Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf
Добавлен: 26.05.2023
Просмотров: 124
Скачиваний: 2
СОДЕРЖАНИЕ
1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.
1.2 Методические основы обеспечения информационной безопасности на предприятии.
2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.
ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ
3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»
СПИСОК ЛИТЕРАТУРЫ
- RightScale 2018 State of the Cloud Report [Электронный ресурс]. – URL: https://assets.rightscale.com/uploads/pdfs/RightScale-2018-State-of-the-Cloud-Report.pdf. (Дата обращения: 05.02.2018)
- Стандарт ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services»
- Стандарт ISO/IEC 27018:2014 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors»
- Стандарт ISO/IEC 27036-1 «Information security for supplier relationships - Part 1: Overview and concepts»
- Стандарт ISO/IEC 27036-2 «Information security for supplier relationships - Part 2: Requirements»
- Стандарт ISO/IEC 27036-3 «Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security»
- Стандарт ISO/IEC 27036-4 «Information security for supplier relationships - Part 4: Guidelines for security of cloud services»
- ITIL (Information Technology Infrastructure Library) Version 3
- ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ
- Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ
- Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
- Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах»
- Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
- ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
- ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
- ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности
- ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
- ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
- ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
- ISO/IEC TS 27017:2015 / ITU-T X.1631 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- NIST SP 800–144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений»
- ETSI TR 103125 «Облака – Соглашения о качестве услуг для облачных сервисов»
- Dr. M.A.C. Dekker «Critical Cloud Computing: CIIP Perspective on Cloud Computing» // European Network and Information Security Agency (ENISA). 2012. Version 1.0
- Dr. M.A.C. Dekker, Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» // European Network and Information Security Agency (ENISA). 2015. SME version
- Antonio Maña, Eduardo Jacob, Lorenzo Di Gregorio, Michele Bezzi «Security aspects of virtualization» // European Network and Information Security Agency (ENISA). 2017
- А.А. Евдокимов, Э.Е. Тихонов «Защита данных в облачных технологиях: Монография» - Невинномысск: Издательство НИЭУП, 2015 г. – 102 с.
- Я. О. Кучина «Правовое регулирование облачных технологий (вычислений)»: монография / Я. О. Кучина - Москва: Юрлитинформ, 2018. - 165
- И. А. Нестерова «Правовое регулирование отношений, возникающих при использовании облачных технологий»: автореферат дис. ... кандидата юридических наук: 12.00.03 / - Москва, 2017
- ГОСТ Р 57392-2017. Управление услугами. Часть 10. Основные понятия и терминология
- А.С. Моляков «Модели и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
- А.С. Моляков «Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
- А.В. Никольский «Защита облачных вычислений от атак на средства виртуализации»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2013
- Ю.М. Туманов «Защита сред облачных вычислений путём верификации программного обеспечения на наличие деструктивных свойств»: автореферат дис. кандидата технических наук – Москва, 2012
- С.В. Одегов «Методика снижения рисков информационной безопасности облачных сервисов на основе квантифицирования уровней защищенности и оптимизации состава ресурсов»: Диссертация кандидата технических наук – Санкт-Петербург, 2013
Опросник поставщика ИТ-услуг |
Соответствующие регулируемые риски |
|||
Тема |
Вопрос |
Возможные варианты ответа |
Отражение информации |
|
Организационная безопасность, структура и риск-менеджмент |
Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом? |
Общая политика и подход к управлению рисками безопасности |
Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения |
Несогласованность политик безопасности элементов облачной инфраструктуры; общедоступность облачной инфраструктуры |
Наличие или отсутствие контактных центров по инцидентам безопасности |
Опубликованные аудиторские отчёты независимых аудиторов |
|||
Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц |
Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике |
|||
Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками |
Прочее |
|||
Обязанности и обязательства в сфере безопасности |
Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)? |
Активы находятся в зоне ответственности провайдера ИТ-услуг |
Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности |
Злоупотребление доверием потребителей облачных услуг; потеря доверия к поставщику; злоупотребления возможностями, предоставленными потребителям облачных услуг |
Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д. |
Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы |
|||
Перечисление примеров инцидентов, попадающих под ответственность провайдера |
Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами |
|||
Перечень задач и обязанностей, за которые несёт ответственность заказчик |
||||
Непредвиденные обстоятельства и резервные копии |
Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование? |
Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.) |
Соответствующие положения, включённые в контракт / договор и / или SLA |
Кража и/или потеря устройства |
Избыточность сети, географическая распределённость, зоны доступности, контроль доступа |
KPI по времени на восстановление облачных систем и ресурсов |
Сбои и отказы |
||
Резервные копии и механизмы обеспечения отказоустойчивости |
Перегрузка систем |
|||
Планы аварийного восстановления |
||||
Правовые, нормативные и административные вопросы |
Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров? |
Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д. |
Соответствующие положения о доступе к данным в договоре и / или SLA |
Административные и/или юридические проблемы |
Реализация экспорта гарантированных данных |
Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям |
|||
Безопасность персонала |
Как провайдер гарантирует, что его персонал работает надёжно? |
Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера |
Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ |
Физический НСД |
Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов |
||||
Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System) |
Атаки на социальную инженерию |
|||
Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных) |
||||
Управление доступом |
Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа? |
Предоставление мер по защите от несанкционированного физического доступа |
Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ |
Потеря управления; незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; "Отказ в обслуживании" |
Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий) |
||||
Использование механизмов аутентификации пользователей |
||||
Соблюдение стандартов и / или передовых практик в соответствии со СМИБ |
||||
Безопасность ПО |
Как провайдер обеспечивает безопасность ПО и какое ПО остаётся в зоне ответственности компании-заказчика? |
Защищённый метод разработки ПО |
Информация о прошлых уязвимостях соответствующего программного обеспечения |
Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг |
Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.) |
Отчёты о наличии уязвимостей |
|||
Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг |
Результаты независимых аудитов программного обеспечения |
Сетевые атаки |
||
Процедуры выкатки исправлений и обновлений |
Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM) |
|||
Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014) |
Неправильное GUI и / или API управление |
|||
Интерфейсы пользователя, управления и прикладного программирования |
Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика? |
Перечисление методов аутентификации в GUI и через API |
Технические документы с описанием интерфейсов и практикуемых методов защиты |
Атаки на социальную инженерию |
Меры защиты для интерфейсов администратора |
Неправильное GUI и / или API управление |
|||
Процессы аутентификации для интерфейса администрирования |
Кража и / или потеря устройств |
|||
Ограничения по IP, роли и привилегии администратора |
||||
Мониторинг и логирование |
Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент? |
Панель мониторинга с доступом к мониторингу производительность системы |
Соответствующий пункт в SLA о наличии журналов транзакций |
Неправильное GUI и / или API управление |
Журналы транзакций и журналы производительности |
||||
Предупреждения / оповещения и триггеры для уведомления |
||||
Взаимодействие и портативность |
Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами? |
Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д. |
Соответствующие положения в контракте или SLA |
Потеря управления облачными ресурсами; блокировка поставщика в результате его несоответствия требованиям законодательства |
Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам |
||||
Масштабирование, калибровка и затраты |
Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты? |
Примеры сценариев эластичности, калькуляции затрат и т.д. |
Соответствующие положения в контракте или SLA |
Перегрузка систем |
Уведомления о расходах и ограничения выставления счетов |
Отчёт о производительности |
Неоценённые затраты на работу с поставщиками ИТ-услуг |
||
Соблюдение национального / международного законодательства |
Какое национальное законодательство применяется? |
Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений |
Ссылки на соответствующие законодательства |
Несоблюдение национального и иностранного законодательства |
Соответствующая иностранная юрисдикция и применимое иностранное законодательство |
||||
Расположение центров обработки данных |
||||
Применимое законодательство о защите персональных данных |