Опросник поставщика ИТ-услуг

Соответствующие регулируемые риски

Тема

Вопрос

Возможные варианты ответа

Отражение информации

Организационная безопасность, структура и риск-менеджмент

Каким образом облачный провайдер управляет рисками сетевой и информационной безопасности, связанными с облачным сервисом?

Общая политика и подход к управлению рисками безопасности

Наличие сертификации в отношении стандартов управления рисками информационной безопасности, включая заявление о сфере применения

Несогласованность политик безопасности элементов облачной инфраструктуры; общедоступность облачной инфраструктуры

Наличие или отсутствие контактных центров по инцидентам безопасности

Опубликованные аудиторские отчёты независимых аудиторов

Наличие или отсутствие критической зависимости поставщика облачных ИТ-услуг от третьих лиц

Наличие самостоятельно проведённой оценки по отраслевому стандарту и/или передовой практике

Соответствие передовым практикам и/или отраслевым стандартам в области управления рисками

Прочее

Обязанности и обязательства в сфере безопасности

Какие задачи безопасности выполняются поставщиком ИТ-услуг и какой тип инцидентов безопасности смягчается провайдером (а какие задачи и инциденты остаются под ответственностью заказчика)?

Активы находятся в зоне ответственности провайдера ИТ-услуг

Контракт и/или SLA, в которых упомянуты соответствующие задачи по безопасности с распределением зон ответственности

Злоупотребление доверием потребителей облачных услуг; потеря доверия к поставщику; злоупотребления возможностями, предоставленными потребителям облачных услуг

Перечень ключевых задач безопасности, выполняемых провайдером ИТ-услуг: выкатка патчей, обновление и т.д.

Приведённые классификация инцидентов и сроки реагирования на инциденты / восстановления нормальной работоспособности системы

Перечисление примеров инцидентов, попадающих под ответственность провайдера

Финансовая компенсация в случае наступления инцидентов безопасности соответствующими сторонами

Перечень задач и обязанностей, за которые несёт ответственность заказчик

Непредвиденные обстоятельства и резервные копии

Каким образом провайдер облачных ИТ-услуг противостоит катастрофам и стихийным бедствиям, затрагивающим центры обработки данных и / или соединения, и какие данные подлежат резервному копированию, а также куда выполняется резервное копирование?

Политика и меры обеспечения физической безопасности (резервное питание, огнетушители и т.д.)

Соответствующие положения, включённые в контракт / договор и / или SLA

Кража и/или потеря устройства

Избыточность сети, географическая распределённость, зоны доступности, контроль доступа

KPI по времени на восстановление облачных систем и ресурсов

Сбои и отказы

Резервные копии и механизмы обеспечения отказоустойчивости

Перегрузка систем

Планы аварийного восстановления

Правовые, нормативные и административные вопросы

Каким образом гарантируется безопасность облачного сервиса при наличии правовых вопросов и / или административных споров?

Непрерывность обслуживания в случае юридических вопросов, административных споров, банкротства, конфискации имущества / данных правоохранительными органами и т.д.

Соответствующие положения о доступе к данным в договоре и / или SLA

Административные и/или юридические проблемы

Реализация экспорта гарантированных данных

Отказ от решения правовых вопросов и административных споров, требующих предоставления доступа к данным заказчика и резервным копиям

Безопасность персонала

Как провайдер гарантирует, что его персонал работает надёжно?

Наличие обучения и / или сертификации ключевых позиций и ролей среди персонала провайдера

Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ

Физический НСД

Проведение тестирования на проникновение (p-тест) и тестирования социальной инженерии и предоставление соответствующих результатов

Соблюдение стандарта или передовой практики СМИБ (система менеджмента информационной безопасности, или ISMS - Information Security Management System)

Атаки на социальную инженерию

Осуществление процедур проверки обеспечения безопасности для высокочувствительных сообщений (обработка конфиденциальных данных)

Управление доступом

Как данные и процессы заказчика защищены от несанкционированного физического и логического доступа?

Предоставление мер по защите от несанкционированного физического доступа

Сертификация и / или самооценка в соответствии со стандартами и / или передовой практикой СМИБ

Потеря управления; незащищённое администрирование облачных услуг; потеря управления облачными ресурсами; "Отказ в обслуживании"

Система обеспечения защиты логического контроля доступа (роли, разрешения, минимизация привилегий, разделение привилегий)

Использование механизмов аутентификации пользователей

Соблюдение стандартов и / или передовых практик в соответствии со СМИБ

Безопасность ПО

Как провайдер обеспечивает безопасность ПО и какое ПО остаётся в зоне ответственности компании-заказчика?

Защищённый метод разработки ПО

Информация о прошлых уязвимостях соответствующего программного обеспечения

Наличие уязвимостей в системе безопасности поставщиков ИТ-услуг

Процесс управления уязвимостями (контактные точки для уязвимостей, время для отчёта и т.д.)

Отчёты о наличии уязвимостей

Обучение разработчиков - сотрудников компании-поставщика ИТ-услуг

Результаты независимых аудитов программного обеспечения

Сетевые атаки

Процедуры выкатки исправлений и обновлений

Меры по обеспечению безопасности ПО (например, использование BSIMM или OpenSAMM)

Использование стандартов и / или передовых практик (например, в соответствии с ISO 27034 или его российским аналогом ГОСТ Р ИСО/МЭК 27034-1-2014)

Неправильное GUI и / или API управление

Интерфейсы пользователя, управления и прикладного программирования

Как обеспечивается доступ к GUI и API, а также какие существуют дополнительные меры по защите для администраторов и ролей с высокими привилегиями, использующимися со стороны компании-заказчика?

Перечисление методов аутентификации в GUI и через API

Технические документы с описанием интерфейсов и практикуемых методов защиты

Атаки на социальную инженерию

Меры защиты для интерфейсов администратора

Неправильное GUI и / или API управление

Процессы аутентификации для интерфейса администрирования

Кража и / или потеря устройств

Ограничения по IP, роли и привилегии администратора

Мониторинг и логирование

Как заказчик может контролировать предоставляемую ИТ-услугу, какие журналы хранятся и как их можно получить, например, когда заказчику необходимо проанализировать инцидент?

Панель мониторинга с доступом к мониторингу производительность системы

Соответствующий пункт в SLA о наличии журналов транзакций

Неправильное GUI и / или API управление

Журналы транзакций и журналы производительности

Предупреждения / оповещения и триггеры для уведомления

Взаимодействие и портативность

Какие стандарты делают облачное обслуживание портативным и совместимым с другими системами?

Стандарты интерфейса и форматы данных для графических интерфейсов, API, экспорта, приложений, кода, виртуальных машин и т.д.

Соответствующие положения в контракте или SLA

Потеря управления облачными ресурсами; блокировка поставщика в результате его несоответствия требованиям законодательства

Аудиторские отчёты, сертификаты, отчёт о произведённой самооценке с указанием соответствия стандартам

Масштабирование, калибровка и затраты

Как происходит увеличение использования задействованных ресурсов и обработка пиковых значений, а также каковы соответствующие затраты?

Примеры сценариев эластичности, калькуляции затрат и т.д.

Соответствующие положения в контракте или SLA

Перегрузка систем

Уведомления о расходах и ограничения выставления счетов

Отчёт о производительности

Неоценённые затраты на работу с поставщиками ИТ-услуг

Соблюдение национального / международного законодательства

Какое национальное законодательство применяется?

Соответствующее национальное законодательство, включая национальные органы, обладающие юрисдикцией для наложения положений

Ссылки на соответствующие законодательства

Несоблюдение национального и иностранного законодательства

Соответствующая иностранная юрисдикция и применимое иностранное законодательство

Расположение центров обработки данных

Применимое законодательство о защите персональных данных