответа и регулирующих договоров и стандартов для осуществления выбора поставщика ИТ-услуг, который будет соответствовать бизнес-целям организации и требованиям к обеспечению защиты информации при передаче ИТ-услуг на аутсорсинг.

ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ

---

• 1. Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»

Опираясь на классификацию, приведённую во 2-ой главе настоящего исследования, по категории доступа информация, используемая в бизнес-процессах компании и при реализации заказов, относится к информации ограниченного доступа, а именно к категориям персональных данных и коммерческой тайны. Ниже приведена таблица 1 с перечнем информации, необходимой к защите.

Таблица 1. Объекты информационной защиты в ООО «Эрендай Груп»

Категории документов / информации	Информация ограниченного доступа
	Персональные данные	Коммерческая тайна
Договора с клиентами	Сведения о представителях заказчика и компании ООО «Эрендай Груп»	Описание работ и порядка их выполнения, стоимость работ
Договора с подрядчиками	Сведения о представителях компании ООО «Эрендай Груп» и подрядчика	Описание работ и порядка их выполнения, стоимость работ
Бриф клиента	-	Заказ на предоставление каких-либо услуг, KPI
Коммерческое предложение клиенту	-	Идеи реализации задач клиента, методы и способы реализации задач, стоимость и сроки реализации работ
Разработанное ИТ-решение	Сведения о пользователях сайта/WEB-приложения, хранящиеся и обрабатываемые в базе данных	Код разрабатываемого ИТ-решения как инновация

По форме существования информационных объектов защиты используется несколько форматов – подробный перечень объектов защиты и формы их размещения / места расположения приведены в таблице 2 ниже.

Таблица 2. Форма и места расположения информационных объектов защиты

	Бумажный носитель	Электронный вид		Электронная почта	Др. ср-ва связи	Плёнка	Устный формат
		FTP-сервер	Облачные ресурсы
ПДн сотрудников ООО «Эрендай Груп»	●	●	●	●	●		●
ПДн заказчика	●	●	●	●	●		●
ПДн пользователей		●	●
Договора с клиентами	●	●	●	●
Договора с подрядчиками	●	●	●	●
Информация о стоимости работ	●	●	●	●	●		●
Бриф клиента		●	●	●
Идеи реализации		●	●	●
Методы и способы реализации		●	●	●

---

Угрозы и уязвимости информационной безопасности в ООО «Эрендай Груп» при аутсорсинге ИТ-услуг. В качестве угроз и уязвимостей информационной безопасности в компании ООО «Эрендай Груп» будут рассмотрены только те, что относятся к аутсорсингу ИТ-услуг. В таблице представлено несколько детализированных угроз в соответствии с классификацией, приведённой во 2-ой главе настоящего исследования, а также уязвимости, присутствующие в настоящий момент в организации и способные повлечь за собой реализацию угроз ИБ. В таблице 3 отражены уязвимости и угрозы, относящиеся к использованию облачных сервисов и ресурсов.

Таблица 3. Угрозы и уязвимости в ООО «Эрендай Груп» при использовании облачных сервисов

	Угрозы специальных воздействий	Угрозы физического НСД	Угрозы программного НСД	Угрозы утечки информации	Угрозы социальной инженерии	Угрозы несоответствия законодательству
Уязвимости в системе безопасности облачных сервисов	Сетевые атаки; сбои и отказы; нарушение доступности	Повреждения ограждающих конструкций; нарушение доступности	Нарушение доступности	Сетевые атаки; общедоступность облачной инфраструктуры; потеря доверия к поставщику	Злоупотребления доверием потребителей облачных услуг	Нарушение доступности; несогласованность политик безопасности элементов облачной инфраструктуры
Некомпетентность сотрудников		Кража/потеря устройств	Кража/потеря устройств	Злоупотребления возможностями, предоставленными потребителям облачных услуг	Атаки на социальную инженерию
Уязвимость организации каналов обмена информацией	Сетевые атаки		Потеря управления облачными ресурсами
Ошибки управления сложными системами		Общедоступность облачной инфраструктуры	Неправильное GUI/API управление; потеря управления	Общедоступность облачной инфраструктуры
Ошибки использования ПО	Сетевые атаки; приостановка оказания облачных услуг; перегрузка систем		Незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; «отказ в обслуживании»
Отсутствие регламента выбора поставщика и SLA	Потеря доверия к поставщику; приостановка оказания облачных услуг	Потеря доверия к поставщику	Потеря доверия к поставщику	Потеря доверия к поставщику	Недобросовестное исполнение обязательств поставщиками	Нарушение ФЗ №152 О персональных данных; блокировка облачного провайдера; административные и юридические проблемы

---

Как видно из представленной таблицы, основными уязвимостями является отсутствие регламентированных процессов по использованию облачных систем и ресурсов в компании ООО «Эрендай Груп». Соответственно, сотрудники организации в силу человеческого фактора и по незнанию могут допускать ошибки при выборе облачных систем и ресурсов, использовании данных систем, обмене информацией внутри облачных ресурсов, предоставлении доступов сторонним лицам и во время прочих процессов, сопровождающих различные стадии проектной деятельности.

В данном случае необходимо отметить несколько основных векторов направления работ внутри организации:

1. Составление и внедрение в компанию ООО «Эрендай Груп» на верхнем уровне следующих регламентов: выбора поставщика ИТ-услуг, использования облачных систем и ресурсов, управления доступами в облачных системах и ресурсах, пользования информацией с указанием порядка размещения критически важной информации в облачных ресурсах, обмена информацией между соответствующими лицами с помощью различных средств связи и систем;
2. Проведение работ с сотрудниками организации ООО «Эрендай Груп» по ознакомлению с вопросами обеспечения информационной безопасности предприятия, а также с составленными регламентами;
3. Внедрение планов по регулярному ознакомлению новых сотрудников с действующими регламентами и напоминанию всем действующим сотрудникам о принятых в организации правилах;
4. Разработка и внедрение плана по регулярному мониторингу в организации ООО «Эрендай Груп» сотрудниками действующих правил;
5. Составление и внедрение в работу с поставщиками ИТ-услуг соглашения об уровне и качестве предоставляемых услуг.

Реализация данного перечня работ позволит сократить количество уязвимостей в компании ООО «Эрендай Груп» или заменить на менее серьёзные по степени возможности реализации или последствиям уязвимости. Также предпринятые меры позволят сократить вероятность наступления таких рисковых событий, как:

1. Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг;
2. Сетевые атаки;
3. Атаки на социальную инженерию;
4. Неправильное GUI и / или API управление;
5. Кража и / или потеря устройств;
6. Физические опасности;
7. Перегрузка систем;
8. Неоценённые затраты на работу с поставщиками ИТ-услуг;
9. Блокировка поставщика в результате его несоответствия требованиям законодательства;
10. Административные и / или юридические проблемы;
11. Несоблюдение национального и иностранного законодательства.

---

В данной работе будут даны рекомендации по составлению регламента выбора поставщика ИТ-услуг с перечнем характеристик, на которые следует обращать внимание, и вопросов к поставщику ИТ-услуг. Также будут даны рекомендации по разработке регламентов использования облачных систем и ресурсов и управления доступом к ресурсам и информации. Одной из ключевых задач данной дипломной работы является составление рекомендаций по составлению и внедрению SLA в практику для организации.

Облачные ИС, используемые в компании ООО «Эрендай Груп». В настоящий момент в компании ООО «Эрендай Груп» при работе над заказами клиентов используются следующие облачные информационные системы:

1. Google Диск как инструмент хранения проектной информации, включая брифы, договора, проектную документацию и отчётность, и предоставления соответствующих уровней доступа заинтересованным сторонам: представителям заказчика, проектной команде и подрядчикам, задействованным на проектах. Таким образом, в Google Диск попадает вся информация из категории коммерческой тайны.
2. Trello как инструмент управления проектами: в данной системе хранится информация, необходимая исполнителям (как внутренним сотрудникам компании ООО «Эрендай Груп», так и внешним подрядчикам) для реализации работ по проекту. Организация использует бесплатную версию инструмента с ограниченными возможностями по настройке и управлению уровнями доступа. Пользователь, получивший доступ к проектной доске, имеет возможность неограниченной работы с размещаемыми файлами, просмотра и обработки проектных задач, комментирования и т.д. Однако, только пользователь с уровнем доступа «Администратор доски» имеет возможность приглашать к доске других пользователей.
3. GitHub как инструмент ведения и реализации разработки WEB-сайтов. GitHub используется на этапе разработки сайтов и приложений для клиента в качестве места хранения исходного кода (в репозиториях) и ведения технической проектной документации (API, описание методов и пр.). К репозиториям предоставляется доступ на уровне администратора корпоративного аккаунта – таким образом, доступ к репозиторию может быть выдан как внутренним сотрудникам для реализации разработки, так и внешним подрядчикам, которые на том или ином проекте могут осуществлять разработку решения.

В компании ООО «Эрендай Груп» не проведён анализ поставщиков ИТ-услуг на предмет соответствия международным и российским регламентам и стандартам информационной безопасности, не разработаны рабочие инструкции по осуществлению работы в данных системах, в том числе о возможности и необходимости предоставления доступов тем или иным лицам и на каких условиях, а также не существует соглашения о уровне и качестве предоставления ИТ-услуг со стороны провайдеров облачных систем.

---