Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.05.2023

Просмотров: 124

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.

1.2 Методические основы обеспечения информационной безопасности на предприятии.

ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ ИТ-УСЛУГ В КОМПАНИИ ООО «ЭРЕНДАЙ ГРУП»

2.1. Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «Эрендай Груп».

2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.

ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ

3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»

3.2 Регламент выбора поставщика ИТ-услуг и разработка SLA.

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

СПИСОК ЛИТЕРАТУРЫ

  1. RightScale 2018 State of the Cloud Report [Электронный ресурс]. – URL: https://assets.rightscale.com/uploads/pdfs/RightScale-2018-State-of-the-Cloud-Report.pdf. (Дата обращения: 05.02.2018)
  2. Стандарт ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services»
  3. Стандарт ISO/IEC 27018:2014 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors»
  4. Стандарт ISO/IEC 27036-1 «Information security for supplier relationships - Part 1: Overview and concepts»
  5. Стандарт ISO/IEC 27036-2 «Information security for supplier relationships - Part 2: Requirements»
  6. Стандарт ISO/IEC 27036-3 «Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security»
  7. Стандарт ISO/IEC 27036-4 «Information security for supplier relationships - Part 4: Guidelines for security of cloud services»
  8. ITIL (Information Technology Infrastructure Library) Version 3
  9. ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ
  10. Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ
  11. Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
  12. Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах»
  13. Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
  14. ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
  15. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
  16. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности
  17. ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
  18. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
  19. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
  20. ISO/IEC TS 27017:2015 / ITU-T X.1631 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  21. ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
  22. NIST SP 800–144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений»
  23. ETSI TR 103125 «Облака – Соглашения о качестве услуг для облачных сервисов»
  24. Dr. M.A.C. Dekker «Critical Cloud Computing: CIIP Perspective on Cloud Computing» // European Network and Information Security Agency (ENISA). 2012. Version 1.0
  25. Dr. M.A.C. Dekker, Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» // European Network and Information Security Agency (ENISA). 2015. SME version
  26. Antonio Maña, Eduardo Jacob, Lorenzo Di Gregorio, Michele Bezzi «Security aspects of virtualization» // European Network and Information Security Agency (ENISA). 2017
  27. А.А. Евдокимов, Э.Е. Тихонов «Защита данных в облачных технологиях: Монография» - Невинномысск: Издательство НИЭУП, 2015 г. – 102 с.
  28. Я. О. Кучина «Правовое регулирование облачных технологий (вычислений)»: монография / Я. О. Кучина - Москва: Юрлитинформ, 2018. -  165
  29. И. А. Нестерова «Правовое регулирование отношений, возникающих при использовании облачных технологий»: автореферат дис. ... кандидата юридических наук: 12.00.03 / - Москва, 2017
  30. ГОСТ Р 57392-2017. Управление услугами. Часть 10. Основные понятия и терминология
  31. А.С. Моляков «Модели и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
  32. А.С. Моляков «Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
  33. А.В. Никольский «Защита облачных вычислений от атак на средства виртуализации»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2013
  34. Ю.М. Туманов «Защита сред облачных вычислений путём верификации программного обеспечения на наличие деструктивных свойств»: автореферат дис. кандидата технических наук – Москва, 2012
  35. С.В. Одегов «Методика снижения рисков информационной безопасности облачных сервисов на основе квантифицирования уровней защищенности и оптимизации состава ресурсов»: Диссертация кандидата технических наук – Санкт-Петербург, 2013

ПРИЛОЖЕНИЕ №1

Опросник поставщика ИТ-услуг

Соответствующие регулируемые риски

Тема

Вопрос

Возможные варианты ответа

Отражение информации

Организационная безопасность, структура и риск-менеджмент

Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?

Общая политика и подход к управлению рисками безопасности

Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения

Несогласованность политик безопасности элементов облачной инфраструктуры; общедоступность облачной инфраструктуры

Наличие или отсутствие контактных центров по инцидентам безопасности

Опубликованные аудиторские отчёты независимых аудиторов

Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц

Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике

Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками

Прочее

Обязанности и обязательства в сфере безопасности

Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?

Активы находятся в зоне ответственности провайдера ИТ-услуг

Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности

Злоупотребление доверием потребителей облачных услуг; потеря доверия к поставщику; злоупотребления возможностями, предоставленными потребителям облачных услуг

Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.

Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы

Перечисление примеров инцидентов, попадающих под ответственность провайдера

Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами

Перечень задач и обязанностей, за которые несёт ответственность заказчик

Непредвиденные обстоятельства и резервные копии

Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?

Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.)

Соответствующие положения, включённые в контракт / договор и / или SLA

Кража и/или потеря устройства

Избыточность сети, географическая распределённость, зоны доступности, контроль доступа

KPI по времени на восстановление облачных систем и ресурсов

Сбои и отказы

Резервные копии и механизмы обеспечения отказоустойчивости

Перегрузка систем

Планы аварийного восстановления

Правовые, нормативные и административные вопросы

Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?

Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.

Соответствующие положения о доступе к данным в договоре и / или SLA

Административные и/или юридические проблемы

Реализация экспорта гарантированных данных

Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям

Безопасность персонала

Как провайдер гарантирует, что его персонал работает надёжно?

Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера

Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ

Физический НСД

Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов

Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System)

Атаки на социальную инженерию

Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных)

Управление доступом

Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?

Предоставление мер по защите от несанкционированного физического доступа

Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ

Потеря управления; незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; "Отказ в обслуживании"

Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий)

Использование механизмов аутентификации пользователей

Соблюдение стандартов и / или передовых практик в соответствии со СМИБ

Безопасность ПО

Как провайдер обеспечивает безопасность ПО и какое ПО остаётся в зоне ответственности компании-заказчика?

Защищённый метод разработки ПО

Информация о прошлых уязвимостях соответствующего программного обеспечения

Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг

Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.)

Отчёты о наличии уязвимостей

Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг

Результаты независимых аудитов программного обеспечения

Сетевые атаки

Процедуры выкатки исправлений и обновлений

Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM)

Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014)

Неправильное GUI и / или API управление

Интерфейсы пользователя, управления и прикладного программирования

Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?

Перечисление методов аутентификации в GUI и через API

Технические документы с описанием интерфейсов и практикуемых методов защиты

Атаки на социальную инженерию

Меры защиты для интерфейсов администратора

Неправильное GUI и / или API управление

Процессы аутентификации для интерфейса администрирования

Кража и / или потеря устройств

Ограничения по IP, роли и привилегии администратора

Мониторинг и логирование

Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент?

Панель мониторинга с доступом к мониторингу производительность системы

Соответствующий пункт в SLA о наличии журналов транзакций

Неправильное GUI и / или API управление

Журналы транзакций и журналы производительности

Предупреждения / оповещения и триггеры для уведомления

Взаимодействие и портативность

Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами?

Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д.

Соответствующие положения в контракте или SLA

Потеря управления облачными ресурсами; блокировка поставщика в результате его несоответствия требованиям законодательства

Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам

Масштабирование, калибровка и затраты

Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты?

Примеры сценариев эластичности, калькуляции затрат и т.д.

Соответствующие положения в контракте или SLA

Перегрузка систем

Уведомления о расходах и ограничения выставления счетов

Отчёт о производительности

Неоценённые затраты на работу с поставщиками ИТ-услуг

Соблюдение национального / международного законодательства

Какое национальное законодательство применяется?

Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений

Ссылки на соответствующие законодательства

Несоблюдение национального и иностранного законодательства

Соответствующая иностранная юрисдикция и применимое иностранное законодательство

Расположение центров обработки данных

Применимое законодательство о защите персональных данных