Содержание:

ВВЕДЕНИЕ

В современных рыночных условиях организации активно используют информационные технологии как инструмент, позволяющий достичь конкурентного преимущества за счёт автоматизации множества бизнес-процессов, сокращения финансовых и временных издержек и оперативного получения из различных источников и распространения информации, на основе которой принимаются решения. Тем не менее, процессы интеграции ИТ на предприятие и обеспечения их технической поддержки могут быть дорогостоящими для компании в связи с тем, что требуют развития инфраструктуры, найма и содержания высококвалифицированного персонала, внедрения специализированного ПО, разработки соответствующих регламентов и инструкций.

Методологической основой данного исследования служат следующие разработанные документы:

• Стандарт ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services» [2];
• Стандарт ISO/IEC 27018:2014 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors» [3];
• Стандарт ISO/IEC 27036-1 «Information security for supplier relationships - Part 1: Overview and concepts» [4];
• Стандарт ISO/IEC 27036-2 «Information security for supplier relationships - Part 2: Requirements» [5];
• Стандарт ISO/IEC 27036-3 «Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security» [6];
• Стандарт ISO/IEC 27036-4 «Information security for supplier relationships - Part 4: Guidelines for security of cloud services» [7];
• ITIL (Information Technology Infrastructure Library) Version 3 [8].

Также в качестве источников данных будут использоваться литература, статьи и исследования из библиотеки конгресса США и ENISA (European Union Agency for Network and Information Security).

В представленных выше стандартах описаны методологии, механизмы, меры и способы обеспечения информационной безопасности на предприятии, в том числе при взаимодействии с поставщиками ИТ-услуг.

Объектом исследования является система менеджмента информационной безопасности (далее – СМИБ) организации ООО «RCG», практикующей частичную передачу ИТ-услуг поставщикам.

Предметом исследования являются используемые документы, регламенты и информационные системы организации ООО «RCG», используемые при осуществлении аутсорса ИТ-услуг.

Основная цель данного исследования заключается в разработке методов и способов обеспечения информационной безопасности в организации, частично или полностью передающей ИТ-услуги поставщикам, в российских реалиях с учётом существующих международных стандартов и регламентов в сфере обеспечения информационной безопасности предприятия и законодательства Российской Федерации.

В рамках данной работы составлен список задач, реализация которых способствует достижению поставленной цели:

1. Анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии;
2. Анализ существующих методологий обеспечения информационной безопасности на предприятии;
3. Определение проблемы обеспечения информационной безопасности в компании ООО «RCG» при передаче ИТ-услуг на аутсорсинг;
4. Разработка методологий выбора поставщика ИТ-услуг и составления Соглашения об уровне обслуживания;
5. Проведение классификации объектов защиты, угроз и уязвимостей в компании ООО «RCG»;
6. Разработка правил выбора поставщика ИТ-услуг и Соглашения об уровне обслуживания.

ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ВНУТРЕННЕЙ СЕТИ И СОТРУДНИКОВ КОМПАНИИ ОТ АТАК

Нормативно-правовая база обеспечения информационной безопасности на предприятии

Согласно исследованию компании RightScale [1], проведённому в январе 2018 г. и задействовавшему 997 технических специалистов, в настоящее время 96% опрошенных респондентов используют облачные технологии на предприятии: в 2017 году данный показатель составлял 89%. Таким образом, наглядно видно, что использование облачных сервисов в международной практике только растёт. 81% респондентов используют мульти-облачную стратегию на предприятии. При этом по сравнению с 2017 годом процент компаний, использующих одновременно публичные и частные облачные сервисы, снизился с 58% до 51% в 2018 году. Сейчас предпочтение отдаётся использованию нескольких публичных облачных сервисов, либо нескольких частных. В среднем организации используют почти 5 облачных решений. Наглядно статистические данные приведены на рис. 1 и рис. 2.

Рисунок 1. Стратегия использования облаков в организациях (>1000 сотрудников)

Рисунок 2. Стратегия использования облаков в СМБ (<1000 сотрудников)

Также необходимо отметить, что затраты на использование облачных ресурсов значительно и быстро растут:

• 26% предприятий тратят более 6 миллионов долларов в год на использование облачных решений;
• 52% тратят более 1,2 миллионов долларов в год;
• 20% компаний планируют в 2018 году увеличить свои расходы на облачные ресурсы более, чем в 2 раза;
• 71% компаний планирует в 2018 году увеличить расходы на облачные ресурсы больше, чем на 20%;
• Малый и средний бизнес имеет меньшие расходы на облачные решения – около 50% компаний тратят меньше 10 000 долларов в год, но 17% планируют удвоить свои расходы на данный вид услуг в 2018 году, а увеличить затраты на 20% планируют 62% компаний малого и среднего бизнеса.

Однако, необходимо учитывать, что в таком случае организация-поставщик ИТ-услуг получает и обрабатывает всю информацию, в том числе конфиденциальную, о компании-заказчике: данные сотрудников, документы, договора, информацию о клиентах и поставщиках и т.д. В связи с этим остро встаёт вопрос обеспечения информационной безопасности, то есть защиты от угроз утечки данных, нарушения целостности и сохранности информации и использования конфиденциальных данных в корыстных целях. Данная проблема носит серьёзный характер, так как утечка данных может негативно повлиять на деятельность организации, в том числе может вызвать падение репутации компании в глазах клиентов и потребителей, снижение прибыли, потерю постоянных клиентов и, как следствие, прекращение деятельности.

Опираясь на исследование RightScale, главными облачными проблемами 2018 года являются обеспечение безопасности и управление расходами:

• 77% респондентов отмечают безопасность как проблему при использовании облачных сервисов, из них 29% считают это серьёзной проблемой;
• Управление облачными затратами – проблема для 76% респондентов, при этом 21% считают это серьёзной проблемой;
• Безопасность – самая большая проблема для компаний-новичков в использовании облачных решений, в то время как управление стоимостью – основная задача уже более продвинутых организаций.

На рис. 3 представлены отмеченные респондентами проблемы и их значимость в процентном соотношении.

Рисунок 3. Облачные проблемы

Исходя из вышеперечисленных данных, можно сделать вывод, что существует явная необходимость в обеспечении защиты информационной среды на предприятии при частичной или полной передаче ИТ-услуг на аутсорс

В международной практике существуют разработанные документы, регламенты и своды правил по обеспечению информационной безопасности на государственном, корпоративном и персональном уровне. Показателем качества предоставляемых поставщиком ИТ-услуг является соответствие поставщика принятым стандартам и нормам. В российской практике на данном этапе нет широкого распространения данных норм и всеобщего понимания необходимости внедрения ведущих практик в деятельность организаций, однако на основании международных стандартов и регламентов разработаны несколько соответствующих правил, регламентов и норм по обеспечению ИБ на предприятии. Кроме того, на законодательном уровне классифицирована информация, подлежащая особой защите, и описаны меры по обеспечению защиты информации.

ITIL. Среди международных регламентов и стандартов в качестве основного источника информации была выбрана библиотека инфраструктуры информационных технологий (ITIL – the IT Infrastructure Library) как сборник публикаций об управлении ИТ-услугами на предприятии и взаимодействии с поставщиками ИТ-услуг и их пользователями. ITIL описывает процессы и услуги, предоставляемые компании, а также механизмы поддержки и оценки их качества. На базе ITIL можно выстраивать в организации систему качественного управления ИТ-услугами с учётом передовых современных практик и последних технологий. При изучении библиотеки ITIL v3 было выделено несколько важных аспектов, обозначенных при описании процессов предоставления ИТ-услуг, которые имеют значимость для данной работы и приведены ниже:

• Описание типов поставщиков услуг;
• Управление уровнем услуг (SLM – Service Level Management);
• Управление информационной безопасностью.

Для выстраивания отношений между организацией и поставщиком ИТ-услуг и обеспечения безопасности информационной среды компании необходимо понимать, с каким типом поставщиков ИТ-услуг она планирует взаимодействовать и/или уже взаимодействует. В ITIL v3 выделено 3 типа поставщиков услуг, к которым относятся «Внутренний, или собственный, поставщик», «Общий поставщик» и «Внешний поставщик». Ключевой особенностью 1-го типа является то, что он относится к самой организации и является её частью, поэтому его деятельность не может быть измерена экономическими показателями эффективности, так как не подразумевает получение прибыли, но направлена на предоставление качественных ИТ-услуг определённым структурным единицам организации. 2-ой тип поставщиков ИТ-услуг характеризуется тем, что он агрегирует несколько неконкурентных в компании бизнес-функций в одну сервисную единицу, при этом являясь также частью организации. Этот тип находится на стыке между первым и третьим типами. К последнему типу поставщиков относятся классические в нашем понимании внешние поставщики ИТ-услуг, характеризующиеся гибкостью, масштабируемостью, а также свободой в принятии решений и действиях.

Также ITIL v3 содержит описание важного с точки зрения контроля предоставляемых услуг и обеспечения необходимого уровня информационной безопасности процесса – управление уровнем услуг. При предоставлении какой-либо услуги необходимо определить целевые показатели её уровня, ключевые метрики, на основании которых можно делать выводы об эффективности и качестве работы поставщика. Выбранные, сформулированные и определённые целевые показатели закрепляются в соответствующих документах и соглашениях между поставщиком ИТ-услуг и заказчиком. Основным таким соглашением является соглашение об уровне услуг (SLA – Service Level Agreement). Таким образом, управление уровнем услуг сводится к процессам определения взаимодействия между поставщиком и заказчиком, целевых показателей уровня услуг, составления документов и соглашений, регулярного мониторинга и контроля процессов предоставления ИТ-услуг и обеспечения своевременной отчётности.

Управление информационной безопасностью – это набор механизмов, процессов и ключевых показателей эффективности, на основании которого выстраивается эффективная система обеспечения информационной безопасности на предприятии. ITIL v3 описывает в рамках данного процесса цель обеспечения ИБ, ключевые элементы процесса (политики, структурные элементы, ключевые деятельности и предложения по метрикам эффективности выполнения данного процесса). Управление информационной безопасностью и управление уровнем услуг тесно связаны между собой и документы, используемые в каждом случае, должны коррелировать между собой и соответствовать бизнес-целям организации.

Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ [9]. В настоящем документе приводятся перечень терминов и определений об информации и информационных технологиях, принятых в Российской Федерации на законодательном уровне, принципы правового регулирования соответствующих отношений, классификация информации в зависимости от категории доступа и в зависимости от порядка её предоставления или распространения, права на доступ и использование той или иной информации, права и обязанности при распространении или предоставлении информации, а также права и обязанности при участии в информационных отношениях и использовании информационных технологий и систем государственных и муниципальных органов и прочее. Данный документ является основополагающим при предоставлении ИТ-услуг от поставщика предприятию и от предприятия клиенту при условии регистрации и нахождения компании на территории Российской Федерации. Для обеспечения безопасности предприятия необходимо соответствовать принятым на законодательном уровне нормам при работе с информационными технологиями, системами и при использовании информации ограниченного доступа и/или конфиденциального характера.

Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ [10]. Данным законом регулируются отношения, в рамках которых происходит получение, хранение и обработка персональных данных. К основным принципам обработки персональных данных относятся соответствие обработки и хранения персональных данных целям их сбора. При этом сбор, хранение и обработка персональных данных могут осуществляться только с согласия субъекта персональных данных. В данном ФЗ определены случаи, при которых допускается обработка персональных данных субъектов, а также определены конфиденциальность ПнД, процессы получения согласия субъекта ПнД на их обработку и связанные с персональными данными отношения между субъектом и оператором, а также права субъекта персональных данных. Компании, использующие в рамках своей деятельности те или иные ИТ-услуги, часто сталкиваются с процессами обработки и хранения персональных данных. Соблюдение федерального закона в этой части крайне важно и имеет высокий приоритет при работе с поставщиками ИТ-услуг.

Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" [11]. В данном документе определены сведения конфиденциального характера, среди которых для целей данной работы необходимо особенно выделить сведения, составляющие коммерческую тайну, и сведения о сущности и новизне изобретения (инновации), которые зачастую являются неотъемлемой частью деятельности организации.

Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [12]. Данная методика может применяться при построении эффективной системы управления информационной безопасностью, так как направлена на выявление угроз безопасности в информационных системах и определению их оценки. К источникам угроз в приведённой методике отнесены: антропогенные, техногенные и стихийные источники. Также приводится процесс проведения оценки вероятности реализации угроз безопасности информации и степени возможного ущерба. В разделе оценки возможностей нарушителей по реализации угроз безопасности информации приводится модель нарушителя: описываются возможные типы нарушителей, виды нарушителей и их возможная мотивация. Помимо модели нарушителя, в рамках данного документа описывается модель угроз безопасности информации, включающая возможные способы реализации угроз безопасности. Также описывается формула определения актуальности угроз безопасности, на основании которой можно определить актуальность конкретной угрозы непосредственно для определённой компании, виды ущерба и возможные негативные последствия.

Методические основы обеспечения информационной безопасности на предприятии

Проблематика обеспечения безопасности при передаче ИТ-услуг сторонней организации довольно подробно рассматривается в международных исследованиях крупных организаций, специализирующихся на теме обеспечения информационной безопасности государства и предприятий. В целях данной работы будут рассматриваться исследования по обеспечению информационной безопасности именно организаций.

Исследование «Critical Cloud Computing: CIIP Perspective on Cloud Computing» [24] автора Dr. M.A.C. Dekker затрагивает вопросы безопасности использования облачных ресурсов при работе с критически важной информационной инфрастуктурой: анализ основан на опросе публичных источников об использовании облачных вычислений и происходивших крупных кибер-атаках и сбоев в работе облачных ресурсов. В своём исследовании Dekker делает выводы о значимости использования облачных вычислительных ресурсов в связи с их ростом использования организациями из частного и государственного секторов, в том числе критически важными секторами, такими как финансовый, энергетический и транспортный, а также в связи с концентрацией ИТ-ресурсов в центрах обработки данных, что, с одной стороны, позволяет провайдерам применять последние современные меры по обеспечению информационной безопасности, поддерживая непрерывность бизнеса своего и своих клиентов, однако, с другой стороны, при наступлении события нарушения информационной безопасности или сбоя системы это ведёт к серьёзным последствиям для организаций и миллионов пользователей. Автор определяет набор ключевых угроз для кибер-сбоев и кибер-атак, которые могут повлечь за собой серьёзное воздействие:

• Природная катастрофа или бедствие, отказ от электропитания или оборудования;
• Истощение ресурсов в результате перегрузки серверов или DDoS-атаки;
• Кибер-атаки в результате наличия уязвимостей в программном обеспечении;
• Административные и юридические вопросы.

В результате проведённых исследований и анализа приведённых угроз для различных критически важных секторов экономики автор делает выводы о том, что:

• Использование облачных вычислительных ресурсов можно считать надёжным при наступлении стихийных бедствий и катастроф, так как ресурсы обычно находятся в распределённых центрах обработки данных;
• Эластичность как одно из ключевых преимуществ облачных вычислительных систем позволяет выдерживать перегрузки и DDoS-атаки;
• Уязвимости в ПО, использованные кибер-преступниками, ведут к масштабным последствиям для миллионов пользователей;
• При решении административных и правовых споров, связанных с поставщиком ИТ-услуг или одним из его клиентов, оказывается влияние на данные всех других клиентов или соарендаторов.

В конце своего исследования автор делает рекомендации для государственного сектора в вопросах управления национальными облачными вычислениями для 3-ёх ключевых процессов: 1) оценки рисков; 2) обеспечения принятия соответствующих мер безопасности; 3) сбора отчётов об инцидентах.

Также существуют исследования в сфере обеспечения безопасности облачных систем для маленького и среднего бизнеса – одно из них авторов Dr. M.A.C. Dekker и Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» [25], направленное на обеспечение сетевой информационной безопасности облачных вычислительных ресурсов для малых и средних предприятий (МСП) и рассмотрение вопросов возможностей облачных ресурсов в сфере ИБ, сопутствующих рисков, которые МСП должны принимать во внимание при работе с облачными провайдерами, а также направленное на вопросы безопасности, которые МСП могут использовать при выборе поставщика ИТ-услуг и анализе предложений от различных поставщиков. Авторами также разработаны формы для оценки рисков, возможностей и сбора сопутствующей информации от облачных провайдеров. Авторы исследования отмечают зависимость определённых рисков и возможностей от конкретных видов деятельности малых и средних предприятий. Помимо прочего, исследование затрагивает вопросы, связанные с принятым в ЕС законодательством в сфере защиты персональных данных. Для различных типов облачных вычислений (IaaS, PaaS, SaaS) авторы выделяют различные проблемы обеспечения информационной безопасности. В исследовании выделено 11 возможностей (преимуществ) облачных вычислений: географическая распределённость, эластичность, стандартные формы и интерфейсы, физическая безопасность, круглосуточная реакция на инциденты, разработка ПО, патчи и обновление, бекапы, серверное хранилище, безопасность как сервис (Security as a Service) и надстройки безопасности, сертификация и соответствие требованиям. Также сформулированы 11 рисков сетевой и информационной безопасности: уязвимости системы безопасности, сетевые атаки, атаки социальной инженерии, управление GUI и API-интерфейсом, кража или потеря устройства, физические угрозы, перегрузки, непредвиденные затраты, блокировка поставщика, административные или юридические вопросы, вопросы внешней юрисдикции. И, наконец, сформулированы 12 вопросов безопасности к поставщикам ИТ-услуг, на основании которых пользователи могут определять преимущества и недостатки каждого провайдера в соответствии со своими бизнес-целями: организационная безопасность, управление и управление рисками; обязанности и обязательства; непредвиденные ситуации и резервные копии; юридические и административные вопросы; безопасность персонала; контроль доступа; программное обеспечение; интерфейсы пользователя, управления и прикладного программирования; мониторинг и регистрация; взаимодействие и портативность; масштабируемость и стоимость; соблюдение национального и международного законодательства.

В сфере использования средств виртуализации существуют исследования относительно новых рисков, угроз и рекомендаций для разработчиков и администраторов систем, регулирующих органов и лиц, определяющих политику информационной безопасности в организации. Одно из таких исследований направлено на повышение эффективности использования политик и положений безопасности – «Security aspects of virtualization» [26] от исследователей организации ENISA, а также Antonio Maña (University of Málaga), Eduardo Jacob (Basque Country University), Lorenzo Di Gregorio (Intel Deutschland GmbH) и Michele Bezzi (SAP). Авторы отмечают, виртуальные системы обладают рядом серьёзных уязвимостей в безопасности, что необходимо учитывать при развёртывании виртуальной инфраструктуры в организации. Например, масштабируемость и производительность системы не должны противоречить установленным методам обеспечения информационной безопасности. Авторами приводят список рекомендаций по контрмерам для будущих поколений, среди которых есть для:

• Разработчиков политик безопасности и владельцев данных: директивным и регулирующим органам необходимо реализовывать чёткие планы и рекомендации по обеспечению безопасности при внедрении и управлении системой виртуализации; необходимо определить специальные стандарты для проведения классификации и последующего определения характера виртуальных систем.
• Разработчиков виртуальных систем и системных администраторов: необходимо изменить вектор ориентации с традиционных подходов, ориентированных на физические уровни, на новые технологические уровни, которыми обрастают в настоящий момент виртуальные системы; администраторам необходимо точно идентифицировать виртуализированные компоненты, применяемые в среде организации, с целью упрощения выбора решений при существующих рисках и угрозах; необходимо непрерывно искать высококачественные продукты безопасности, ввести в практику регулярные обновления систем и осуществлять мониторинг конкретных решений под угрозы, существующие в организации.
• Отдела кадров: первостепенную важность имеет обучение сотрудников, занимающихся непосредственно управлением виртуализированными средами, начиная от специализированных сотрудников и заканчивая руководителями и пользователями системами; необходимо внедрять решения по мониторингу поведения виртуализированных систем и решения в области обеспечения информационной безопасности; документ SLA должен в обязательном порядке учитывать многопользовательский характер виртуализированных сред.

Приведённые исследования ориентированы на рекомендации для государственных и частных предприятий в сфере определения перечня рисков и угроз объектов защиты, а также возможных уязвимостей при передаче ИТ-услуг подрядчику, на рекомендации по разработке политик безопасности и регламентов компаний, а также частично затрагивается вопрос, связанный с административным и юридическим регулированием. Однако, слабо исследованы вопросы определения сроков и стоимости при выборе ИТ-подрядчика и внедрения его услуг и решений в организационные процессы, не приводится описания сложности использования рекомендованных практик, кроме того, также не приведены известные и считающиеся надёжными на рынке поставщики ИТ-услуг с указанием их преимуществ и недостатков.

В российской практике исследования характеризуются общими вопросами состояния защиты данных в облачных системах и вычислениях, предлагаются идеи построения защищённых облачных сервисов и облачных операционных систем, а также анализируются методы обеспечения безопасности облачной инфраструктуры. В монографическом исследовании «Защита данных в облачных технологиях» [27] авторов Евдокимова А.А. и Тихонова Э.Е. рассматриваются перечисленные вопросы, а также исследованы существующие способы обмена сообщениями и документами с высокой производительностью, проанализированы протоколы аутентификации и конфиденциальных вычислений, в результаты чего сделаны выводы об их уязвимости и невозможности применения в облачных операционных системах. Авторы также предлагают ряд моделей и способов разработки облачной операционной системы, обработки данных в облачных системах, распределения облачных ресурсов между задачами, управления облачной ОС, обеспечения отказоустойчивости облачной ОС, обеспечения защиты данных в облачных системах. Также предложен ещё ряд механизмов по работе и обмену данными в облачных ОС.

ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ВНУТРЕННЕЙ СЕТИ И СОТРУДНИКОВ КОМПАНИИ ОТ АТАК В КОМПАНИИ ООО «RCG»

2.1. Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «RCG»

Компания ROOM485 с юридическим названием ООО «RCG» основана в 2014 году как креативное пространство, входящее в группу рекламных компаний Red Communication Group (далее – RCG). Организация занимается разработкой творческих решений для всей группы компаний RCG и постоянных клиентов, основываясь на инновационных и актуальных решениях в сфере креатива и Digital.

Основными направлениями деятельности компании являются:

• Разработка и реализация дизайн-макетов;
• Разработка сайтов и приложений;
• Реализация digital-активностей;
• Разработка брендинга и айдентики;
• Разработка нейминга и копирайта;
• Разработка видео-решений;
• Разработка иллюстраций и 3D;
• Анализ рынка и существующих трендов;
• Разработка digital-стратегий.

Основной целью своей деятельности организация ROOM485 определяет трансформацию клиентских проблем в успешный бизнес, основываясь на креативной терапии, совмещающей искусство, стратегию и digital-элементы при создании уникального клиентского продукта.

В компании существует несколько функциональных отделов:

1. Креативный департамент, включающий в себя стратегов, арт-директоров и дизайнеров. В отделе насчитывается 15 сотрудников.
2. Копирайт-департамент, куда входят сениор-копирайтеры, копирайтеры и джуниор-копирайтеры. Отдел включает 7 сотрудников.
3. Digital-отдел аккумулирует менеджеров ИТ-проектов, аналитиков, разработчиков и digital-маркетологов. В отделе находится 10 сотрудников.
4. Отдел видео-продакшена включает в себя режиссёров, операторов и видеомонтажёров. В данном отделе насчитывается 5 сотрудников.

В ROOM485 в качестве формата работы над проектами практикуется объединение ответственных за проект исполнителей во главе с руководителем проекта в команду, занимающуюся разработкой идей и дальнейшей реализацией заказа клиента. При этом каждый сотрудник компании одновременно может входить в несколько проектных команд.

В компании не существует жёсткой иерархии и специализации задач, кроме того, практикуется неформальное общение среди сотрудников организации. Также стоит отметить отсутствие разработанных корпоративных политик, регламентов деятельности сотрудников и рабочих инструкций.

Компания ROOM485 использует для обеспечения функционирования своих бизнес-процессов программное обеспечение 1С Финансист. Для хранения внутренних данных (договора, конфиденциальная информация, клиентская информация) организация задействует собственные серверные мощности.

Для обеспечения устойчивой работы сотрудников-исполнителей используется специализированное лицензированное ПО, а также внедряется в практику использование облачных систем и технологий. Для обеспечения качественного управления проектами практикуются различные форматы работы: статус-митинги, встречи, совещания, обмен информацией по электронной почте, использование мессенджеров, а также облачных решений для организации совместной работы над проектами и хранения данных. В том числе, компания использует следующие облачные сервисы: Jira, Trello, Google Диск и GitHub.

Организация ROOM485 работает с крупными FMCG-клиентами, такими как:

• Philip Morris,
• Unilever,
• Bacardi,
• Roche,
• PepsiCo,
• Mondelez International,
• Cordiant,
• Bosh,
• Ikea,
• Swatch,
• Tele2,
• GM,
• Heineken,
• Leroy Merlen.

Кроме того, среди клиентов организации насчитывается несколько банковских представителей: Альфа банк, Рокетбанк, Тинькофф, - для которых компания периодически ведёт разработку и реализацию креативных концепций

Классификация объектов защиты, их мест расположения, угроз и уязвимостей. В соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-ФЗ под объектом защиты информации понимается информация или носитель информации, или информационный процесс, которую(-ый) необходимо защищать в соответствии с целью защиты информации.

Проанализировав вышеуказанный Федеральный Закон, а также Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" и ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», можно привести классификацию информационных объектов защиты по нескольким основаниям:

1. По категории доступа: общедоступная информация и информация ограниченного доступа (в соответствии с федеральными законами доступ к такой информации ограничивается). Второй категории принадлежит информация, отнесённая к государственной тайне, и конфиденциальная информация. К конфиденциальной информации относится следующий перечень её видов:
   1. Персональные данные;
   2. Тайна следствия и судопроизводства;
   3. Служебная тайна;
   4. Профессиональная тайна;
   5. Коммерческая тайна;
   6. Сведения о сущности изобретения.
2. По предоставлению и распространению информация делится на следующие виды: свободно распространяемая; предоставляемая по соглашению лиц, участвующих в соответствующих отношениях; подлежащая предоставлению и/или распространению в соответствии с федеральными законами РФ; ограниченная и/или запрещённая к распространению.
3. По форме существования: на бумажном носителе (написанная или напечатанная), в электронном виде, передаваемая по электронной почте или с использованием других электронных средств связи, хранящаяся на плёнке, передаваемая в устном формате.

На основании вышеприведённого подхода к классификации объектов информационной защиты будет проведена классификация объектов на предприятии ООО «RCG». Данный подход позволяет обеспечить составление наиболее полного перечня объектов защиты и выявление всех необходимых документов в различных видах и формах существования.

К угрозам информационной безопасности на основании модели угроз безопасности, разработанной ФСТЭК Российской Федерации, по виду защищаемой информации решено отнести следующие:

• Угрозы речевой информации;
• Угрозы видовой информации;
• Угрозы информации, обрабатываемой в ТСОИ;
• Угрозы информации, обрабатываемой в АС.

По способам реализации можно выделить следующие угрозы:

• Угрозы специальных воздействий:
  • Механического;
  • Химического;
  • Акустического;
  • Биологического;
  • Радиационного;
  • Термического;
  • Электромагнитного (электрическими импульсами, электромагнитными излучениями, магнитным полем);
• Угрозы несанкционированного доступа:
  • Угрозы, реализуемые с применением программных средств операционной системы;
  • Угрозы, реализуемые с применением специально разработанного ПО;
  • Угрозы, реализуемые с применением вредоносных программ;
• Угрозы утечки информации по техническим каналам:
  • По радиоканалу;
  • По электрическому каналу;
  • По оптическому каналу;
  • По акустическому (вибрационному) каналу;
  • По смешанным (параметрическим) каналам;
  • Угрозы утечки речевой информации;
  • Угрозы утечки видовой информации;
  • Угрозы утечки информации по каналам ПЭМИН.

По используемой уязвимости выделяют следующие угрозы:

• С использованием уязвимости системного ПО;
• С использованием уязвимости прикладного ПО;
• С использованием уязвимости, вызванной наличием в АС аппаратной закладки;
• С использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;
• С использованием уязвимости, вызванной недостатками организации ТЗИ от НСД;
• С использованием уязвимости, обуславливающих наличие технических каналов утечки информации;
• С использованием уязвимостей СЗИ.

Использование вышеприведённой классификации позволяет наиболее полно охватить существующие угрозы защиты информационной среды на предприятии. На основании приведённого подхода для компании ООО «RCG» будет составлен перечень угроз защиты информации в компании при аутсорсинге ИТ-услуг.

К источникам угроз можно отнести антропогенные источники (то есть человек как источник угрозы), техногенные (технические средства как результат развития цивилизации и технологий) и стихийные (имеющие непреодолимую силу). При рассмотрении и составлении перечня угроз для компании ООО «RCG» будут учтены все три вида источников угроз.

Наконец, за основу классификации уязвимостей информационной безопасности взяты объективные, субъективные и случайные уязвимости.

К объективным уязвимостям относятся:

• сопутствующие техническим средствам излучения (электромагнитные, электрические, звуковые);
• активизируемые (аппаратные и программные закладки);
• определяемые особенностями элементов (обладающие электроакустическими преобразованиями и подверженные воздействию электромагнитного поля);
• определяемые особенностями защищаемого объекта (местоположением объекта и организацией каналов обмена информацией).

К субъективным уязвимостям относятся:

• Ошибки (при подготовке и использовании ПО, при управлении сложными системами и при эксплуатации технических средств);
• Нарушения (режима охраны и защиты, режима эксплуатации технических средств, режима использования информации, режима конфиденциальности).

К случайным уязвимостям принадлежат:

• Сбои и отказы (технических средств, носителей информации, ПО и электроснабжения);
• Повреждения (жизнеобеспечивающих коммуникаций, ограждающих конструкций).

При рассмотрении вопроса классификации уязвимостей информационной безопасности на предприятии ООО «RCG» при взаимодействии с поставщиками ИТ-услуг будут учитываться только субъективные и случайные уязвимости из приведённой классификации. Именно вследствие наличия последних двух типов уязвимостей в организации возрастают риски реализации угроз при взаимодействии с облачными провайдерами. Объективные угрозы могут рассматриваться в модели обеспечения информационной безопасности на предприятии при условии, что все технические средства и ПО находятся на территории компании, а их обслуживание полностью обеспечивается ИТ-службой данной организации.

По описанным выше классификациям объектов защиты, их носителей, угроз, источников угроз и уязвимостей будут составлены соответствующие модели для организации ООО «RCG».

2.2. Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA

На основании собственного опыта и проведённого внутри организации ООО «RCG» опроса ключевых сотрудников предложен следующий список критериев выбора поставщика ИТ-услуг:

1. Опыт поставщика ИТ-услуг: данный фактор включает в себя количество и сложность реализованных проектов и управления бизнес-процессами клиентов конкретного поставщика, а также количество и основные характеристики (масштаб компании, количество сотрудников, схожесть с деятельностью организации, выбирающей ИТ-поставщика и пр.) клиентов.
2. Репутация и надёжность поставщика ИТ-услуг: отзывы клиентов о поставщике, степень удовлетворения потребностей клиентов в их бизнес-целях и задачах.
3. Предоставляемые услуги и навыки: определение списка предоставляемых услуг данным поставщиком необходимо для решения вопроса о количестве поставщиков ИТ-услуг в компании.
4. Гибкость и масштабируемость: возможность поставщика ИТ-услуг подстраиваться под изменяющиеся потребности клиента.
5. Стоимость: данный критерий необходим для сравнения стоимостных затрат на использование одной и той же услуги у разных поставщиков. Очевидно, что организация при прочих равных будет стремиться сократить свои расходы на поставщиков.
6. Качество обслуживания: условия предоставления и реализации технической поддержки и обслуживания компании-заказчика.
7. Соответствие деятельности поставщика ИТ-услуг и его услуг международным и национальным стандартам в области информационной безопасности: определение перечня стандартов и законов, действующих на территории компании-заказчика, соответствие требованиям которых необходимо и / или желательно соблюсти поставщику ИТ-услуг. Это приобретает критическую важность при использовании в предоставляемых поставщиком ИТ-услугах персональных данных, а также хранении и обработке информации ограниченного доступа.

В соответствии с приведённым перечнем факторов, влияющих на выбор поставщика ИТ-услуг, в частности облачного провайдера, для организации ООО «RCG» будет составлен перечень вопросов, возможных вариантов ответа и регулирующих договоров и стандартов для осуществления выбора поставщика ИТ-услуг, который будет соответствовать бизнес-целям организации и требованиям к обеспечению защиты информации при передаче ИТ-услуг на аутсорсинг.

Классификация объектов защиты, угроз и уязвимостей в компании ООО «RCG»

Опираясь на классификацию по категории доступа информация, используемая в бизнес-процессах компании и при реализации заказов, относится к информации ограниченного доступа, а именно к категориям персональных данных и коммерческой тайны. Ниже приведена таблица 1 с перечнем информации, необходимой к защите.

Табл. 1. Объекты информационной защиты в ООО «RCG»

Категории документов / информации	Информация ограниченного доступа
	Персональные данные	Коммерческая тайна
Договора с клиентами	Сведения о представителях заказчика и компании ООО «RCG»	Описание работ и порядка их выполнения, стоимость работ
Договора с подрядчиками	Сведения о представителях компании ООО «RCG» и подрядчика	Описание работ и порядка их выполнения, стоимость работ
Бриф клиента	-	Заказ на предоставление каких-либо услуг, KPI
Коммерческое предложение клиенту	-	Идеи реализации задач клиента, методы и способы реализации задач, стоимость и сроки реализации работ
Разработанное ИТ-решение	Сведения о пользователях сайта/WEB-приложения, хранящиеся и обрабатываемые в базе данных	Код разрабатываемого ИТ-решения как инновация

По форме существования информационных объектов защиты используется несколько форматов – подробный перечень объектов защиты и формы их размещения / места расположения приведены в таблице 2 ниже.

Табл. 2. Форма и места расположения информационных объектов защиты

	Бумажный носитель	Электронный вид		Электронная почта	Др. ср-ва связи	Плёнка	Устный формат
		FTP-сервер	Облачные ресурсы
ПДн сотрудников ООО «RCG»	●	●	●	●	●		●
ПДн заказчика	●	●	●	●	●		●
ПДн пользователей		●	●
Договора с клиентами	●	●	●	●
Договора с подрядчиками	●	●	●	●
Информация о стоимости работ	●	●	●	●	●		●
Бриф клиента		●	●	●
Идеи реализации		●	●	●
Методы и способы реализации		●	●	●

В качестве угроз и уязвимостей информационной безопасности в компании ООО «RCG» будут рассмотрены только те, что относятся к аутсорсингу ИТ-услуг. В таблице представлено несколько детализированных угроз в соответствии с классификацией, приведённой во 2-ой главе настоящего исследования, а также уязвимости, присутствующие в настоящий момент в организации и способные повлечь за собой реализацию угроз ИБ. В таблице 3 отражены уязвимости и угрозы, относящиеся к использованию облачных сервисов и ресурсов.

Табл. 3. Угрозы и уязвимости в ООО «RCG» при использовании облачных сервисов

	Угрозы специальных воздействий	Угрозы физического НСД	Угрозы программного НСД	Угрозы утечки информации	Угрозы социальной инженерии	Угрозы несоответствия законодательству
Уязвимости в системе безопасности облачных сервисов	Сетевые атаки; сбои и отказы; нарушение доступности	Повреждения ограждающих конструкций; нарушение доступности	Нарушение доступности	Сетевые атаки; общедоступность облачной инфраструктуры; потеря доверия к поставщику	Злоупотребления доверием потребителей облачных услуг	Нарушение доступности; несогласованность политик безопасности элементов облачной инфраструктуры
Некомпетентность сотрудников		Кража/потеря устройств	Кража/потеря устройств	Злоупотребления возможностями, предоставленными потребителям облачных услуг	Атаки на социальную инженерию
Уязвимость организации каналов обмена информацией	Сетевые атаки		Потеря управления облачными ресурсами
Ошибки управления сложными системами		Общедоступность облачной инфраструктуры	Неправильное GUI/API управление; потеря управления	Общедоступность облачной инфраструктуры
Ошибки использования ПО	Сетевые атаки; приостановка оказания облачных услуг; перегрузка систем		Незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; «отказ в обслуживании»
Отсутствие регламента выбора поставщика и SLA	Потеря доверия к поставщику; приостановка оказания облачных услуг	Потеря доверия к поставщику	Потеря доверия к поставщику	Потеря доверия к поставщику	Недобросовестное исполнение обязательств поставщиками	Нарушение ФЗ №152 О персональных данных; блокировка облачного провайдера; административные и юридические проблемы

Как видно из представленной таблицы, основными уязвимостями является отсутствие регламентированных процессов по использованию облачных систем и ресурсов в компании ООО «RCG». Соответственно, сотрудники организации в силу человеческого фактора и по незнанию могут допускать ошибки при выборе облачных систем и ресурсов, использовании данных систем, обмене информацией внутри облачных ресурсов, предоставлении доступов сторонним лицам и во время прочих процессов, сопровождающих различные стадии проектной деятельности.

В данном случае необходимо отметить несколько основных векторов направления работ внутри организации:

1. Составление и внедрение в компанию ООО «RCG» на верхнем уровне следующих регламентов: выбора поставщика ИТ-услуг, использования облачных систем и ресурсов, управления доступами в облачных системах и ресурсах, пользования информацией с указанием порядка размещения критически важной информации в облачных ресурсах, обмена информацией между соответствующими лицами с помощью различных средств связи и систем;
2. Проведение работ с сотрудниками организации ООО «RCG» по ознакомлению с вопросами обеспечения информационной безопасности предприятия, а также с составленными регламентами;
3. Внедрение планов по регулярному ознакомлению новых сотрудников с действующими регламентами и напоминанию всем действующим сотрудникам о принятых в организации правилах;
4. Разработка и внедрение плана по регулярному мониторингу в организации ООО «RCG» сотрудниками действующих правил;
5. Составление и внедрение в работу с поставщиками ИТ-услуг соглашения об уровне и качестве предоставляемых услуг.

Реализация данного перечня работ позволит сократить количество уязвимостей в компании ООО «RCG» или заменить на менее серьёзные по степени возможности реализации или последствиям уязвимости. Также предпринятые меры позволят сократить вероятность наступления таких рисковых событий, как:

1. Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг;
2. Сетевые атаки;
3. Атаки на социальную инженерию;
4. Неправильное GUI и / или API управление;
5. Кража и / или потеря устройств;
6. Физические опасности;
7. Перегрузка систем;
8. Неоценённые затраты на работу с поставщиками ИТ-услуг;
9. Блокировка поставщика в результате его несоответствия требованиям законодательства;
10. Административные и / или юридические проблемы;
11. Несоблюдение национального и иностранного законодательства.

В данной работе будут даны рекомендации по составлению регламента выбора поставщика ИТ-услуг с перечнем характеристик, на которые следует обращать внимание, и вопросов к поставщику ИТ-услуг. Также будут даны рекомендации по разработке регламентов использования облачных систем и ресурсов и управления доступом к ресурсам и информации. Одной из ключевых задач данной работы является составление рекомендаций по составлению и внедрению SLA в практику для организации.

Облачные ИС, используемые в компании ООО «RCG». В настоящий момент в компании ООО «RCG» при работе над заказами клиентов используются следующие облачные информационные системы:

1. Google Диск как инструмент хранения проектной информации, включая брифы, договора, проектную документацию и отчётность, и предоставления соответствующих уровней доступа заинтересованным сторонам: представителям заказчика, проектной команде и подрядчикам, задействованным на проектах. Таким образом, в Google Диск попадает вся информация из категории коммерческой тайны.
2. Trello как инструмент управления проектами: в данной системе хранится информация, необходимая исполнителям (как внутренним сотрудникам компании ООО «RCG», так и внешним подрядчикам) для реализации работ по проекту. Организация использует бесплатную версию инструмента с ограниченными возможностями по настройке и управлению уровнями доступа. Пользователь, получивший доступ к проектной доске, имеет возможность неограниченной работы с размещаемыми файлами, просмотра и обработки проектных задач, комментирования и т.д. Однако, только пользователь с уровнем доступа «Администратор доски» имеет возможность приглашать к доске других пользователей.
3. GitHub как инструмент ведения и реализации разработки WEB-сайтов. GitHub используется на этапе разработки сайтов и приложений для клиента в качестве места хранения исходного кода (в репозиториях) и ведения технической проектной документации (API, описание методов и пр.). К репозиториям предоставляется доступ на уровне администратора корпоративного аккаунта – таким образом, доступ к репозиторию может быть выдан как внутренним сотрудникам для реализации разработки, так и внешним подрядчикам, которые на том или ином проекте могут осуществлять разработку решения.

В компании ООО «RCG» не проведён анализ поставщиков ИТ-услуг на предмет соответствия международным и российским регламентам и стандартам информационной безопасности, не разработаны рабочие инструкции по осуществлению работы в данных системах, в том числе о возможности и необходимости предоставления доступов тем или иным лицам и на каких условиях, а также не существует соглашения о уровне и качестве предоставления ИТ-услуг со стороны провайдеров облачных систем.

• 1. Регламент выбора поставщика ИТ-услуг и разработка SLA.

В ООО «RCG» не существует разработанного и принятого регламента и/или правил выбора поставщиков ИТ-услуг. Для того чтобы взаимодействовать с надёжным поставщиком ИТ-услуг, который будет соответствовать международным и российским нормам информационной безопасности, необходимо разработать регламент отбора таких поставщиков и внедрить его в компанию.

В соответствии с выявленными рисками и угрозами был составлен перечень тем с вопросами к поставщику ИТ-услуг. Каждой теме соответствует несколько рисков, вероятность наступления которых, в зависимости от ответов провайдера ИТ-услуг, будет увеличиваться или уменьшаться при условии использования облачных сервисов и систем. Важно учесть, что в большинстве случаев ответы на тематические вопросы можно найти на официальном сайте провайдера ИТ-услуг. Оставшуюся невыясненную информацию можно узнать посредством общения с технической поддержкой поставщика ИТ-услуг.

Темы, в соответствии с которыми составлен список вопросов к поставщикам ИТ-услуг, представлены ниже:

1. Организационная безопасность, структура и риск-менеджмент;
2. Обязанности и обязательства;
3. Стихийные бедствия и резервные копии;
4. Юридические и административные вопросы;
5. Безопасность персонала;
6. Управление доступом;
7. Программное обеспечение;
8. Интерфейсы пользователя, управления и прикладного программирования;
9. Мониторинг и логирование;
10. Взаимодействие и портативность;
11. Масштабирование и стоимостные затраты;
12. Соблюдение национального и международного законодательств.

Далее подробно раскрывается каждая тема и приводится перечень вопросов и возможные варианты ответов по каждой теме.

Организационная безопасность, структура и риск-менеджмент. Прежде чем приобретать облачные услуги и продукты у поставщика, компания-заказчик должна иметь представление о качестве и эффективности организационной структуры и процессах управления рисками у поставщика.
Также важно, чтобы заказчик был осведомлён, какие организационные структуры, подразделения и службы провайдера ИТ-услуг будут иметь дело с инцидентами безопасности, как заказчик должен выполнять ключевые роли, как найти важную информацию относительно информационной безопасности, советы по безопасности, информацию об отключении от предоставления ИТ-услуг провайдером.

По данной теме первым делом необходимо проверить наличие у поставщика ИТ-услуг поддерживаемых и регулярно обновляемых доказательств и свидетельств соответствия международным и национальным стандартам в области информационной безопасности:

• Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения. Среди международных стандартов к данной категории относится, например, ISO 27001, полным аналогом которого является российский стандарт ГОСТ Р ИСО/МЭК 27001. Таким образом, наличие сертификации по указанным выше стандартам является хорошим показателем для поставщика ИТ-услуг.
• Опубликованные аудиторские отчёты независимых аудиторов.
• Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике.
• И пр.

Вопрос, на который необходимо получить ответ по данной тематике: «Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?». Ответ может содержаться в следующих документах и информации, на которые стоит обратить внимание:

• Общая политика и подход к управлению рисками безопасности;
• Наличие или отсутствие контактных центров по инцидентам безопасности;
• Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц;
• Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками.

Обязанности и обязательства в сфере безопасности. На этапе выбора поставщика ИТ-услуг важно разделить такие понятия, как обязанности по задачам обеспечения информационной безопасности и обязанности / обязательства в случае наступления инцидентов безопасности, так как они различны для разных видов облачных сервисов.

Вопрос, на который необходимо получить ответ: «Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?». Возможные варианты ответа:

• Активы находятся в зоне ответственности провайдера ИТ-услуг;
• Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.;
• Перечисление примеров инцидентов, попадающих под ответственность провайдера;
• Перечень задач и обязанностей, за которые несёт ответственность заказчик.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности;
• Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы;
• Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами.

Непредвиденные обстоятельства и резервные копии. На предоставление облачных ИТ-услуг и сервисов могут повлиять землетрясения, выключение электричества, гроза и прочие непредвиденные бедствия и обстоятельства, которые никак не могут регулироваться провайдером ИТ-услуг или заказчиком. Данные бедствия могут оказать влияние на объекты, поставки, центры обработки данных, электрические или сетевые кабели. Для компании-заказчика важно понимать, на сколько облачный сервис является устойчивым перед лицом непредвиденных обстоятельств и бедствий и каким образом и в каком порядке выполняется резервное копирование данных.

Вопрос, на который необходимо получить ответ: «Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?». Возможные варианты ответа поставщика:

• Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.);
• Избыточность сети, географическая распределённость, зоны доступности, контроль доступа;
• Резервные копии и механизмы обеспечения отказоустойчивости;
• Планы аварийного восстановления.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения, включённые в контракт / договор и / или SLA;
• KPI по времени на восстановление облачных систем и ресурсов.

Правовые, нормативные и административные вопросы. Данные возможные проблемы могут стать причиной сбоев и отключений. Например, вопросы по контрактам и договорам, биллингу, юридическим процедурам против соарендаторов (других компаний-заказчиков ИТ-услуг у данного провайдера). Поэтому компания-заказчик должна быть осведомлена, каким образом обеспечивается безопасность её данных и процессов в случае наличия правовых вопросов и административных споров.

Вопрос, на который необходимо получить ответ: «Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?». Возможные ответы:

• Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.;
• Реализация экспорта гарантированных данных.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения о доступе к данным в договоре и / или SLA;
• Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям.

Безопасность персонала. Сотрудники, работающие в компании-поставщике ИТ-услуг, могут повлиять на безопасность предоставляемых услуг и / или обработку данных компании-заказчика. Заказчику необходимо быть проинформированным о том, каким образом провайдер гарантирует надёжность своего персонала при работе с услугами и данными клиентов.

Вопрос, на который необходимо получить ответ: «Как провайдер гарантирует, что его персонал работает надёжно?». Возможные ответы:

• Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера;
• Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов;
• Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS – Information Security Management System);
• Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных).

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Управление доступом. Данные и процессы компании-заказчика должны быть защищены от несанкционированного доступа. Таким образом, заказчику необходимо иметь представление, каким образом осуществляется управление доступом в целях обеспечения защиты своих данных и процессов.

Вопрос, на который необходимо получить ответ: «Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?». Возможные варианты ответов:

• Предоставление мер по защите от несанкционированного физического доступа;
• Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий);
• Использование механизмов аутентификации пользователей;
• Соблюдение стандартов и / или передовых практик в соответствии со СМИБ.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ.

Безопасность программного обеспечения. Уязвимости программного обеспечения могут повлечь за собой огромное воздействие на данные и / или процессы компании-заказчика. Заказчик должен быть проинформирован о том, какие меры предпринимаются для обеспечения безопасности ПО, лежащего в основе облачного сервиса, а также какое ПО не находится в зоне ответственности провайдера ИТ-услуг и должно обеспечиваться защитой со стороны заказчика.

Вопрос, на который необходимо получить ответ: «Как провайдер обеспечивает безопасность программного обеспечения и какое ПО остаётся в зоне ответственности компании-заказчика?». Возможные варианты ответа:

• Защищённый метод разработки ПО;
• Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.);
• Обучение разработчиков – сотрудников компании-поставщика ИТ-услуг;
• Процедуры выкатки исправлений и обновлений;
• Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014).

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Информация о прошлых уязвимостях соответствующего программного обеспечения;
• Отчёты о наличии уязвимостей;
• Результаты независимых аудитов программного обеспечения;
• Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM).

Интерфейсы пользователя, управления и прикладного программирования. Доступность облачных сервисов обычно обеспечивается за счёт веб-интерфейсов пользователя и / или API. Эти интерфейсы должны быть защищены от несанкционированного доступа, в частности, интерфейсы управления для администраторов и роли с широким спектром привилегий, так как через интерфейсы с этими уровнями доступа злоумышленники могут получить доступ к большому количеству данных и процессов компании-заказчика.

Вопрос, на который необходимо получить ответ: «Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?». Возможные варианты ответа:

• Перечисление методов аутентификации в GUI и через API;
• Меры защиты для интерфейсов администратора;
• Процессы аутентификации для интерфейса администрирования;
• Ограничения по IP, роли и привилегии администратора.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Технические документы с описанием интерфейсов и практикуемых методов защиты.

Мониторинг и логирование. Компания-заказчик должны иметь возможность контролировать производительность и безопасность предоставляемой системы / службы, получать оповещения, периодические отчёты и иметь доступ к информационным панелям. Компания-заказчик также должна иметь возможность анализировать проблемы, информация о которых логируется в журналах транзакций или автоматически выводится в интерфейсах, а также предоставляется по запросу, например, в случае инцидента.

Вопрос, на который необходимо получить ответ: «Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент?». Возможные варианты ответа:

• Панель мониторинга с доступом к мониторингу производительность системы;
• Журналы транзакций и журналы производительности;
• Предупреждения / оповещения и триггеры для уведомления.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующий пункт в SLA о наличии журналов транзакций.

Взаимодействие и портативность. Взаимодействие с другими системами делает возможным и облегчает для компании-заказчика интеграцию с другими существующими решениями и переносимостью. Это имеет важное значение при переходе заказчика от одного провайдера к другому. Заказчику необходимо знать, какие стандарты используются для данных и интерфейсов (а также, при необходимости, для аппаратных средств и устройств), а также поддерживаются ли стандартные форматы при экспорте и резервном копировании данных заказчика.

Вопрос, на который необходимо получить ответ: «Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами?». Возможные варианты ответа:

• Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения в контракте или SLA;
• Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам.

Масштабирование, калибровка и затраты. Облачные сервисы часто обеспечивают эластичность с точки зрения использования ресурсов на основе модели оплаты с оплатой по мере необходимости. Компания-заказчик должна знать, как обрабатываются пиковое использование ресурсов облачного провайдера и / или увеличенное использование, а также каким образом происходит обработка дополнительных затрат.

Вопрос, на который необходимо получить ответ: «Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты?». Возможные варианты ответа:

• Примеры сценариев эластичности, калькуляции затрат и т.д.;
• Уведомления о расходах и ограничения выставления счетов.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Соответствующие положения в контракте или SLA;
• Отчёт о производительности.

Соблюдение национального / международного законодательства. Облачные сервисы изменили способ предоставления ИТ-ресурсов, в связи с чем могут возникать проблемы соблюдения национального законодательства. В облачных вычислениях заказчики иногда работают с провайдерами и / или центрами обработки данных, расположенными за пределами государства, что вызывает необходимость принимать во внимание законодательство другого государства. Компания-заказчик должна знать, юрисдикция какой страны и в каких случаях должна учитываться и какое законодательство применяется к их облачному сервису. Особенно необходимо принимать во внимание законодательство о защите персональных данных.

Вопрос, на который необходимо получить ответ: «Какое национальное законодательство применяется?». Возможные варианты ответа:

• Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений;
• Соответствующая иностранная юрисдикция и применимое иностранное законодательство;
• Расположение центров обработки данных;
• Применимое законодательство о защите персональных данных.

Документы и гарантии, в которых может и должна быть отражена данная информация:

• Ссылки на соответствующие законодательства.

ЗАКЛЮЧЕНИЕ

В результате проделанной работы получены следующие результаты и выводы:

1. Проведён анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии по международным и российским стандартам.
2. Проведён анализ существующих методологий и передовых практик по обеспечению информационной безопасности на предприятии. Международные исследования направлены на вопросы выбора поставщика облачных ресурсов при передаче ИТ-услуг на аутсорсинг и составления с ним Соглашения об уровне обслуживания, в то время как российские исследования ориентируются в основном на проблемы обеспечения информационной безопасности облачных ресурсов. Сделан вывод о том, что это связано в первую очередь с отсутствием стандарта по обеспечению ИБ облачных провайдеров в российской реальности, в связи с чем данный вопрос имеет больший приоритет.
3. Для компании ООО «RCG» определена проблема обеспечения информационной безопасности на предприятии. Наличие большого количества угроз и уязвимостей в компании при передаче ИТ-услуг на аутсорсинг связан в первую очередь с отсутствием регламентов и подходов к выбору поставщиков ИТ-услуг (облачных провайдеров) и составлению Соглашения об уровне обслуживания с ними с определёнными метриками и параметрами.
4. Разработаны методы и подходы к выбору поставщика ИТ-услуг и составлению Соглашения об уровне обслуживания.
5. Проведена классификация объектов защиты, угроз и уязвимостей, составлен перечень используемых в компании облачных систем и ресурсов.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. RightScale 2018 State of the Cloud Report [Электронный ресурс]. – URL: https://assets.rightscale.com/uploads/pdfs/RightScale-2018-State-of-the-Cloud-Report.pdf.
2. Стандарт ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services»
3. Стандарт ISO/IEC 27018:2014 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors»
4. Стандарт ISO/IEC 27036-1 «Information security for supplier relationships - Part 1: Overview and concepts»
5. Стандарт ISO/IEC 27036-2 «Information security for supplier relationships - Part 2: Requirements»
6. Стандарт ISO/IEC 27036-3 «Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security»
7. Стандарт ISO/IEC 27036-4 «Information security for supplier relationships - Part 4: Guidelines for security of cloud services»
8. ITIL (Information Technology Infrastructure Library) Version 3
9. ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ
10. Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ
11. Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
12. Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах»
13. Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
14. ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
15. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
16. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности
17. ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
18. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
19. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
20. ISO/IEC TS 27017:2015 / ITU-T X.1631 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
21. ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
22. NIST SP 800–144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений»
23. ETSI TR 103125 «Облака – Соглашения о качестве услуг для облачных сервисов»
24. Dr. M.A.C. Dekker «Critical Cloud Computing: CIIP Perspective on Cloud Computing» // European Network and Information Security Agency (ENISA). 2012. Version 1.0
25. Dr. M.A.C. Dekker, Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» // European Network and Information Security Agency (ENISA). 2015. SME version
26. Antonio Maña, Eduardo Jacob, Lorenzo Di Gregorio, Michele Bezzi «Security aspects of virtualization» // European Network and Information Security Agency (ENISA). 2017
27. А.А. Евдокимов, Э.Е. Тихонов «Защита данных в облачных технологиях: Монография» - Невинномысск: Издательство НИЭУП, 2015 г. – 102 с.
28. Я. О. Кучина «Правовое регулирование облачных технологий (вычислений)»: монография / Я. О. Кучина - Москва: Юрлитинформ, 2018. -  165
29. И. А. Нестерова «Правовое регулирование отношений, возникающих при использовании облачных технологий»: автореферат дис. ... кандидата юридических наук: 12.00.03 / - Москва, 2017
30. ГОСТ Р 57392-2017. Управление услугами. Часть 10. Основные понятия и терминология
31. А.С. Моляков «Модели и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
32. А.С. Моляков «Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2014
33. А.В. Никольский «Защита облачных вычислений от атак на средства виртуализации»: автореферат дис. кандидата технических наук - Санкт-Петербург, 2013
34. Ю.М. Туманов «Защита сред облачных вычислений путём верификации программного обеспечения на наличие деструктивных свойств»: автореферат дис. кандидата технических наук – Москва, 2012
35. С.В. Одегов «Методика снижения рисков информационной безопасности облачных сервисов на основе квантифицирования уровней защищенности и оптимизации состава ресурсов»: Диссертация кандидата технических наук – Санкт-Петербург, 2013