Размещено на http://www.allbest.ru/

Правительство Российской Федерации

Федеральное государственное автономное учреждение высшего образования

«Национальный исследовательский университет «Высшая школа экономики»

Факультет бизнеса и менеджмента

Выпускная квалификационная работа

по направлению подготовки 38.03.05 Бизнес-информатика

образовательная программа «Бизнес-информатика»

Защита информационной среды на предприятии

Корниенко Анастасия Сергеевна

Научный руководитель

Д.т.н., проф. кафедры информационной безопасности НИУ ВШЭ

Д. Н. Беспалов

Москва 2018



ВВЕДЕНИЕ

Формулировка темы и актуальность работы. В современных рыночных условиях организации активно используют информационные технологии как инструмент, позволяющий достичь конкурентного преимущества за счёт автоматизации множества бизнес-процессов, сокращения финансовых и временных издержек и оперативного получения из различных источников и распространения информации, на основе которой принимаются решения. Тем не менее, процессы интеграции ИТ на предприятие и обеспечения их технической поддержки могут быть дорогостоящими для компании в связи с тем, что требуют развития инфраструктуры, найма и содержания высококвалифицированного персонала, внедрения специализированного ПО, разработки соответствующих регламентов и инструкций. Поэтому большую популярность приобретает переход на аутсорсинг в сфере ИТ: выбирается компания-поставщик ИТ-решений и услуг (или несколько компаний), на которую возлагается ответственность за внедрение необходимых средств и программ в компанию-заказчика и обеспечение функционирования соответствующих процессов.

Крупные поставщики ИТ-услуг обслуживают десятки миллионов пользователей. Эта концентрация ИТ-ресурсов - это «обоюдоострый меч»: с одной стороны, крупные поставщики облачных вычислений могут внедрять современные меры безопасности и устойчивости и распространять их на получаемые всеми их клиентами услуги. С другой стороны, если происходит сбой или нарушение информационной безопасности, последствия могут быть иметь огромное влияние, затрагивая множество данных, многие организации и большое количество граждан.

Методологические предпосылки исследования. В настоящее время проблема защиты информации закреплена на международном уровне в форме регламентов, стандартов и нормативных документов. Для настоящей работы особый интерес представляют регламенты, применение которых регулируют отношения между заказчиком и поставщиком ИТ-услуг и меры по обеспечению информационной безопасности при работе с облачными технологиями в связи с тем, что это напрямую относится к сфере передачи ИТ-услуг на аутсорс. информационный безопасность аутсорсинг

Методологической основой данного исследования служат следующие разработанные документы:

· Стандарт ISO/IEC 27017 «Code of practice for information security controls based on ISO/IEC 27002 for cloud services» [2];

· Стандарт ISO/IEC 27018:2014 «Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors» [3];

· Стандарт ISO/IEC 27036-1 «Information security for supplier relationships - Part 1: Overview and concepts» [4];

· Стандарт ISO/IEC 27036-2 «Information security for supplier relationships - Part 2: Requirements» [5];

· Стандарт ISO/IEC 27036-3 «Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security» [6];

· Стандарт ISO/IEC 27036-4 «Information security for supplier relationships - Part 4: Guidelines for security of cloud services» [7];

· ITIL (Information Technology Infrastructure Library) Version 3 [8].

Также в качестве источников данных будут использоваться литература, статьи и исследования из библиотеки конгресса США и ENISA (European Union Agency for Network and Information Security).

В представленных выше стандартах описаны методологии, механизмы, меры и способы обеспечения информационной безопасности на предприятии, в том числе при взаимодействии с поставщиками ИТ-услуг.

Объект, предмет, цель и задачи исследования. В рамках данной работы сформулированы объект, предмет, цель и задачи исследования.

Объектом исследования является система менеджмента информационной безопасности (далее - СМИБ) организации ООО «Эрендай Груп», практикующей частичную передачу ИТ-услуг поставщикам.

Предметом исследования являются используемые документы, регламенты и информационные системы организации ООО «Эрендай Груп», используемые при осуществлении аутсорса ИТ-услуг.

Основная цель данного исследования заключается в разработке методов и способов обеспечения информационной безопасности в организации, частично или полностью передающей ИТ-услуги поставщикам, в российских реалиях с учётом существующих международных стандартов и регламентов в сфере обеспечения информационной безопасности предприятия и законодательства Российской Федерации.

В рамках данной работы составлен список задач, реализация которых способствует достижению поставленной цели:

1. Анализ нормативно-правовой базы обеспечения информационной безопасности на предприятии;

2. Анализ существующих методологий обеспечения информационной безопасности на предприятии;

3. Определение проблемы обеспечения информационной безопасности в компании ООО «Эрендай Груп» при передаче ИТ-услуг на аутсорсинг;

4. Разработка методологий выбора поставщика ИТ-услуг и составления Соглашения об уровне обслуживания;

5. Проведение классификации объектов защиты, угроз и уязвимостей в компании ООО «Эрендай Груп»;

6. Разработка правил выбора поставщика ИТ-услуг и Соглашения об уровне обслуживания.

Для решения поставленного круга задач и достижения цели данной исследовательской работы будут использоваться следующие инструментальные методы и средства:

· анализ существующих международных стандартов и литературы в области информационной безопасности и выявление подходящей классификации для объектов защиты, их мест нахождения, угроз и уязвимостей при использовании облачных сервисов;

· анализ существующей системы информационной безопасности в компании ООО «Эрендай Груп» для определения текущих механизмов обеспечения ИБ и выявления конкретных слабых мест в системе безопасности при взаимодействии с поставщиками ИТ-услуг на основании опроса сотрудников и анализа стандартов в данной сфере;

· определение существующих процессов взаимодействия с облачными сервисами посредством опроса вовлечённых лиц;

· анализ существующих международных стандартов и исследований в сфере разработки правил предоставления ИТ-услуг компании от поставщиков;

на основании проведённых анализов стандартов, регламентов, литературы и исследований будут определены уровень и качество предоставляемых ИТ-услуг в настоящий момент и произведено сопоставление с бизнес-целями компании, также будет проведена оценка изменения уровня и качества ИТ-услуг после внедрения разработанных правил в компанию ООО «Эрендай Груп».

Структура работы. Структурно данная работа разделена на 3 части: теоретические предпосылки исследования, инструментальные методы и средства поставленной проблемы и практическая реализация предложенного подхода.

1 глава посвящена теоретическим предпосылкам исследования, в рамках которых раскрывается степень изученности проблемы, полнота и характер исследований приводится описание компании ООО «Эрендай Груп»; формулируется постановка проблемы и приводится её обоснование.

2 глава описывает инструментальные методы и средства поставленной проблемы: предлагается подход к решению задач и описывается практическая значимость предложенного подхода.

В 3 главе описывается практическая реализация предложенного подхода на примере рассматриваемой организации ООО «Эрендай Груп», а также анализируются полученные результаты.

ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ И МЕТОДИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

1.1 Нормативно-правовая база обеспечения информационной безопасности на предприятии

Согласно исследованию компании RightScale [1], проведённому в январе 2018 г. и задействовавшему 997 технических специалистов, в настоящее время 96% опрошенных респондентов используют облачные технологии на предприятии: в 2017 году данный показатель составлял 89%. Таким образом, наглядно видно, что использование облачных сервисов в международной практике только растёт. 81% респондентов используют мульти-облачную стратегию на предприятии.

Рисунок 1. Стратегия использования облаков в организациях (>1000 сотрудников)

При этом по сравнению с 2017 годом процент компаний, использующих одновременно публичные и частные облачные сервисы, снизился с 58% до 51% в 2018 году. Сейчас предпочтение отдаётся использованию нескольких публичных облачных сервисов, либо нескольких частных. В среднем организации используют почти 5 облачных решений. Наглядно статистические данные приведены на рис. 1 и рис. 2.

Рисунок 2. Стратегия использования облаков в СМБ (<1000 сотрудников)

Также необходимо отметить, что затраты на использование облачных ресурсов значительно и быстро растут:

· 26% предприятий тратят более 6 миллионов долларов в год на использование облачных решений;

· 52% тратят более 1,2 миллионов долларов в год;

· 20% компаний планируют в 2018 году увеличить свои расходы на облачные ресурсы более, чем в 2 раза;

· 71% компаний планирует в 2018 году увеличить расходы на облачные ресурсы больше, чем на 20%;

· Малый и средний бизнес имеет меньшие расходы на облачные решения - около 50% компаний тратят меньше 10 000 долларов в год, но 17% планируют удвоить свои расходы на данный вид услуг в 2018 году, а увеличить затраты на 20% планируют 62% компаний малого и среднего бизнеса.

Однако, необходимо учитывать, что в таком случае организация-поставщик ИТ-услуг получает и обрабатывает всю информацию, в том числе конфиденциальную, о компании-заказчике: данные сотрудников, документы, договора, информацию о клиентах и поставщиках и т.д. В связи с этим остро встаёт вопрос обеспечения информационной безопасности, то есть защиты от угроз утечки данных, нарушения целостности и сохранности информации и использования конфиденциальных данных в корыстных целях. Данная проблема носит серьёзный характер, так как утечка данных может негативно повлиять на деятельность организации, в том числе может вызвать падение репутации компании в глазах клиентов и потребителей, снижение прибыли, потерю постоянных клиентов и, как следствие, прекращение деятельности.

Опираясь на исследование RightScale, главными облачными проблемами 2018 года являются обеспечение безопасности и управление расходами:

· 77% респондентов отмечают безопасность как проблему при использовании облачных сервисов, из них 29% считают это серьёзной проблемой;

· Управление облачными затратами - проблема для 76% респондентов, при этом 21% считают это серьёзной проблемой;

· Безопасность - самая большая проблема для компаний-новичков в использовании облачных решений, в то время как управление стоимостью - основная задача уже более продвинутых организаций.

На рис. 3 представлены отмеченные респондентами проблемы и их значимость в процентном соотношении.



Рисунок 3. Облачные проблемы

Исходя из вышеперечисленных данных, можно сделать вывод, что существует явная необходимость в обеспечении защиты информационной среды на предприятии при частичной или полной передаче ИТ-услуг на аутсорс

В международной практике существуют разработанные документы, регламенты и своды правил по обеспечению информационной безопасности на государственном, корпоративном и персональном уровне. Показателем качества предоставляемых поставщиком ИТ-услуг является соответствие поставщика принятым стандартам и нормам. В российской практике на данном этапе нет широкого распространения данных норм и всеобщего понимания необходимости внедрения ведущих практик в деятельность организаций, однако на основании международных стандартов и регламентов разработаны несколько соответствующих правил, регламентов и норм по обеспечению ИБ на предприятии. Кроме того, на законодательном уровне классифицирована информация, подлежащая особой защите, и описаны меры по обеспечению защиты информации.

ITIL. Среди международных регламентов и стандартов в качестве основного источника информации была выбрана библиотека инфраструктуры информационных технологий (ITIL - the IT Infrastructure Library) как сборник публикаций об управлении ИТ-услугами на предприятии и взаимодействии с поставщиками ИТ-услуг и их пользователями. ITIL описывает процессы и услуги, предоставляемые компании, а также механизмы поддержки и оценки их качества. На базе ITIL можно выстраивать в организации систему качественного управления ИТ-услугами с учётом передовых современных практик и последних технологий. При изучении библиотеки ITIL v3 было выделено несколько важных аспектов, обозначенных при описании процессов предоставления ИТ-услуг, которые имеют значимость для данной работы и приведены ниже:

· Описание типов поставщиков услуг;

· Управление уровнем услуг (SLM - Service Level Management);

· Управление информационной безопасностью.

Для выстраивания отношений между организацией и поставщиком ИТ-услуг и обеспечения безопасности информационной среды компании необходимо понимать, с каким типом поставщиков ИТ-услуг она планирует взаимодействовать и/или уже взаимодействует. В ITIL v3 выделено 3 типа поставщиков услуг, к которым относятся «Внутренний, или собственный, поставщик», «Общий поставщик» и «Внешний поставщик». Ключевой особенностью 1-го типа является то, что он относится к самой организации и является её частью, поэтому его деятельность не может быть измерена экономическими показателями эффективности, так как не подразумевает получение прибыли, но направлена на предоставление качественных ИТ-услуг определённым структурным единицам организации. 2-ой тип поставщиков ИТ-услуг характеризуется тем, что он агрегирует несколько неконкурентных в компании бизнес-функций в одну сервисную единицу, при этом являясь также частью организации. Этот тип находится на стыке между первым и третьим типами. К последнему типу поставщиков относятся классические в нашем понимании внешние поставщики ИТ-услуг, характеризующиеся гибкостью, масштабируемостью, а также свободой в принятии решений и действиях.

Также ITIL v3 содержит описание важного с точки зрения контроля предоставляемых услуг и обеспечения необходимого уровня информационной безопасности процесса - управление уровнем услуг. При предоставлении какой-либо услуги необходимо определить целевые показатели её уровня, ключевые метрики, на основании которых можно делать выводы об эффективности и качестве работы поставщика. Выбранные, сформулированные и определённые целевые показатели закрепляются в соответствующих документах и соглашениях между поставщиком ИТ-услуг и заказчиком. Основным таким соглашением является соглашение об уровне услуг (SLA - Service Level Agreement). Таким образом, управление уровнем услуг сводится к процессам определения взаимодействия между поставщиком и заказчиком, целевых показателей уровня услуг, составления документов и соглашений, регулярного мониторинга и контроля процессов предоставления ИТ-услуг и обеспечения своевременной отчётности.

Управление информационной безопасностью - это набор механизмов, процессов и ключевых показателей эффективности, на основании которого выстраивается эффективная система обеспечения информационной безопасности на предприятии. ITIL v3 описывает в рамках данного процесса цель обеспечения ИБ, ключевые элементы процесса (политики, структурные элементы, ключевые деятельности и предложения по метрикам эффективности выполнения данного процесса). Управление информационной безопасностью и управление уровнем услуг тесно связаны между собой и документы, используемые в каждом случае, должны коррелировать между собой и соответствовать бизнес-целям организации.

Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. №149-ФЗ [9]. В настоящем документе приводятся перечень терминов и определений об информации и информационных технологиях, принятых в Российской Федерации на законодательном уровне, принципы правового регулирования соответствующих отношений, классификация информации в зависимости от категории доступа и в зависимости от порядка её предоставления или распространения, права на доступ и использование той или иной информации, права и обязанности при распространении или предоставлении информации, а также права и обязанности при участии в информационных отношениях и использовании информационных технологий и систем государственных и муниципальных органов и прочее. Данный документ является основополагающим при предоставлении ИТ-услуг от поставщика предприятию и от предприятия клиенту при условии регистрации и нахождения компании на территории Российской Федерации. Для обеспечения безопасности предприятия необходимо соответствовать принятым на законодательном уровне нормам при работе с информационными технологиями, системами и при использовании информации ограниченного доступа и/или конфиденциального характера.

Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ [10]. Данным законом регулируются отношения, в рамках которых происходит получение, хранение и обработка персональных данных. К основным принципам обработки персональных данных относятся соответствие обработки и хранения персональных данных целям их сбора. При этом сбор, хранение и обработка персональных данных могут осуществляться только с согласия субъекта персональных данных. В данном ФЗ определены случаи, при которых допускается обработка персональных данных субъектов, а также определены конфиденциальность ПнД, процессы получения согласия субъекта ПнД на их обработку и связанные с персональными данными отношения между субъектом и оператором, а также права субъекта персональных данных. Компании, использующие в рамках своей деятельности те или иные ИТ-услуги, часто сталкиваются с процессами обработки и хранения персональных данных. Соблюдение федерального закона в этой части крайне важно и имеет высокий приоритет при работе с поставщиками ИТ-услуг.

Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" [11]. В данном документе определены сведения конфиденциального характера, среди которых для целей данной работы необходимо особенно выделить сведения, составляющие коммерческую тайну, и сведения о сущности и новизне изобретения (инновации), которые зачастую являются неотъемлемой частью деятельности организации.

Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [12]. Данная методика может применяться при построении эффективной системы управления информационной безопасностью, так как направлена на выявление угроз безопасности в информационных системах и определению их оценки. К источникам угроз в приведённой методике отнесены: антропогенные, техногенные и стихийные источники. Также приводится процесс проведения оценки вероятности реализации угроз безопасности информации и степени возможного ущерба. В разделе оценки возможностей нарушителей по реализации угроз безопасности информации приводится модель нарушителя: описываются возможные типы нарушителей, виды нарушителей и их возможная мотивация. Помимо модели нарушителя, в рамках данного документа описывается модель угроз безопасности информации, включающая возможные способы реализации угроз безопасности. Также описывается формула определения актуальности угроз безопасности, на основании которой можно определить актуальность конкретной угрозы непосредственно для определённой компании, виды ущерба и возможные негативные последствия.

Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [13]. В данной методике систематизированы угрозы, которые могут явиться следствием преднамеренных или непреднамеренных действий нарушителей в отношении персональных данных.

ГОСТ Р ИСО/МЭК серии 27000 [14] - [19]. Данные стандарты разработаны на основании международных стандартов ISO/IEC series 27000 и предназначены для построения эффективной системы менеджмента информационной безопасности.

ISO/IEC TS 27017 «Информационные технологии - Руководство по мерам информационной безопасности для использования сервисами облачных вычислений, основанное на стандарте ISO/IEC 27002» [20] содержит перечень мер и рекомендаций для реализации поставщиками облачных вычислений.

ISO/IEC 27018 «Свод практик по мерам защиты персональных данных при оказании публичных облачных услуг» [21] приведены рекомендации в части защиты персональных данных в облачных сервисах, которые могут являться также и операторами ПДн. Основной упор делается на защите персональных данных в связи с важностью данного вида информации на законодательном уровне во всех странах.

Кроме того, существует ряд американских стандартов и руководств, разработанных при выявлении пробелов в существующих иных стандартах в данной области. В документе NIST SP 800-144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений» [22] рассматриваются вопросы обеспечения неприкосновенности частной жизни и рекомендации при принятии решения об аутсорсинге ИТ-услуг.

В части разработки соглашения о качестве предоставляемых услуг с облачными провайдерами можно опираться на технический отчёт ETSI TR 103125 «Облака - Соглашения о качестве услуг для облачных сервисов» [23], в котором делается упор на составление SLA при аутсорсинге ИТ-услуг, особенно при применении модели IaaS (Infrastructure as a Service), однако, данный подход может использоваться и при использовании иных моделей потребления услуг. Важной частью данного документа является наличие примеров проблем и недовольств, с которыми сталкиваются потребители ИТ-услуг, и рекомендаций по повышению уровня качества предоставляемых услуг.

1.2 Методические основы обеспечения информационной безопасности на предприятии

Проблематика обеспечения безопасности при передаче ИТ-услуг сторонней организации довольно подробно рассматривается в международных исследованиях крупных организаций, специализирующихся на теме обеспечения информационной безопасности государства и предприятий. В целях данной дипломной работы будут рассматриваться исследования по обеспечению информационной безопасности именно организаций.

Исследование «Critical Cloud Computing: CIIP Perspective on Cloud Computing» [24] автора Dr. M.A.C. Dekker затрагивает вопросы безопасности использования облачных ресурсов при работе с критически важной информационной инфрастуктурой: анализ основан на опросе публичных источников об использовании облачных вычислений и происходивших крупных кибер-атаках и сбоев в работе облачных ресурсов. В своём исследовании Dekker делает выводы о значимости использования облачных вычислительных ресурсов в связи с их ростом использования организациями из частного и государственного секторов, в том числе критически важными секторами, такими как финансовый, энергетический и транспортный, а также в связи с концентрацией ИТ-ресурсов в центрах обработки данных, что, с одной стороны, позволяет провайдерам применять последние современные меры по обеспечению информационной безопасности, поддерживая непрерывность бизнеса своего и своих клиентов, однако, с другой стороны, при наступлении события нарушения информационной безопасности или сбоя системы это ведёт к серьёзным последствиям для организаций и миллионов пользователей. Автор определяет набор ключевых угроз для кибер-сбоев и кибер-атак, которые могут повлечь за собой серьёзное воздействие:

· Природная катастрофа или бедствие, отказ от электропитания или оборудования;

· Истощение ресурсов в результате перегрузки серверов или DDoS-атаки;

· Кибер-атаки в результате наличия уязвимостей в программном обеспечении;

· Административные и юридические вопросы.

В результате проведённых исследований и анализа приведённых угроз для различных критически важных секторов экономики автор делает выводы о том, что:

· Использование облачных вычислительных ресурсов можно считать надёжным при наступлении стихийных бедствий и катастроф, так как ресурсы обычно находятся в распределённых центрах обработки данных;

· Эластичность как одно из ключевых преимуществ облачных вычислительных систем позволяет выдерживать перегрузки и DDoS-атаки;

· Уязвимости в ПО, использованные кибер-преступниками, ведут к масштабным последствиям для миллионов пользователей;

· При решении административных и правовых споров, связанных с поставщиком ИТ-услуг или одним из его клиентов, оказывается влияние на данные всех других клиентов или соарендаторов.

В конце своего исследования автор делает рекомендации для государственного сектора в вопросах управления национальными облачными вычислениями для 3-ёх ключевых процессов: 1) оценки рисков; 2) обеспечения принятия соответствующих мер безопасности; 3) сбора отчётов об инцидентах.

Также существуют исследования в сфере обеспечения безопасности облачных систем для маленького и среднего бизнеса - одно из них авторов Dr. M.A.C. Dekker и Dimitra Liveri «Cloud Security Guide for SMEs: Cloud computing security risks and opportunities for SMEs» [25], направленное на обеспечение сетевой информационной безопасности облачных вычислительных ресурсов для малых и средних предприятий (МСП) и рассмотрение вопросов возможностей облачных ресурсов в сфере ИБ, сопутствующих рисков, которые МСП должны принимать во внимание при работе с облачными провайдерами, а также направленное на вопросы безопасности, которые МСП могут использовать при выборе поставщика ИТ-услуг и анализе предложений от различных поставщиков. Авторами также разработаны формы для оценки рисков, возможностей и сбора сопутствующей информации от облачных провайдеров. Авторы исследования отмечают зависимость определённых рисков и возможностей от конкретных видов деятельности малых и средних предприятий. Помимо прочего, исследование затрагивает вопросы, связанные с принятым в ЕС законодательством в сфере защиты персональных данных. Для различных типов облачных вычислений (IaaS, PaaS, SaaS) авторы выделяют различные проблемы обеспечения информационной безопасности. В исследовании выделено 11 возможностей (преимуществ) облачных вычислений: географическая распределённость, эластичность, стандартные формы и интерфейсы, физическая безопасность, круглосуточная реакция на инциденты, разработка ПО, патчи и обновление, бекапы, серверное хранилище, безопасность как сервис (Security as a Service) и надстройки безопасности, сертификация и соответствие требованиям. Также сформулированы 11 рисков сетевой и информационной безопасности: уязвимости системы безопасности, сетевые атаки, атаки социальной инженерии, управление GUI и API-интерфейсом, кража или потеря устройства, физические угрозы, перегрузки, непредвиденные затраты, блокировка поставщика, административные или юридические вопросы, вопросы внешней юрисдикции. И, наконец, сформулированы 12 вопросов безопасности к поставщикам ИТ-услуг, на основании которых пользователи могут определять преимущества и недостатки каждого провайдера в соответствии со своими бизнес-целями: организационная безопасность, управление и управление рисками; обязанности и обязательства; непредвиденные ситуации и резервные копии; юридические и административные вопросы; безопасность персонала; контроль доступа; программное обеспечение; интерфейсы пользователя, управления и прикладного программирования; мониторинг и регистрация; взаимодействие и портативность; масштабируемость и стоимость; соблюдение национального и международного законодательства.

В сфере использования средств виртуализации существуют исследования относительно новых рисков, угроз и рекомендаций для разработчиков и администраторов систем, регулирующих органов и лиц, определяющих политику информационной безопасности в организации. Одно из таких исследований направлено на повышение эффективности использования политик и положений безопасности - «Security aspects of virtualization» [26] от исследователей организации ENISA, а также Antonio Maсa (University of Mбlaga), Eduardo Jacob (Basque Country University), Lorenzo Di Gregorio (Intel Deutschland GmbH) и Michele Bezzi (SAP). Авторы отмечают, виртуальные системы обладают рядом серьёзных уязвимостей в безопасности, что необходимо учитывать при развёртывании виртуальной инфраструктуры в организации. Например, масштабируемость и производительность системы не должны противоречить установленным методам обеспечения информационной безопасности. Авторами приводят список рекомендаций по контрмерам для будущих поколений, среди которых есть для:

· Разработчиков политик безопасности и владельцев данных: директивным и регулирующим органам необходимо реализовывать чёткие планы и рекомендации по обеспечению безопасности при внедрении и управлении системой виртуализации; необходимо определить специальные стандарты для проведения классификации и последующего определения характера виртуальных систем.

· Разработчиков виртуальных систем и системных администраторов: необходимо изменить вектор ориентации с традиционных подходов, ориентированных на физические уровни, на новые технологические уровни, которыми обрастают в настоящий момент виртуальные системы; администраторам необходимо точно идентифицировать виртуализированные компоненты, применяемые в среде организации, с целью упрощения выбора решений при существующих рисках и угрозах; необходимо непрерывно искать высококачественные продукты безопасности, ввести в практику регулярные обновления систем и осуществлять мониторинг конкретных решений под угрозы, существующие в организации.

· Отдела кадров: первостепенную важность имеет обучение сотрудников, занимающихся непосредственно управлением виртуализированными средами, начиная от специализированных сотрудников и заканчивая руководителями и пользователями системами; необходимо внедрять решения по мониторингу поведения виртуализированных систем и решения в области обеспечения информационной безопасности; документ SLA должен в обязательном порядке учитывать многопользовательский характер виртуализированных сред.

Приведённые исследования ориентированы на рекомендации для государственных и частных предприятий в сфере определения перечня рисков и угроз объектов защиты, а также возможных уязвимостей при передаче ИТ-услуг подрядчику, на рекомендации по разработке политик безопасности и регламентов компаний, а также частично затрагивается вопрос, связанный с административным и юридическим регулированием. Однако, слабо исследованы вопросы определения сроков и стоимости при выборе ИТ-подрядчика и внедрения его услуг и решений в организационные процессы, не приводится описания сложности использования рекомендованных практик, кроме того, также не приведены известные и считающиеся надёжными на рынке поставщики ИТ-услуг с указанием их преимуществ и недостатков.

В российской практике исследования характеризуются общими вопросами состояния защиты данных в облачных системах и вычислениях, предлагаются идеи построения защищённых облачных сервисов и облачных операционных систем, а также анализируются методы обеспечения безопасности облачной инфраструктуры. В монографическом исследовании «Защита данных в облачных технологиях» [27] авторов Евдокимова А.А. и Тихонова Э.Е. рассматриваются перечисленные вопросы, а также исследованы существующие способы обмена сообщениями и документами с высокой производительностью, проанализированы протоколы аутентификации и конфиденциальных вычислений, в результаты чего сделаны выводы об их уязвимости и невозможности применения в облачных операционных системах. Авторы также предлагают ряд моделей и способов разработки облачной операционной системы, обработки данных в облачных системах, распределения облачных ресурсов между задачами, управления облачной ОС, обеспечения отказоустойчивости облачной ОС, обеспечения защиты данных в облачных системах. Также предложен ещё ряд механизмов по работе и обмену данными в облачных ОС.

Также подобные вопросы рассматриваются в исследованиях Никольского А.В., Туманова Ю.М., Молякова А.С., Одегова С.В. Их работы направлены на анализ существующих уязвимостей облачных систем и средств виртуализации и на разработку способов обеспечения защиты от атак на облачные среды, а также мер по снижению рисков информационной безопасности облачных сервисов.

Однако, среди российских исследований не найдены работы по данной проблематике, направленные на особенности существующих устоявшихся принципов взаимодействия с ИТ-поставщиками, определяющие порядок действий при выборе ИТ-поставщика и перечня ИТ-услуг, передаваемого на аутсорсинг, возможные существующие риски, угрозы и уязвимости с предложением мер, рекомендуемых к применению для повышения эффективности обеспечения информационной безопасности организации.

ГЛАВА 2. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ ИТ-УСЛУГ В КОМПАНИИ ООО «ЭРЕНДАЙ ГРУП»

2.1 Проблема обеспечения информационной безопасности при передаче ИТ-услуг на аутсорсинг в компании ООО «Эрендай Груп»

Компания ROOM485 с юридическим названием ООО «Эрендай Груп» основана в 2014 году как креативное пространство, входящее в группу рекламных компаний Red Communication Group (далее - RCG). Организация занимается разработкой творческих решений для всей группы компаний RCG и постоянных клиентов, основываясь на инновационных и актуальных решениях в сфере креатива и Digital.

Основными направлениями деятельности компании являются:

· Разработка и реализация дизайн-макетов;

· Разработка сайтов и приложений;

· Реализация digital-активностей;

· Разработка брендинга и айдентики;

· Разработка нейминга и копирайта;

· Разработка видео-решений;

· Разработка иллюстраций и 3D;

· Анализ рынка и существующих трендов;

· Разработка digital-стратегий.

Основной целью своей деятельности организация ROOM485 определяет трансформацию клиентских проблем в успешный бизнес, основываясь на креативной терапии, совмещающей искусство, стратегию и digital-элементы при создании уникального клиентского продукта.

В компании существует несколько функциональных отделов:

1. Креативный департамент, включающий в себя стратегов, арт-директоров и дизайнеров. В отделе насчитывается 15 сотрудников.

2. Копирайт-департамент, куда входят сениор-копирайтеры, копирайтеры и джуниор-копирайтеры. Отдел включает 7 сотрудников.

3. Digital-отдел аккумулирует менеджеров ИТ-проектов, аналитиков, разработчиков и digital-маркетологов. В отделе находится 10 сотрудников.

4. Отдел видео-продакшена включает в себя режиссёров, операторов и видеомонтажёров. В данном отделе насчитывается 5 сотрудников.

В ROOM485 в качестве формата работы над проектами практикуется объединение ответственных за проект исполнителей во главе с руководителем проекта в команду, занимающуюся разработкой идей и дальнейшей реализацией заказа клиента. При этом каждый сотрудник компании одновременно может входить в несколько проектных команд.

В компании не существует жёсткой иерархии и специализации задач, кроме того, практикуется неформальное общение среди сотрудников организации. Также стоит отметить отсутствие разработанных корпоративных политик, регламентов деятельности сотрудников и рабочих инструкций.

Компания ROOM485 использует для обеспечения функционирования своих бизнес-процессов программное обеспечение 1С Финансист. Для хранения внутренних данных (договора, конфиденциальная информация, клиентская информация) организация задействует собственные серверные мощности.

Для обеспечения устойчивой работы сотрудников-исполнителей используется специализированное лицензированное ПО, а также внедряется в практику использование облачных систем и технологий. Для обеспечения качественного управления проектами практикуются различные форматы работы: статус-митинги, встречи, совещания, обмен информацией по электронной почте, использование мессенджеров, а также облачных решений для организации совместной работы над проектами и хранения данных. В том числе, компания использует следующие облачные сервисы: Jira, Trello, Google Диск и GitHub.

Организация ROOM485 работает с крупными FMCG-клиентами, такими как:

· Philip Morris,

· Unilever,

· Bacardi,

· Roche,

· PepsiCo,

· Mondelez International,

· Cordiant,

· Bosh,

· Ikea,

· Swatch,

· Tele2,

· GM,

· Heineken,

· Leroy Merlen.

Кроме того, среди клиентов организации насчитывается несколько банковских представителей: Альфа банк, Рокетбанк, Тинькофф, - для которых компания периодически ведёт разработку и реализацию креативных концепций

Из описания профиля компании ROOM485 можно сделать вывод о том, что компания передаёт часть ИТ-услуг поставщикам различных ИТ-решений - таким образом, критически важная для ведения бизнеса информация и конфиденциальные данные размещены на серверах провайдеров ИТ-услуг. Это означает, что перечисленные выше данные могут быть подвержены угрозам в сфере информационной безопасности облачных систем и средств виртуализации.

В организации не существует классификации информационных объектов, которые необходимо защищать от возможных угроз; не составлены перечни возможных рисков, угроз и уязвимостей в сфере информационной безопасности облачных сервисов; не разработаны и не приняты методы выбора поставщика ИТ-услуг, способного обеспечить требуемый уровень качества предоставляемых услуг; не разработаны регламенты по взаимодействию с провайдерами ИТ-услуг, регламенты работы сотрудников компании ROOM485 в облачных средах, регламенты по обмену критически важными данными между системами и с клиентом, регламенты выдачи доступов в облачные системы и хранилища данных.

В организации ROOM485 не регламентированы процессы, связанные с обеспечением информационной безопасности при работе с облачными системами, сотрудники не проинформированы о возможных рисках и угрозах информационной безопасности, нет квалифицированных специалистов в сфере ИБ, не производится мониторинг возможных нарушений информационной безопасности. Таким образом, можно сделать вывод, что непрерывность и целостность бизнеса ROOM485 находится под угрозой в связи с возможными утечками данных и кибератаками на облачные системы и сервисы виртуализации. При этом ущерб, который может понести компания при наступлении таких событий, оценивается высоко: утечка данных клиентов, потеря репутации и потеря прибыли.

Данная работа направлена на проведение классификации объектов защиты, существующих рисков и угроз при использовании облачных сервисов и средств виртуализации, составление рекомендаций по выбору поставщиков ИТ-услуг и рекомендаций по разработке соглашения об уровне и качестве предоставляемых ИТ-услуг с учётом существующих международных стандартов в области информационной безопасности, а также специфики российской действительности и законодательства РФ.

Классификация объектов защиты, их мест расположения, угроз и уязвимостей. В соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-ФЗ под объектом защиты информации понимается информация или носитель информации, или информационный процесс, которую(-ый) необходимо защищать в соответствии с целью защиты информации.

Проанализировав вышеуказанный Федеральный Закон, а также Указ Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера" и ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», можно привести классификацию информационных объектов защиты по нескольким основаниям:

1. По категории доступа: общедоступная информация и информация ограниченного доступа (в соответствии с федеральными законами доступ к такой информации ограничивается). Второй категории принадлежит информация, отнесённая к государственной тайне, и конфиденциальная информация. К конфиденциальной информации относится следующий перечень её видов:

a. Персональные данные;

b. Тайна следствия и судопроизводства;

c. Служебная тайна;

d. Профессиональная тайна;

e. Коммерческая тайна;

f. Сведения о сущности изобретения.

2. По предоставлению и распространению информация делится на следующие виды: свободно распространяемая; предоставляемая по соглашению лиц, участвующих в соответствующих отношениях; подлежащая предоставлению и/или распространению в соответствии с федеральными законами РФ; ограниченная и/или запрещённая к распространению.

3. По форме существования: на бумажном носителе (написанная или напечатанная), в электронном виде, передаваемая по электронной почте или с использованием других электронных средств связи, хранящаяся на плёнке, передаваемая в устном формате.

На основании вышеприведённого подхода к классификации объектов информационной защиты будет проведена классификация объектов на предприятии ООО «Эрендай Груп». Данный подход позволяет обеспечить составление наиболее полного перечня объектов защиты и выявление всех необходимых документов в различных видах и формах существования.

К угрозам информационной безопасности на основании модели угроз безопасности, разработанной ФСТЭК Российской Федерации, по виду защищаемой информации решено отнести следующие:

· Угрозы речевой информации;

· Угрозы видовой информации;

· Угрозы информации, обрабатываемой в ТСОИ;

· Угрозы информации, обрабатываемой в АС.

По способам реализации можно выделить следующие угрозы:

· Угрозы специальных воздействий:

o Механического;

o Химического;

o Акустического;

o Биологического;

o Радиационного;

o Термического;

o Электромагнитного (электрическими импульсами, электромагнитными излучениями, магнитным полем);

· Угрозы несанкционированного доступа:

o Угрозы, реализуемые с применением программных средств операционной системы;

o Угрозы, реализуемые с применением специально разработанного ПО;

o Угрозы, реализуемые с применением вредоносных программ;

· Угрозы утечки информации по техническим каналам:

o По радиоканалу;

o По электрическому каналу;

o По оптическому каналу;

o По акустическому (вибрационному) каналу;

o По смешанным (параметрическим) каналам;

o Угрозы утечки речевой информации;

o Угрозы утечки видовой информации;

o Угрозы утечки информации по каналам ПЭМИН.

По используемой уязвимости выделяют следующие угрозы:

· С использованием уязвимости системного ПО;

· С использованием уязвимости прикладного ПО;

· С использованием уязвимости, вызванной наличием в АС аппаратной закладки;

· С использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;

· С использованием уязвимости, вызванной недостатками организации ТЗИ от НСД;

· С использованием уязвимости, обуславливающих наличие технических каналов утечки информации;

· С использованием уязвимостей СЗИ.

Использование вышеприведённой классификации позволяет наиболее полно охватить существующие угрозы защиты информационной среды на предприятии. На основании приведённого подхода для компании ООО «Эрендай Груп» будет составлен перечень угроз защиты информации в компании при аутсорсинге ИТ-услуг.

К источникам угроз можно отнести антропогенные источники (то есть человек как источник угрозы), техногенные (технические средства как результат развития цивилизации и технологий) и стихийные (имеющие непреодолимую силу). При рассмотрении и составлении перечня угроз для компании ООО «Эрендай Груп» будут учтены все три вида источников угроз.

Наконец, за основу классификации уязвимостей информационной безопасности взяты объективные, субъективные и случайные уязвимости.

К объективным уязвимостям относятся:

· сопутствующие техническим средствам излучения (электромагнитные, электрические, звуковые);

· активизируемые (аппаратные и программные закладки);

· определяемые особенностями элементов (обладающие электроакустическими преобразованиями и подверженные воздействию электромагнитного поля);

· определяемые особенностями защищаемого объекта (местоположением объекта и организацией каналов обмена информацией).

К субъективным уязвимостям относятся:

· Ошибки (при подготовке и использовании ПО, при управлении сложными системами и при эксплуатации технических средств);

· Нарушения (режима охраны и защиты, режима эксплуатации технических средств, режима использования информации, режима конфиденциальности).

К случайным уязвимостям принадлежат:

· Сбои и отказы (технических средств, носителей информации, ПО и электроснабжения);

· Повреждения (жизнеобеспечивающих коммуникаций, ограждающих конструкций).

При рассмотрении вопроса классификации уязвимостей информационной безопасности на предприятии ООО «Эрендай Груп» при взаимодействии с поставщиками ИТ-услуг будут учитываться только субъективные и случайные уязвимости из приведённой классификации. Именно вследствие наличия последних двух типов уязвимостей в организации возрастают риски реализации угроз при взаимодействии с облачными провайдерами. Объективные угрозы могут рассматриваться в модели обеспечения информационной безопасности на предприятии при условии, что все технические средства и ПО находятся на территории компании, а их обслуживание полностью обеспечивается ИТ-службой данной организации.

По описанным выше классификациям объектов защиты, их носителей, угроз, источников угроз и уязвимостей будут составлены соответствующие модели для организации ООО «Эрендай Груп».

2.2 Методика выбора поставщика ИТ-услуг и анализ существующих подходов к составлению SLA

При выборе поставщика ИТ-услуг, а именно облачного провайдера, необходимо определить ряд критериев, на основании которых будет осуществляться сравнение и финальный отбор одного или нескольких поставщиков тех или иных ИТ-услуг.

В ITIL подробно описаны определение трёх типов поставщиков ИТ-услуг, а также процесс определения, какой тип поставщика услуг будет подходить определённой компании посредством ответа на несколько вопросов. Кроме того, подробно описаны процессы управления поставщиками, когда уже определён перечень поставщиков ИТ-услуг в конкретной организации. Преимуществом данного подхода является возможность внедрения в организацию подходов по управлению одним или несколькими поставщиками, контролю их действий и установлению доверительных и взаимовыгодных отношений. Однако, недостатком приведённого подхода в библиотеке ITIL является отсутствие как такого этапа определения и выбора поставщика ИТ-услуг, с которым организация может в дальнейшем работать. При описании процесса управления поставщиками приводится 3 фактора, влияющих на выбор поставщика ИТ-услуг: предыдущие достижения (опыт поставщика), текущие возможности (предоставляемые услуги, решения и используемые технологии) и отзывы о поставщике от других организаций-заказчиков. Данный список факторов выбора поставщика ИТ-услуг не может считаться полным, так как существует ряд ключевых показателей, не приведённых в данном подходе.

На основании собственного опыта и проведённого внутри организации ООО «Эрендай Груп» опроса ключевых сотрудников предложен следующий список критериев выбора поставщика ИТ-услуг:

1. Опыт поставщика ИТ-услуг: данный фактор включает в себя количество и сложность реализованных проектов и управления бизнес-процессами клиентов конкретного поставщика, а также количество и основные характеристики (масштаб компании, количество сотрудников, схожесть с деятельностью организации, выбирающей ИТ-поставщика и пр.) клиентов.

2. Репутация и надёжность поставщика ИТ-услуг: отзывы клиентов о поставщике, степень удовлетворения потребностей клиентов в их бизнес-целях и задачах.

3. Предоставляемые услуги и навыки: определение списка предоставляемых услуг данным поставщиком необходимо для решения вопроса о количестве поставщиков ИТ-услуг в компании.

4. Гибкость и масштабируемость: возможность поставщика ИТ-услуг подстраиваться под изменяющиеся потребности клиента.

5. Стоимость: данный критерий необходим для сравнения стоимостных затрат на использование одной и той же услуги у разных поставщиков. Очевидно, что организация при прочих равных будет стремиться сократить свои расходы на поставщиков.

6. Качество обслуживания: условия предоставления и реализации технической поддержки и обслуживания компании-заказчика.

7. Соответствие деятельности поставщика ИТ-услуг и его услуг международным и национальным стандартам в области информационной безопасности: определение перечня стандартов и законов, действующих на территории компании-заказчика, соответствие требованиям которых необходимо и / или желательно соблюсти поставщику ИТ-услуг. Это приобретает критическую важность при использовании в предоставляемых поставщиком ИТ-услугах персональных данных, а также хранении и обработке информации ограниченного доступа.

В соответствии с приведённым перечнем факторов, влияющих на выбор поставщика ИТ-услуг, в частности облачного провайдера, для организации ООО «Эрендай Груп» будет составлен перечень вопросов, возможных вариантов ответа и регулирующих договоров и стандартов для осуществления выбора поставщика ИТ-услуг, который будет соответствовать бизнес-целям организации и требованиям к обеспечению защиты информации при передаче ИТ-услуг на аутсорсинг.

Анализ подходов к составлению Соглашения об уровне обслуживания. Первоисточником понятия SLA (Service Level Agreement), или Соглашения об уровне услуг, принято считать библиотеку ITIL v3. При описании процесса управления уровнем услуг вводится понятие данного соглашения как договора между заказчиком услуги и поставщиком, в котором определены показатели качества предоставляемой услуги. Согласно данному стандарту, в SLA включают показатели качества, ответственности сторон и порядок предоставления услуги от поставщика заказчику. Существенным недостатком описанного подхода является отсутствие рекомендаций и / или подхода к формированию структуры данного документа. Кроме того, описание дано очень общее, на основании которого нельзя однозначно определить, что следует или не следует включать в структуру SLA, какие основные показатели и метрики должны / могут использоваться, какое желательное распределение ответственности между сторонами договора и пр. Исходя из этого, невозможно однозначно определить разницу в подходах к составлению SLA в зависимости от типа поставщика ИТ-услуги. Однако, стоит отметить, что в ITIL подробно описывается процесс управления уровнем услуг, в рамках которого обозначены этапы жизненного цикла данного процесса и описано взаимодействие между поставщиком и заказчиком ИТ-услуги с помощью составленного Соглашения.

В целом, анализируя передовые практики составления Соглашения об уровне обслуживания, необходимо отметить, что существует ряд недостатков в применяемых подходах в отношении разработки данного документа между заказчиком и облачным сервисом. Они представлены ниже:

...