Файл: Нормативно-правовая база обеспечения информационной безопасности на предприятии.pdf

3.2 Регламент выбора поставщика ИТ-услуг и разработка SLA.

В ООО «Эрендай груп» не существует разработанного и принятого регламента и/или правил выбора поставщиков ИТ-услуг. Для того чтобы взаимодействовать с надёжным поставщиком ИТ-услуг, который будет соответствовать международным и российским нормам информационной безопасности, необходимо разработать регламент отбора таких поставщиков и внедрить его в компанию.

В соответствии с выявленными рисками и угрозами был составлен перечень тем с вопросами к поставщику ИТ-услуг. Каждой теме соответствует несколько рисков, вероятность наступления которых, в зависимости от ответов провайдера ИТ-услуг, будет увеличиваться или уменьшаться при условии использования облачных сервисов и систем. Важно учесть, что в большинстве случаев ответы на тематические вопросы можно найти на официальном сайте провайдера ИТ-услуг. Оставшуюся невыясненную информацию можно узнать посредством общения с технической поддержкой поставщика ИТ-услуг.

Темы, в соответствии с которыми составлен список вопросов к поставщикам ИТ-услуг, представлены ниже:

1. Организационная безопасность, структура и риск-менеджмент;
2. Обязанности и обязательства;
3. Стихийные бедствия и резервные копии;
4. Юридические и административные вопросы;
5. Безопасность персонала;
6. Управление доступом;
7. Программное обеспечение;
8. Интерфейсы пользователя, управления и прикладного программирования;
9. Мониторинг и логирование;
10. Взаимодействие и портативность;
11. Масштабирование и стоимостные затраты;
12. Соблюдение национального и международного законодательств.

Далее подробно раскрывается каждая тема и приводится перечень вопросов и возможные варианты ответов по каждой теме.

Организационная безопасность, структура и риск-менеджмент. Прежде чем приобретать облачные услуги и продукты у поставщика, компания-заказчик должна иметь представление о качестве и эффективности организационной структуры и процессах управления рисками у поставщика.
Также важно, чтобы заказчик был осведомлён, какие организационные структуры, подразделения и службы провайдера ИТ-услуг будут иметь дело с инцидентами безопасности, как заказчик должен выполнять ключевые роли, как найти важную информацию относительно информационной безопасности, советы по безопасности, информацию об отключении от предоставления ИТ-услуг провайдером.

---

По данной теме первым делом необходимо проверить наличие у поставщика ИТ-услуг поддерживаемых и регулярно обновляемых доказательств и свидетельств соответствия международным и национальным стандартам в области информационной безопасности:

• Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения. Среди международных стандартов к данной категории относится, например, ISO 27001, полным аналогом которого является российский стандарт ГОСТ Р ИСО/МЭК 27001. Таким образом, наличие сертификации по указанным выше стандартам является хорошим показателем для поставщика ИТ-услуг.
• Опубликованные аудиторские отчёты независимых аудиторов.
• Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике.
• И пр.

Вопрос, на который необходимо получить ответ по данной тематике: «Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?». Ответ может содержаться в следующих документах и информации, на которые стоит обратить внимание:

• Общая политика и подход к управлению рисками безопасности;
• Наличие или отсутствие контактных центров по инцидентам безопасности;
• Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц;
• Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками.

Обязанности и обязательства в сфере безопасности. На этапе выбора поставщика ИТ-услуг важно разделить такие понятия, как обязанности по задачам обеспечения информационной безопасности и обязанности / обязательства в случае наступления инцидентов безопасности, так как они различны для разных видов облачных сервисов.

Вопрос, на который необходимо получить ответ: «Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?». Возможные варианты ответа:

• Активы находятся в зоне ответственности провайдера ИТ-услуг;
• Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.;
• Перечисление примеров инцидентов, попадающих под ответственность провайдера;
• Перечень задач и обязанностей, за которые несёт ответственность заказчик.

Документы и гарантии, в которых может и должна быть отражена данная информация:

---

• Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности;
• Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы;
• Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами.

Непредвиденные обстоятельства и резервные копии. На предоставление облачных ИТ-услуг и сервисов могут повлиять землетрясения, выключение электричества, гроза и прочие непредвиденные бедствия и обстоятельства, которые никак не могут регулироваться провайдером ИТ-услуг или заказчиком. Данные бедствия могут оказать влияние на объекты, поставки, центры обработки данных, электрические или сетевые кабели. Для компании-заказчика важно понимать, на сколько облачный сервис является устойчивым перед лицом непредвиденных обстоятельств и бедствий и каким образом и в каком порядке выполняется резервное копирование данных.

Вопрос, на который необходимо получить ответ: «Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?». Возможные варианты ответа поставщика:

• Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.);
• Избыточность сети, географическая распределённость, зоны доступности, контроль доступа;
• Резервные копии и механизмы обеспечения отказоустойчивости;
• Планы аварийного восстановления.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения, включённые в контракт / договор и / или SLA;
• KPI по времени на восстановление облачных систем и ресурсов.

Правовые, нормативные и административные вопросы. Данные возможные проблемы могут стать причиной сбоев и отключений. Например, вопросы по контрактам и договорам, биллингу, юридическим процедурам против соарендаторов (других компаний-заказчиков ИТ-услуг у данного провайдера). Поэтому компания-заказчик должна быть осведомлена, каким образом обеспечивается безопасность её данных и процессов в случае наличия правовых вопросов и административных споров.

Вопрос, на который необходимо получить ответ: «Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?». Возможные ответы:

---

• Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.;
• Реализация экспорта гарантированных данных.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения о доступе к данным в договоре и / или SLA;
• Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям.

Безопасность персонала. Сотрудники, работающие в компании-поставщике ИТ-услуг, могут повлиять на безопасность предоставляемых услуг и / или обработку данных компании-заказчика. Заказчику необходимо быть проинформированным о том, каким образом провайдер гарантирует надёжность своего персонала при работе с услугами и данными клиентов.

Вопрос, на который необходимо получить ответ: «Как провайдер гарантирует, что его персонал работает надёжно?». Возможные ответы:

• Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера;
• Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов;
• Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System);
• Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных).

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Управление доступом. Данные и процессы компании-заказчика должны быть защищены от несанкционированного доступа. Таким образом, заказчику необходимо иметь представление, каким образом осуществляется управление доступом в целях обеспечения защиты своих данных и процессов.

Вопрос, на который необходимо получить ответ: «Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?». Возможные варианты ответов:

• Предоставление мер по защите от несанкционированного физического доступа;
• Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий);
• Использование механизмов аутентификации пользователей;
• Соблюдение стандартов и / или передовых практик в соответствии со СМИБ.

---

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Безопасность программного обеспечения. Уязвимости программного обеспечения могут повлечь за собой огромное воздействие на данные и / или процессы компании-заказчика. Заказчик должен быть проинформирован о том, какие меры предпринимаются для обеспечения безопасности ПО, лежащего в основе облачного сервиса, а также какое ПО не находится в зоне ответственности провайдера ИТ-услуг и должно обеспечиваться защитой со стороны заказчика.

Вопрос, на который необходимо получить ответ: «Как провайдер обеспечивает безопасность программного обеспечения и какое ПО остаётся в зоне ответственности компании-заказчика?». Возможные варианты ответа:

• Защищённый метод разработки ПО;
• Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.);
• Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг;
• Процедуры выкатки исправлений и обновлений;
• Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014).

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Информация о прошлых уязвимостях соответствующего программного обеспечения;
• Отчёты о наличии уязвимостей;
• Результаты независимых аудитов программного обеспечения;
• Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM).

Интерфейсы пользователя, управления и прикладного программирования. Доступность облачных сервисов обычно обеспечивается за счёт веб-интерфейсов пользователя и / или API. Эти интерфейсы должны быть защищены от несанкционированного доступа, в частности, интерфейсы управления для администраторов и роли с широким спектром привилегий, так как через интерфейсы с этими уровнями доступа злоумышленники могут получить доступ к большому количеству данных и процессов компании-заказчика.

Вопрос, на который необходимо получить ответ: «Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?». Возможные варианты ответа:

• Перечисление методов аутентификации в GUI и через API;
• Меры защиты для интерфейсов администратора;
• Процессы аутентификации для интерфейса администрирования;
• Ограничения по IP, роли и привилегии администратора.

---