Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf
Добавлен: 26.05.2023
Просмотров: 114
Скачиваний: 2
СОДЕРЖАНИЕ
1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.
1.2 Методические основы обеспечения информационной безопасности на предприятии.
2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.
ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ
3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»
На основании собственного опыта и проведённого внутри организации ООО «Эрендай Груп» опроса ключевых сотрудников предложен следующий список критериев выбора поставщика ИТ-услуг:
- Опыт поставщика ИТ-услуг: данный фактор включает в себя количество и сложность реализованных проектов и управления бизнес-процессами клиентов конкретного поставщика, а также количество и основные характеристики (масштаб компании, количество сотрудников, схожесть с деятельностью организации, выбирающей ИТ-поставщика и пр.) клиентов.
- Репутация и надёжность поставщика ИТ-услуг: отзывы клиентов о поставщике, степень удовлетворения потребностей клиентов в их бизнес-целях и задачах.
- Предоставляемые услуги и навыки: определение списка предоставляемых услуг данным поставщиком необходимо для решения вопроса о количестве поставщиков ИТ-услуг в компании.
- Гибкость и масштабируемость: возможность поставщика ИТ-услуг подстраиваться под изменяющиеся потребности клиента.
- Стоимость: данный критерий необходим для сравнения стоимостных затрат на использование одной и той же услуги у разных поставщиков. Очевидно, что организация при прочих равных будет стремиться сократить свои расходы на поставщиков.
- Качество обслуживания: условия предоставления и реализации технической поддержки и обслуживания компании-заказчика.
- Соответствие деятельности поставщика ИТ-услуг и его услуг международным и национальным стандартам в области информационной безопасности: определение перечня стандартов и законов, действующих на территории компании-заказчика, соответствие требованиям которых необходимо и / или желательно соблюсти поставщику ИТ-услуг. Это приобретает критическую важность при использовании в предоставляемых поставщиком ИТ-услугах персональных данных, а также хранении и обработке информации ограниченного доступа.
В соответствии с приведённым перечнем факторов, влияющих на выбор поставщика ИТ-услуг, в частности облачного провайдера, для организации ООО «Эрендай Груп» будет составлен перечень вопросов, возможных вариантов ответа и регулирующих договоров и стандартов для осуществления выбора поставщика ИТ-услуг, который будет соответствовать бизнес-целям организации и требованиям к обеспечению защиты информации при передаче ИТ-услуг на аутсорсинг.
ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ
3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»
Опираясь на классификацию, приведённую во 2-ой главе настоящего исследования, по категории доступа информация, используемая в бизнес-процессах компании и при реализации заказов, относится к информации ограниченного доступа, а именно к категориям персональных данных и коммерческой тайны. Ниже приведена таблица 1 с перечнем информации, необходимой к защите.
Таблица 1. Объекты информационной защиты в ООО «Эрендай Груп»
Категории документов / информации |
Информация ограниченного доступа |
|
Персональные данные |
Коммерческая тайна |
|
Договора с клиентами |
Сведения о представителях заказчика и компании ООО «Эрендай Груп» |
Описание работ и порядка их выполнения, стоимость работ |
Договора с подрядчиками |
Сведения о представителях компании ООО «Эрендай Груп» и подрядчика |
Описание работ и порядка их выполнения, стоимость работ |
Бриф клиента |
- |
Заказ на предоставление каких-либо услуг, KPI |
Коммерческое предложение клиенту |
- |
Идеи реализации задач клиента, методы и способы реализации задач, стоимость и сроки реализации работ |
Разработанное ИТ-решение |
Сведения о пользователях сайта/WEB-приложения, хранящиеся и обрабатываемые в базе данных |
Код разрабатываемого ИТ-решения как инновация |
По форме существования информационных объектов защиты используется несколько форматов – подробный перечень объектов защиты и формы их размещения / места расположения приведены в таблице 2 ниже.
Таблица 2. Форма и места расположения информационных объектов защиты
Бумажный носитель |
Электронный вид |
Электронная почта |
Др. ср-ва связи |
Плёнка |
Устный формат |
||
FTP-сервер |
Облачные ресурсы |
||||||
ПДн сотрудников ООО «Эрендай Груп» |
● |
● |
● |
● |
● |
● |
|
ПДн заказчика |
● |
● |
● |
● |
● |
● |
|
ПДн пользователей |
● |
● |
|||||
Договора с клиентами |
● |
● |
● |
● |
|||
Договора с подрядчиками |
● |
● |
● |
● |
|||
Информация о стоимости работ |
● |
● |
● |
● |
● |
● |
|
Бриф клиента |
● |
● |
● |
||||
Идеи реализации |
● |
● |
● |
||||
Методы и способы реализации |
● |
● |
● |
Угрозы и уязвимости информационной безопасности в ООО «Эрендай Груп» при аутсорсинге ИТ-услуг. В качестве угроз и уязвимостей информационной безопасности в компании ООО «Эрендай Груп» будут рассмотрены только те, что относятся к аутсорсингу ИТ-услуг. В таблице представлено несколько детализированных угроз в соответствии с классификацией, приведённой во 2-ой главе настоящего исследования, а также уязвимости, присутствующие в настоящий момент в организации и способные повлечь за собой реализацию угроз ИБ. В таблице 3 отражены уязвимости и угрозы, относящиеся к использованию облачных сервисов и ресурсов.
Таблица 3. Угрозы и уязвимости в ООО «Эрендай Груп» при использовании облачных сервисов
Угрозы специальных воздействий |
Угрозы физического НСД |
Угрозы программного НСД |
Угрозы утечки информации |
Угрозы социальной инженерии |
Угрозы несоответствия законодательству |
|
Уязвимости в системе безопасности облачных сервисов |
Сетевые атаки; сбои и отказы; нарушение доступности |
Повреждения ограждающих конструкций; нарушение доступности |
Нарушение доступности |
Сетевые атаки; общедоступность облачной инфраструктуры; потеря доверия к поставщику |
Злоупотребления доверием потребителей облачных услуг |
Нарушение доступности; несогласованность политик безопасности элементов облачной инфраструктуры |
Некомпетентность сотрудников |
Кража/потеря устройств |
Кража/потеря устройств |
Злоупотребления возможностями, предоставленными потребителям облачных услуг |
Атаки на социальную инженерию |
||
Уязвимость организации каналов обмена информацией |
Сетевые атаки |
Потеря управления облачными ресурсами |
||||
Ошибки управления сложными системами |
Общедоступность облачной инфраструктуры |
Неправильное GUI/API управление; потеря управления |
Общедоступность облачной инфраструктуры |
|||
Ошибки использования ПО |
Сетевые атаки; приостановка оказания облачных услуг; перегрузка систем |
Незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; «отказ в обслуживании» |
||||
Отсутствие регламента выбора поставщика и SLA |
Потеря доверия к поставщику; приостановка оказания облачных услуг |
Потеря доверия к поставщику |
Потеря доверия к поставщику |
Потеря доверия к поставщику |
Недобросовестное исполнение обязательств поставщиками |
Нарушение ФЗ №152 О персональных данных; блокировка облачного провайдера; административные и юридические проблемы |
Как видно из представленной таблицы, основными уязвимостями является отсутствие регламентированных процессов по использованию облачных систем и ресурсов в компании ООО «Эрендай Груп». Соответственно, сотрудники организации в силу человеческого фактора и по незнанию могут допускать ошибки при выборе облачных систем и ресурсов, использовании данных систем, обмене информацией внутри облачных ресурсов, предоставлении доступов сторонним лицам и во время прочих процессов, сопровождающих различные стадии проектной деятельности.
В данном случае необходимо отметить несколько основных векторов направления работ внутри организации:
- Составление и внедрение в компанию ООО «Эрендай Груп» на верхнем уровне следующих регламентов: выбора поставщика ИТ-услуг, использования облачных систем и ресурсов, управления доступами в облачных системах и ресурсах, пользования информацией с указанием порядка размещения критически важной информации в облачных ресурсах, обмена информацией между соответствующими лицами с помощью различных средств связи и систем;
- Проведение работ с сотрудниками организации ООО «Эрендай Груп» по ознакомлению с вопросами обеспечения информационной безопасности предприятия, а также с составленными регламентами;
- Внедрение планов по регулярному ознакомлению новых сотрудников с действующими регламентами и напоминанию всем действующим сотрудникам о принятых в организации правилах;
- Разработка и внедрение плана по регулярному мониторингу в организации ООО «Эрендай Груп» сотрудниками действующих правил;
- Составление и внедрение в работу с поставщиками ИТ-услуг соглашения об уровне и качестве предоставляемых услуг.
Реализация данного перечня работ позволит сократить количество уязвимостей в компании ООО «Эрендай Груп» или заменить на менее серьёзные по степени возможности реализации или последствиям уязвимости. Также предпринятые меры позволят сократить вероятность наступления таких рисковых событий, как:
- Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг;
- Сетевые атаки;
- Атаки на социальную инженерию;
- Неправильное GUI и / или API управление;
- Кража и / или потеря устройств;
- Физические опасности;
- Перегрузка систем;
- Неоценённые затраты на работу с поставщиками ИТ-услуг;
- Блокировка поставщика в результате его несоответствия требованиям законодательства;
- Административные и / или юридические проблемы;
- Несоблюдение национального и иностранного законодательства.
В данной работе будут даны рекомендации по составлению регламента выбора поставщика ИТ-услуг с перечнем характеристик, на которые следует обращать внимание, и вопросов к поставщику ИТ-услуг. Также будут даны рекомендации по разработке регламентов использования облачных систем и ресурсов и управления доступом к ресурсам и информации. Одной из ключевых задач данной дипломной работы является составление рекомендаций по составлению и внедрению SLA в практику для организации.
Облачные ИС, используемые в компании ООО «Эрендай Груп». В настоящий момент в компании ООО «Эрендай Груп» при работе над заказами клиентов используются следующие облачные информационные системы:
- Google Диск как инструмент хранения проектной информации, включая брифы, договора, проектную документацию и отчётность, и предоставления соответствующих уровней доступа заинтересованным сторонам: представителям заказчика, проектной команде и подрядчикам, задействованным на проектах. Таким образом, в Google Диск попадает вся информация из категории коммерческой тайны.
- Trello как инструмент управления проектами: в данной системе хранится информация, необходимая исполнителям (как внутренним сотрудникам компании ООО «Эрендай Груп», так и внешним подрядчикам) для реализации работ по проекту. Организация использует бесплатную версию инструмента с ограниченными возможностями по настройке и управлению уровнями доступа. Пользователь, получивший доступ к проектной доске, имеет возможность неограниченной работы с размещаемыми файлами, просмотра и обработки проектных задач, комментирования и т.д. Однако, только пользователь с уровнем доступа «Администратор доски» имеет возможность приглашать к доске других пользователей.
- GitHub как инструмент ведения и реализации разработки WEB-сайтов. GitHub используется на этапе разработки сайтов и приложений для клиента в качестве места хранения исходного кода (в репозиториях) и ведения технической проектной документации (API, описание методов и пр.). К репозиториям предоставляется доступ на уровне администратора корпоративного аккаунта – таким образом, доступ к репозиторию может быть выдан как внутренним сотрудникам для реализации разработки, так и внешним подрядчикам, которые на том или ином проекте могут осуществлять разработку решения.
В компании ООО «Эрендай Груп» не проведён анализ поставщиков ИТ-услуг на предмет соответствия международным и российским регламентам и стандартам информационной безопасности, не разработаны рабочие инструкции по осуществлению работы в данных системах, в том числе о возможности и необходимости предоставления доступов тем или иным лицам и на каких условиях, а также не существует соглашения о уровне и качестве предоставления ИТ-услуг со стороны провайдеров облачных систем.