close

Вход

Забыли?

вход по аккаунту

АВГУСТ;pdf

код для вставкиСкачать
Информационная безопасность
в модели аутсорсинга
— Какие существуют риски и как их минимизировать?
© 2014, Гелиос Дата
www.heliosdata.ru
Информационная безопасность
при ИТ-аутсорсинге
Возможные уровни ИТ аутсорсинга
Поддержка бизнесприложений и баз данных
Поддержка ИТ
инфраструктуры
Разработка и доработка
автоматизированных систем
Какие риски при этом существуют?
1. Доступ к чувствительной информации
2. Сложность осуществления контроля за выполнением функций
heliosdata.ru
Угрозы ИБ на различных уровнях
ИТ аутсорсинга
Поддержка бизнесприложений и баз данных
Поддержка ИТ
инфраструктуры
Разработка и доработка
автоматизированных систем
• Утечка структурированной
конфиденциальной
информации
• Утечка конфиденциальной
информации из файловых
хранилищ
• Несанкционированный доступ
к конфиденциальной
информации
• Искажение или уничтожение
информации
• Уничтожение информации в
файловых хранилищах
• Внедрение вредоносных
программных закладок
• Мошеннические действия в
информационных системах
• Несанкционированное
повышение доступа
• Несанкционированное
повышение прав доступа
пользователей
• Нарушение политик
безопасности в ОС и сетевом
оборудовании
heliosdata.ru
Аспекты обеспечение ИБ
Правовые аспекты
• Нормативно-правовое обеспечение
• Контрольные процедуры
Технические аспекты
• Разграничение доступа
• Средства защиты информации
heliosdata.ru
Правовые аспекты обеспечение ИБ
Организационно-нормативная
документация
• Концепция информационной безопасности;
• Политика информационной безопасности;
• Частные политики, регламенты, инструкции.
Договор на обслуживание
• Соглашение об уровнях услуг (метрики обслуживания) • Порядок предоставления программных кодов при
и порядок предоставления услуг;
доработке или разработке ПО и порядок их приёмки;
• Требования к обеспечению конфиденциальности и
ответственность за нарушении требований ИБ;
• Порядок осуществления контроля за выполняемыми
функциями;
• Порядок передачи ИТ систем и оборудования на
обслуживание аутсорсинг-провайдеру;
• Порядок взаимодействия с независимыми аудиторами
при выполнении проверок;
• Порядок взаимодействия с внутренними
подразделениями организации, порядок доступа к
объектам информатизации;
• Порядок действий при прекращении услуг ИТ
аутсорсинга.
heliosdata.ru
Технические аспекты обеспечение ИБ
на разных уровнях ИТ аутсорсинга
Поддержка бизнесприложений и баз данных
• Разграничение доступа на уровне ИТ инфраструктуры и ПО
(принцип минимально-необходимых полномочий)
• Ограничение доступа к настройкам СЗИ
Поддержка ИТ
инфраструктуры
• Средства мониторинга привилегированных учётных записей
• Средства защиты каналов связи для удалённого доступа
• Контроль утечки информации
• Резервное копирование информации
Разработка и доработка
автоматизированных систем
• Разделение программных сред (отсутствие доступа к среде промышленной
эксплуатации)
• Обезличивание информации для целей разработки и проверки функционала ПО
• Средства контроля программного кода, контроля версий для кода и патчей
heliosdata.ru
Ваши действия
при смене аутсорсинг-провайдера
1.Разработать подробный план действий и определить
ответственных лиц;
5. Обеспечить передачу всех исходных программных
кодов разработанного ПО.
2.Провести инвентаризацию информационных и
технических активов;
6. Обеспечить поэтапную передачу сопровождения
и поддержки ИТ систем новому аутсорсингпровайдеру, одновременно с этим:
3.Провести технический аудит ИТ и ИБ инфраструктуры;
4.Убедиться в наличии всей технической документации
на ПО, технические средства обработки информации и
проверить её актуальность;
• обеспечить блокирование или смену паролей
привилегированных учётных записей,
использованных предыдущим аутсорсингпровайдером;
• обеспечить передачу технических и
программных средств, включая ключи или каты
доступа, аппаратные идентификаторы и т.п.
(если необходимо).
• обеспечить смену ключей шифрования.
heliosdata.ru
Гелиос Дата
– делаем качественный сервис доступным!
Позвоните нам!
Мы с удовольствием ответим на Ваши вопросы!
© 2014, Гелиос Дата
www.heliosdata.ru
8-800-707-75-70
[email protected]
1/--страниц
Пожаловаться на содержимое документа