Файл: Назначение и структура системы защиты информации коммерческого предприятия (НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ).pdf
Добавлен: 26.05.2023
Просмотров: 122
Скачиваний: 2
СОДЕРЖАНИЕ
1.1. Нормативно-правовая база обеспечения информационной безопасности на предприятии.
1.2 Методические основы обеспечения информационной безопасности на предприятии.
2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA.
ГЛАВА 3. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ
3.1 Классификация объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Технические документы с описанием интерфейсов и практикуемых методов защиты.
Мониторинг и логирование. Компания-заказчик должны иметь возможность контролировать производительность и безопасность предоставляемой системы / службы, получать оповещения, периодические отчёты и иметь доступ к информационным панелям. Компания-заказчик также должна иметь возможность анализировать проблемы, информация о которых логируется в журналах транзакций или автоматически выводится в интерфейсах, а также предоставляется по запросу, например, в случае инцидента.
Вопрос, на который необходимо получить ответ: «Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент?». Возможные варианты ответа:
- Панель мониторинга с доступом к мониторингу производительность системы;
- Журналы транзакций и журналы производительности;
- Предупреждения / оповещения и триггеры для уведомления.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Соответствующий пункт в SLA о наличии журналов транзакций.
Взаимодействие и портативность. Взаимодействие с другими системами делает возможным и облегчает для компании-заказчика интеграцию с другими существующими решениями и переносимостью. Это имеет важное значение при переходе заказчика от одного провайдера к другому. Заказчику необходимо знать, какие стандарты используются для данных и интерфейсов (а также, при необходимости, для аппаратных средств и устройств), а также поддерживаются ли стандартные форматы при экспорте и резервном копировании данных заказчика.
Вопрос, на который необходимо получить ответ: «Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами?». Возможные варианты ответа:
- Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Соответствующие положения в контракте или SLA;
- Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам.
Масштабирование, калибровка и затраты. Облачные сервисы часто обеспечивают эластичность с точки зрения использования ресурсов на основе модели оплаты с оплатой по мере необходимости. Компания-заказчик должна знать, как обрабатываются пиковое использование ресурсов облачного провайдера и / или увеличенное использование, а также каким образом происходит обработка дополнительных затрат.
Вопрос, на который необходимо получить ответ: «Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты?». Возможные варианты ответа:
- Примеры сценариев эластичности, калькуляции затрат и т.д.;
- Уведомления о расходах и ограничения выставления счетов.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Соответствующие положения в контракте или SLA;
- Отчёт о производительности.
Соблюдение национального / международного законодательства. Облачные сервисы изменили способ предоставления ИТ-ресурсов, в связи с чем могут возникать проблемы соблюдения национального законодательства. В облачных вычислениях заказчики иногда работают с провайдерами и / или центрами обработки данных, расположенными за пределами государства, что вызывает необходимость принимать во внимание законодательство другого государства. Компания-заказчик должна знать, юрисдикция какой страны и в каких случаях должна учитываться и какое законодательство применяется к их облачному сервису. Особенно необходимо принимать во внимание законодательство о защите персональных данных.
Вопрос, на который необходимо получить ответ: «Какое национальное законодательство применяется?». Возможные варианты ответа:
- Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений;
- Соответствующая иностранная юрисдикция и применимое иностранное законодательство;
- Расположение центров обработки данных;
- Применимое законодательство о защите персональных данных.
Документы и гарантии, в которых может и должна быть отражена данная информация:
- Ссылки на соответствующие законодательства.
В приложении № 1 приведена таблица, составленная с целью демонстрации соответствия между темами опросника для поставщика ИТ-услуг и рисками, которые регулируются данной темой в зависимости от ответов провайдера.
Соглашение об уровне обслуживания. Как видно из приведённых выше данных, многие пункты с целью обеспечения безопасности данных и процессов в облачных сервисах фиксируются в контрактах и / или соглашении об уровне и качестве услуг (SLA). Согласно методологии ITIL, в компании должен быть внедрён и налажен процесс управления уровнем сервиса (SLM – Service Level Management), основной целью которого является обеспечение гарантии согласованного с заказчиком уровня обслуживания. Данный процесс выстраивается на основании соглашения об уровне услуг, в рамках которого фиксируются перечень предоставляемых поставщиком ИТ-услуг и их описание, KPI (целевые показатели) предоставляемого обслуживания, распределяются зоны ответственности между провайдером ИТ-услуг и компанией-заказчиком.
В данном разделе приводится описание пунктов составления грамотного SLA, следуя которым компания-заказчик сможет осуществлять качественное управление процессом предоставления ИТ-услуг и облачных сервисов.
Ниже приводится шаблон составления SLA:
- Содержание;
- Технические особенности;
- Географические особенности, охват;
- Аспекты безопасности (наличие сертификаций, соответствие российским стандартам, пр.);
- Срок действия Соглашения;
- Обязательства по качеству обслуживания.
Процесс составления SLA состоит из следующих основных шагов:
- Определить перечень предоставляемых ИТ-услуг облачным сервисом;
- Определить состав ключевых показателей предоставления ИТ-услуг, на основании которых можно измерять определённый уровень предоставляемого сервиса и которые включают пороговые значения – минимальное и целевое;
- Определить ключевые показатели, влияющие на гарантии предоставления ИТ-услуг;
- Описать принципы работы службы технической поддержки;
- Определить формат мониторинга выполнения условий SLA;
- Описать процессы определения компенсации и выплаты соответствующей стороне.
Список предоставляемых ИТ-услуг облачным сервисом формируется и варьируется в зависимости от конкретного выбранного сервиса.
В состав ключевых показателей и требований предоставления ИТ-услуг и показателей, влияющих на гарантии предоставления услуг, в обязательном порядке следует включать:
- Время предоставления услуги. Для всех облачных сервисов стандартным целевым показателем является круглосуточное предоставление услуг в формате 24х7.
- Время работы службы технической поддержки и взаимодействия с ней. Как и в случае с показателем выше, на рынке установилась практика предоставления поддержки в формате 24х7 для обеспечения оперативного реагирования на любые запросы и инциденты.
- Обработка и реагирование на обращения компании-заказчика. В данном показателе необходимо классифицировать виды обращений в зависимости от предоставляемых услуг, после чего в соответствии с ними определить максимальное время осуществления реагирования на обращение и максимальное время решения проблемы. Особое внимание стоит уделить обращениям типа инцидент, опираясь на тяжкость возможного инцидента и последствия после его наступления для компании-заказчика.
- Уровень доступности. Необходимо определить допустимое время простоя предоставления услуги в месяц и, соответственно, в год. Важно учитывать, что данный показатель влияет на непрерывность предоставления сервиса и функционирование бизнес-процессов компании-заказчика. Целевым показателем, к которому необходимо стремиться, для данного случая будет являться цифра в 100%, то есть непрерывное предоставление ИТ-услуг.
- Уровень мощности / производительности облачного сервиса. Здесь необходимо определить сервисные мощности и количество предоставляемых и задействованных ресурсов под требуемые услуги компании-заказчика, способы измерения показателей производительности и периодичность проведения данных измерений, а также определить вопросы предоставления панели мониторинга производительности сервиса.
- Уровень непрерывности предоставления ИТ-услуг. Процессы обработки данных заказчика должны быть непрерывными, поэтому в данном разделе также определяются вопросы, связанные с резервным копированием данных в случае наступления стихийных бедствий и / или простоев сервиса, связанные с обеспечением портативности и совместимости с другими сервисами, связанные с юридическими вопросами и административными спорами.
- Уровень безопасности предоставления ИТ-услуг. Описывается подход провайдера к управлению рисками безопасности; определяются ключевые задачи безопасности в зоне ответственности как поставщика ИТ-услуг, так и компании-заказчика.
- Использование задействованных ресурсов и соответствующие затраты. В данном разделе необходимо описать процессы увеличения или уменьшения использования ресурсов облачного провайдера, определить пиковые значения и обработку этих значений со стороны провайдера, а также определить процессы оплаты соответствующих значений и стоимость.
Выполнение условий соглашения об уровне предоставления услуг облачным провайдером необходимо контролировать и отслеживать со стороны компании-заказчика. Формат мониторинга также определяется в описанном соглашении. Есть два основных варианта осуществления данного мониторинга:
- Предоставление отчётности поставщиком услуг. В данном случае необходимо определить перечень отчётов, которые должен предоставлять провайдер облачного сервиса, в соответствии с определённым списком услуг и зафиксированными в SLA показателями, а также периодичность предоставления данных отчётов. На первоначальном этапе выстраивания работы с новым поставщиком облачного сервиса рекомендуется осуществлять мониторинг за качеством услуг как можно чаще: не реже одного раза в неделю. При сформировавшихся доверительных отношениях между поставщиком и компанией периодичность предоставления отчётов можно сократить до одного раза в месяц.
- Самостоятельный мониторинг заказчиком. При выборе данного варианта необходимо определить технические способы и интерфейсы осуществления мониторинга за качеством предоставляемых услуг. Это могут быть как интерфейсы, предоставляемые и настраиваемые для компании-заказчика самим провайдером, так и сторонние решения, подключаемые к используемому сервису, но в данном случае необходимо обращать внимание на совместимость и возможность интеграции одной системы с другой.
Второй вариант осуществления мониторинга является более надёжным и предпочтительным, так как позволяет в режиме реального времени отслеживать ключевые показатели, определённые и зафиксированные в SLA, и является прозрачным для заказчика способом контроля.
В большинстве случаев SLA является неотъемлемой частью договора или контракта между поставщиком облачных ресурсов и компанией-заказчиком. Таким образом, данное соглашение предлагается самим провайдером и зачастую принимается заказчиком как часть договора. Однако, компания-заказчик вправе менять условия, прописанные в SLA, на более приемлемые для неё и согласовывать их с провайдером, а также детальнее описывать требуемые ключевые показатели для каждой услуги в случае наличия такой необходимости.
Компании ООО «Эрендай груп» при выборе поставщика ИТ-услуг также следует обращать внимание на такой показатель, как инициирование заключения соглашения об уровне и качестве предоставляемых ИТ-услуг со стороны поставщика, инициирование составления данного документа со своей стороны или полный отказ ввиду тех или иных причин провайдером заключать данный договор.
ЗАКЛЮЧЕНИЕ
В результате проделанной работы получены следующие результаты и выводы:
- Проведён анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии по международным и российским стандартам. Ключевым выводом является тот факт, что в Российской Федерации проводятся работы по адаптации международных стандартов в данной сфере, однако до сих пор не существует стандарта по обеспечению информационной безопасности облачных провайдеров.
- Проведён анализ существующих методологий и передовых практик по обеспечению информационной безопасности на предприятии. Международные исследования направлены на вопросы выбора поставщика облачных ресурсов при передаче ИТ-услуг на аутсорсинг и составления с ним Соглашения об уровне обслуживания, в то время как российские исследования ориентируются в основном на проблемы обеспечения информационной безопасности облачных ресурсов. Сделан вывод о том, что это связано в первую очередь с отсутствием стандарта по обеспечению ИБ облачных провайдеров в российской реальности, в связи с чем данный вопрос имеет больший приоритет.
- Для компании ООО «Эрендай Груп» определена проблема обеспечения информационной безопасности на предприятии. Наличие большого количества угроз и уязвимостей в компании при передаче ИТ-услуг на аутсорсинг связан в первую очередь с отсутствием регламентов и подходов к выбору поставщиков ИТ-услуг (облачных провайдеров) и составлению Соглашения об уровне обслуживания с ними с определёнными метриками и параметрами.
- Разработаны методы и подходы к выбору поставщика ИТ-услуг и составлению Соглашения об уровне обслуживания.
- Проведена классификация объектов защиты, угроз и уязвимостей, составлен перечень используемых в компании облачных систем и ресурсов.
- Разработаны опросник для выбора поставщика ИТ-услуг с возможными вариантами ответа и перечнем документов и гарантий, подтверждающих соответствие тем или иным требованиям, и типовой шаблон Соглашения об уровне обслуживания с определённым перечнем метрик, соответствие которым необходимо обеспечить на уровне существующих российский стандартов и законодательства Российской Федерации.
По результатам проделанной работы можно сделать вывод о том, что цель данной работы достигнута, а именно – разработаны основополагающие методы и способы обеспечения информационной безопасности на предприятии с учётом действующего законодательства Российской Федерации и российских реалий. Таким образом, результаты данной работы могут быть экстраполированы на любую российскую организацию в связи с универсальностью предложенных подходов.