Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.05.2023

Просмотров: 122

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.

1.2 Методические основы обеспечения информационной безопасности на предприятии.

ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ ИТ-УСЛУГ В КОМПАНИИ ООО «ЭРЕНДАЙ ГРУП»

2.1. Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «Эрендай Груп».

2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.

ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ

3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»

3.2 Регламент выбора поставщика ИТ-услуг и разработка SLA.

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Технические документы с описанием интерфейсов и практикуемых методов защиты.

Мониторинг и логирование. Компания-заказчик должны иметь возможность контролировать производительность и безопасность предоставляемой системы / службы, получать оповещения, периодические отчёты и иметь доступ к информационным панелям. Компания-заказчик также должна иметь возможность анализировать проблемы, информация о которых логируется в журналах транзакций или автоматически выводится в интерфейсах, а также предоставляется по запросу, например, в случае инцидента.

Вопрос, на который необходимо получить ответ: «Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент?». Возможные варианты ответа:

  • Панель мониторинга с доступом к мониторингу производительность системы;
  • Журналы транзакций и журналы производительности;
  • Предупреждения / оповещения и триггеры для уведомления.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Соответствующий пункт в SLA о наличии журналов транзакций.

Взаимодействие и портативность. Взаимодействие с другими системами делает возможным и облегчает для компании-заказчика интеграцию с другими существующими решениями и переносимостью. Это имеет важное значение при переходе заказчика от одного провайдера к другому. Заказчику необходимо знать, какие стандарты используются для данных и интерфейсов (а также, при необходимости, для аппаратных средств и устройств), а также поддерживаются ли стандартные форматы при экспорте и резервном копировании данных заказчика.

Вопрос, на который необходимо получить ответ: «Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами?». Возможные варианты ответа:

  • Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Соответствующие положения в контракте или SLA;
  • Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам.

Масштабирование, калибровка и затраты. Облачные сервисы часто обеспечивают эластичность с точки зрения использования ресурсов на основе модели оплаты с оплатой по мере необходимости. Компания-заказчик должна знать, как обрабатываются пиковое использование ресурсов облачного провайдера и / или увеличенное использование, а также каким образом происходит обработка дополнительных затрат.


Вопрос, на который необходимо получить ответ: «Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты?». Возможные варианты ответа:

  • Примеры сценариев эластичности, калькуляции затрат и т.д.;
  • Уведомления о расходах и ограничения выставления счетов.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Соответствующие положения в контракте или SLA;
  • Отчёт о производительности.

Соблюдение национального / международного законодательства. Облачные сервисы изменили способ предоставления ИТ-ресурсов, в связи с чем могут возникать проблемы соблюдения национального законодательства. В облачных вычислениях заказчики иногда работают с провайдерами и / или центрами обработки данных, расположенными за пределами государства, что вызывает необходимость принимать во внимание законодательство другого государства. Компания-заказчик должна знать, юрисдикция какой страны и в каких случаях должна учитываться и какое законодательство применяется к их облачному сервису. Особенно необходимо принимать во внимание законодательство о защите персональных данных.

Вопрос, на который необходимо получить ответ: «Какое национальное законодательство применяется?». Возможные варианты ответа:

  • Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений;
  • Соответствующая иностранная юрисдикция и применимое иностранное законодательство;
  • Расположение центров обработки данных;
  • Применимое законодательство о защите персональных данных.

Документы и гарантии, в которых может и должна быть отражена данная информация:

  • Ссылки на соответствующие законодательства.

В приложении № 1 приведена таблица, составленная с целью демонстрации соответствия между темами опросника для поставщика ИТ-услуг и рисками, которые регулируются данной темой в зависимости от ответов провайдера.

Соглашение об уровне обслуживания. Как видно из приведённых выше данных, многие пункты с целью обеспечения безопасности данных и процессов в облачных сервисах фиксируются в контрактах и / или соглашении об уровне и качестве услуг (SLA). Согласно методологии ITIL, в компании должен быть внедрён и налажен процесс управления уровнем сервиса (SLM – Service Level Management), основной целью которого является обеспечение гарантии согласованного с заказчиком уровня обслуживания. Данный процесс выстраивается на основании соглашения об уровне услуг, в рамках которого фиксируются перечень предоставляемых поставщиком ИТ-услуг и их описание, KPI (целевые показатели) предоставляемого обслуживания, распределяются зоны ответственности между провайдером ИТ-услуг и компанией-заказчиком.


В данном разделе приводится описание пунктов составления грамотного SLA, следуя которым компания-заказчик сможет осуществлять качественное управление процессом предоставления ИТ-услуг и облачных сервисов.

Ниже приводится шаблон составления SLA:

  • Содержание;
  • Технические особенности;
  • Географические особенности, охват;
  • Аспекты безопасности (наличие сертификаций, соответствие российским стандартам, пр.);
  • Срок действия Соглашения;
  • Обязательства по качеству обслуживания.

Процесс составления SLA состоит из следующих основных шагов:

  • Определить перечень предоставляемых ИТ-услуг облачным сервисом;
  • Определить состав ключевых показателей предоставления ИТ-услуг, на основании которых можно измерять определённый уровень предоставляемого сервиса и которые включают пороговые значения – минимальное и целевое;
  • Определить ключевые показатели, влияющие на гарантии предоставления ИТ-услуг;
  • Описать принципы работы службы технической поддержки;
  • Определить формат мониторинга выполнения условий SLA;
  • Описать процессы определения компенсации и выплаты соответствующей стороне.

Список предоставляемых ИТ-услуг облачным сервисом формируется и варьируется в зависимости от конкретного выбранного сервиса.

В состав ключевых показателей и требований предоставления ИТ-услуг и показателей, влияющих на гарантии предоставления услуг, в обязательном порядке следует включать:

  • Время предоставления услуги. Для всех облачных сервисов стандартным целевым показателем является круглосуточное предоставление услуг в формате 24х7.
  • Время работы службы технической поддержки и взаимодействия с ней. Как и в случае с показателем выше, на рынке установилась практика предоставления поддержки в формате 24х7 для обеспечения оперативного реагирования на любые запросы и инциденты.
  • Обработка и реагирование на обращения компании-заказчика. В данном показателе необходимо классифицировать виды обращений в зависимости от предоставляемых услуг, после чего в соответствии с ними определить максимальное время осуществления реагирования на обращение и максимальное время решения проблемы. Особое внимание стоит уделить обращениям типа инцидент, опираясь на тяжкость возможного инцидента и последствия после его наступления для компании-заказчика.
  • Уровень доступности. Необходимо определить допустимое время простоя предоставления услуги в месяц и, соответственно, в год. Важно учитывать, что данный показатель влияет на непрерывность предоставления сервиса и функционирование бизнес-процессов компании-заказчика. Целевым показателем, к которому необходимо стремиться, для данного случая будет являться цифра в 100%, то есть непрерывное предоставление ИТ-услуг.
  • Уровень мощности / производительности облачного сервиса. Здесь необходимо определить сервисные мощности и количество предоставляемых и задействованных ресурсов под требуемые услуги компании-заказчика, способы измерения показателей производительности и периодичность проведения данных измерений, а также определить вопросы предоставления панели мониторинга производительности сервиса.
  • Уровень непрерывности предоставления ИТ-услуг. Процессы обработки данных заказчика должны быть непрерывными, поэтому в данном разделе также определяются вопросы, связанные с резервным копированием данных в случае наступления стихийных бедствий и / или простоев сервиса, связанные с обеспечением портативности и совместимости с другими сервисами, связанные с юридическими вопросами и административными спорами.
  • Уровень безопасности предоставления ИТ-услуг. Описывается подход провайдера к управлению рисками безопасности; определяются ключевые задачи безопасности в зоне ответственности как поставщика ИТ-услуг, так и компании-заказчика.
  • Использование задействованных ресурсов и соответствующие затраты. В данном разделе необходимо описать процессы увеличения или уменьшения использования ресурсов облачного провайдера, определить пиковые значения и обработку этих значений со стороны провайдера, а также определить процессы оплаты соответствующих значений и стоимость.

Выполнение условий соглашения об уровне предоставления услуг облачным провайдером необходимо контролировать и отслеживать со стороны компании-заказчика. Формат мониторинга также определяется в описанном соглашении. Есть два основных варианта осуществления данного мониторинга:

  1. Предоставление отчётности поставщиком услуг. В данном случае необходимо определить перечень отчётов, которые должен предоставлять провайдер облачного сервиса, в соответствии с определённым списком услуг и зафиксированными в SLA показателями, а также периодичность предоставления данных отчётов. На первоначальном этапе выстраивания работы с новым поставщиком облачного сервиса рекомендуется осуществлять мониторинг за качеством услуг как можно чаще: не реже одного раза в неделю. При сформировавшихся доверительных отношениях между поставщиком и компанией периодичность предоставления отчётов можно сократить до одного раза в месяц.
  2. Самостоятельный мониторинг заказчиком. При выборе данного варианта необходимо определить технические способы и интерфейсы осуществления мониторинга за качеством предоставляемых услуг. Это могут быть как интерфейсы, предоставляемые и настраиваемые для компании-заказчика самим провайдером, так и сторонние решения, подключаемые к используемому сервису, но в данном случае необходимо обращать внимание на совместимость и возможность интеграции одной системы с другой.

Второй вариант осуществления мониторинга является более надёжным и предпочтительным, так как позволяет в режиме реального времени отслеживать ключевые показатели, определённые и зафиксированные в SLA, и является прозрачным для заказчика способом контроля.

В большинстве случаев SLA является неотъемлемой частью договора или контракта между поставщиком облачных ресурсов и компанией-заказчиком. Таким образом, данное соглашение предлагается самим провайдером и зачастую принимается заказчиком как часть договора. Однако, компания-заказчик вправе менять условия, прописанные в SLA, на более приемлемые для неё и согласовывать их с провайдером, а также детальнее описывать требуемые ключевые показатели для каждой услуги в случае наличия такой необходимости.

Компании ООО «Эрендай груп» при выборе поставщика ИТ-услуг также следует обращать внимание на такой показатель, как инициирование заключения соглашения об уровне и качестве предоставляемых ИТ-услуг со стороны поставщика, инициирование составления данного документа со своей стороны или полный отказ ввиду тех или иных причин провайдером заключать данный договор.


ЗАКЛЮЧЕНИЕ

В результате проделанной работы получены следующие результаты и выводы:

  1. Проведён анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии по международным и российским стандартам. Ключевым выводом является тот факт, что в Российской Федерации проводятся работы по адаптации международных стандартов в данной сфере, однако до сих пор не существует стандарта по обеспечению информационной безопасности облачных провайдеров.
  2. Проведён анализ существующих методологий и передовых практик по обеспечению информационной безопасности на предприятии. Международные исследования направлены на вопросы выбора поставщика облачных ресурсов при передаче ИТ-услуг на аутсорсинг и составления с ним Соглашения об уровне обслуживания, в то время как российские исследования ориентируются в основном на проблемы обеспечения информационной безопасности облачных ресурсов. Сделан вывод о том, что это связано в первую очередь с отсутствием стандарта по обеспечению ИБ облачных провайдеров в российской реальности, в связи с чем данный вопрос имеет больший приоритет.
  3. Для компании ООО «Эрендай Груп» определена проблема обеспечения информационной безопасности на предприятии. Наличие большого количества угроз и уязвимостей в компании при передаче ИТ-услуг на аутсорсинг связан в первую очередь с отсутствием регламентов и подходов к выбору поставщиков ИТ-услуг (облачных провайдеров) и составлению Соглашения об уровне обслуживания с ними с определёнными метриками и параметрами.
  4. Разработаны методы и подходы к выбору поставщика ИТ-услуг и составлению Соглашения об уровне обслуживания.
  5. Проведена классификация объектов защиты, угроз и уязвимостей, составлен перечень используемых в компании облачных систем и ресурсов.
  6. Разработаны опросник для выбора поставщика ИТ-услуг с возможными вариантами ответа и перечнем документов и гарантий, подтверждающих соответствие тем или иным требованиям, и типовой шаблон Соглашения об уровне обслуживания с определённым перечнем метрик, соответствие которым необходимо обеспечить на уровне существующих российский стандартов и законодательства Российской Федерации.

По результатам проделанной работы можно сделать вывод о том, что цель данной работы достигнута, а именно – разработаны основополагающие методы и способы обеспечения информационной безопасности на предприятии с учётом действующего законодательства Российской Федерации и российских реалий. Таким образом, результаты данной работы могут быть экстраполированы на любую российскую организацию в связи с универсальностью предложенных подходов.