Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf
Добавлен: 26.05.2023
Просмотров: 128
Скачиваний: 2
СОДЕРЖАНИЕ
1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.
1.2 Методические основы обеспечения информационной безопасности на предприятии.
2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.
ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ
3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»
ВВЕДЕНИЕ
Формулировка темы и актуальность работы. В современных рыночных условиях организации активно используют информационные технологии как инструмент, позволяющий достичь конкурентного преимущества за счёт автоматизации множества бизнес-процессов, сокращения финансовых и временных издержек и оперативного получения из различных источников и распространения информации, на основе которой принимаются решения. Тем не менее, процессы интеграции ИТ на предприятие и обеспечения их технической поддержки могут быть дорогостоящими для компании в связи с тем, что требуют развития инфраструктуры, найма и содержания высококвалифицированного персонала, внедрения специализированного ПО, разработки соответствующих регламентов и инструкций. Поэтому большую популярность приобретает переход на аутсорсинг в сфере ИТ: выбирается компания-поставщик ИТ-решений и услуг (или несколько компаний), на которую возлагается ответственность за внедрение необходимых средств и программ в компанию-заказчика и обеспечение функционирования соответствующих процессов.
Объект, предмет, цель и задачи исследования. В рамках данной работы сформулированы объект, предмет, цель и задачи исследования.
Объектом исследования является система менеджмента информационной безопасности (далее – СМИБ) организации ООО «Эрендай Груп», практикующей частичную передачу ИТ-услуг поставщикам.
Предметом исследования являются используемые документы, регламенты и информационные системы организации ООО «Эрендай Груп», используемые при осуществлении аутсорса ИТ-услуг.
Основная цель данного исследования заключается в разработке методов и способов обеспечения информационной безопасности в организации, частично или полностью передающей ИТ-услуги поставщикам, в российских реалиях с учётом существующих международных стандартов и регламентов в сфере обеспечения информационной безопасности предприятия и законодательства Российской Федерации.
В рамках данной работы составлен список задач, реализация которых способствует достижению поставленной цели:
- Анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии;
- Анализ существующих методологий обеспечения информационной безопасности на предприятии;
- Определение проблемы обеспечения информационной безопасности в компании ООО «Эрендай Груп» при передаче ИТ-услуг на аутсорсинг;
- Разработка методологий выбора поставщика ИТ-услуг и составления Соглашения об уровне обслуживания;
- Проведение классификации объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»;
- Разработка правил выбора поставщика ИТ-услуг и Соглашения об уровне обслуживания.
Для решения поставленного круга задач и достижения цели данной исследовательской работы будут использоваться следующие инструментальные методы и средства:
- анализ существующих международных стандартов и литературы в области информационной безопасности и выявление подходящей классификации для объектов защиты, их мест нахождения, угроз и уязвимостей при использовании облачных сервисов;
- анализ существующей системы информационной безопасности в компании ООО «Эрендай Груп» для определения текущих механизмов обеспечения ИБ и выявления конкретных слабых мест в системе безопасности при взаимодействии с поставщиками ИТ-услуг на основании опроса сотрудников и анализа стандартов в данной сфере;
- определение существующих процессов взаимодействия с облачными сервисами посредством опроса вовлечённых лиц;
- анализ существующих международных стандартов и исследований в сфере разработки правил предоставления ИТ-услуг компании от поставщиков;
на основании проведённых анализов стандартов, регламентов, литературы и исследований будут определены уровень и качество предоставляемых ИТ-услуг в настоящий момент и произведено сопоставление с бизнес-целями компании, также будет проведена оценка изменения уровня и качества ИТ-услуг после внедрения разработанных правил в компанию ООО «Эрендай Груп».
Структура работы. Структурно данная работа разделена на 3 части: теоретические предпосылки исследования, инструментальные методы и средства поставленной проблемы и практическая реализация предложенного подхода.
1 глава посвящена теоретическим предпосылкам исследования, в рамках которых раскрывается степень изученности проблемы, полнота и характер исследований приводится описание компании ООО «Эрендай Груп»; формулируется постановка проблемы и приводится её обоснование.
2 глава описывает инструментальные методы и средства поставленной проблемы: предлагается подход к решению задач и описывается практическая значимость предложенного подхода.
В 3 главе описывается практическая реализация предложенного подхода на примере рассматриваемой организации ООО «Эрендай Груп», а также анализируются полученные результаты.
ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.
Согласно исследованию компании RightScale [1], проведённому в январе 2018 г. и задействовавшему 997 технических специалистов, в настоящее время 96% опрошенных респондентов используют облачные технологии на предприятии: в 2017 году данный показатель составлял 89%. Таким образом, наглядно видно, что использование облачных сервисов в международной практике только растёт. 81% респондентов используют мульти-облачную стратегию на предприятии. При этом по сравнению с 2017 годом процент компаний, использующих одновременно публичные и частные облачные сервисы, снизился с 58% до 51% в 2018 году. Сейчас предпочтение отдаётся использованию нескольких публичных облачных сервисов, либо нескольких частных. В среднем организации используют почти 5 облачных решений. Наглядно статистические данные приведены на рис. 1 и рис. 2.
Рисунок 1. Стратегия использования облаков в организациях (>1000 сотрудников)
Рисунок 2. Стратегия использования облаков в СМБ (<1000 сотрудников)
Также необходимо отметить, что затраты на использование облачных ресурсов значительно и быстро растут:
- 26% предприятий тратят более 6 миллионов долларов в год на использование облачных решений;
- 52% тратят более 1,2 миллионов долларов в год;
- 20% компаний планируют в 2018 году увеличить свои расходы на облачные ресурсы более, чем в 2 раза;
- 71% компаний планирует в 2018 году увеличить расходы на облачные ресурсы больше, чем на 20%;
- Малый и средний бизнес имеет меньшие расходы на облачные решения – около 50% компаний тратят меньше 10 000 долларов в год, но 17% планируют удвоить свои расходы на данный вид услуг в 2018 году, а увеличить затраты на 20% планируют 62% компаний малого и среднего бизнеса.
Однако, необходимо учитывать, что в таком случае организация-поставщик ИТ-услуг получает и обрабатывает всю информацию, в том числе конфиденциальную, о компании-заказчике: данные сотрудников, документы, договора, информацию о клиентах и поставщиках и т.д. В связи с этим остро встаёт вопрос обеспечения информационной безопасности, то есть защиты от угроз утечки данных, нарушения целостности и сохранности информации и использования конфиденциальных данных в корыстных целях. Данная проблема носит серьёзный характер, так как утечка данных может негативно повлиять на деятельность организации, в том числе может вызвать падение репутации компании в глазах клиентов и потребителей, снижение прибыли, потерю постоянных клиентов и, как следствие, прекращение деятельности.
Опираясь на исследование RightScale, главными облачными проблемами 2018 года являются обеспечение безопасности и управление расходами:
- 77% респондентов отмечают безопасность как проблему при использовании облачных сервисов, из них 29% считают это серьёзной проблемой;
- Управление облачными затратами – проблема для 76% респондентов, при этом 21% считают это серьёзной проблемой;
- Безопасность – самая большая проблема для компаний-новичков в использовании облачных решений, в то время как управление стоимостью – основная задача уже более продвинутых организаций.
На рис. 3 представлены отмеченные респондентами проблемы и их значимость в процентном соотношении.
Рисунок 3. Облачные проблемы
Исходя из вышеперечисленных данных, можно сделать вывод, что существует явная необходимость в обеспечении защиты информационной среды на предприятии при частичной или полной передаче ИТ-услуг на аутсорс
Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ [9]. В настоящем документе приводятся перечень терминов и определений об информации и информационных технологиях, принятых в Российской Федерации на законодательном уровне, принципы правового регулирования соответствующих отношений, классификация информации в зависимости от категории доступа и в зависимости от порядка её предоставления или распространения, права на доступ и использование той или иной информации, права и обязанности при распространении или предоставлении информации, а также права и обязанности при участии в информационных отношениях и использовании информационных технологий и систем государственных и муниципальных органов и прочее. Данный документ является основополагающим при предоставлении ИТ-услуг от поставщика предприятию и от предприятия клиенту при условии регистрации и нахождения компании на территории Российской Федерации. Для обеспечения безопасности предприятия необходимо соответствовать принятым на законодательном уровне нормам при работе с информационными технологиями, системами и при использовании информации ограниченного доступа и/или конфиденциального характера.
Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ [10]. Данным законом регулируются отношения, в рамках которых происходит получение, хранение и обработка персональных данных. К основным принципам обработки персональных данных относятся соответствие обработки и хранения персональных данных целям их сбора. При этом сбор, хранение и обработка персональных данных могут осуществляться только с согласия субъекта персональных данных. В данном ФЗ определены случаи, при которых допускается обработка персональных данных субъектов, а также определены конфиденциальность ПнД, процессы получения согласия субъекта ПнД на их обработку и связанные с персональными данными отношения между субъектом и оператором, а также права субъекта персональных данных. Компании, использующие в рамках своей деятельности те или иные ИТ-услуги, часто сталкиваются с процессами обработки и хранения персональных данных. Соблюдение федерального закона в этой части крайне важно и имеет высокий приоритет при работе с поставщиками ИТ-услуг.
Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" [11]. В данном документе определены сведения конфиденциального характера, среди которых для целей данной работы необходимо особенно выделить сведения, составляющие коммерческую тайну, и сведения о сущности и новизне изобретения (инновации), которые зачастую являются неотъемлемой частью деятельности организации.
Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [12]. Данная методика может применяться при построении эффективной системы управления информационной безопасностью, так как направлена на выявление угроз безопасности в информационных системах и определению их оценки. К источникам угроз в приведённой методике отнесены: антропогенные, техногенные и стихийные источники. Также приводится процесс проведения оценки вероятности реализации угроз безопасности информации и степени возможного ущерба. В разделе оценки возможностей нарушителей по реализации угроз безопасности информации приводится модель нарушителя: описываются возможные типы нарушителей, виды нарушителей и их возможная мотивация. Помимо модели нарушителя, в рамках данного документа описывается модель угроз безопасности информации, включающая возможные способы реализации угроз безопасности. Также описывается формула определения актуальности угроз безопасности, на основании которой можно определить актуальность конкретной угрозы непосредственно для определённой компании, виды ущерба и возможные негативные последствия.
Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [13]. В данной методике систематизированы угрозы, которые могут явиться следствием преднамеренных или непреднамеренных действий нарушителей в отношении персональных данных.
ГОСТ Р ИСО/МЭК серии 27000 [14] – [19]. Данные стандарты разработаны на основании международных стандартов ISO/IEC series 27000 и предназначены для построения эффективной системы менеджмента информационной безопасности.
ISO/IEC TS 27017 «Информационные технологии – Руководство по мерам информационной безопасности для использования сервисами облачных вычислений, основанное на стандарте ISO/IEC 27002» [20] содержит перечень мер и рекомендаций для реализации поставщиками облачных вычислений.
ISO/IEC 27018 «Свод практик по мерам защиты персональных данных при оказании публичных облачных услуг» [21] приведены рекомендации в части защиты персональных данных в облачных сервисах, которые могут являться также и операторами ПДн. Основной упор делается на защите персональных данных в связи с важностью данного вида информации на законодательном уровне во всех странах.