• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Рубрика: Новости

image_pdfimage_print
Новости

Политика использования открытого программного обеспечения

Апр 26, 2025 #open source, #открытое ПО, #политики безопасности от GlobalTrust.ru

GlobalTrust продолжает публиковать основные положения организационно-распорядительных документов по обеспечению информационной безопасности, чтобы помочь организациям глубже разобораться и выстроить собственную политику в данной области.

Целью настоящей Политики является определение основных принципов, положений и требований, направленных на обеспечение безопасного использования в Обществе открытого ПО, а также проприетарного ПО, в состав которого входят отдельные компоненты открытого ПО.

Открытое ПО – это программное обеспечение, у которого исходный код доступен всем. На это ПО распространяется специальная свободная лицензия, позволяющая посмотреть, как сделана программа, найти уязвимости и написать что-то совместимое или похожее, или взять какой-нибудь алгоритм и сделать что-то на его основе, или найти недочёт и предложить улучшение.

Риски использования открытого ПО

Использование в Обществе открытого ПО сопряжено со следующими дополнительными рисками:

  • Повышенная вероятность заражения вредоносным ПО. Злоумышленники могут внедрять вредоносные изменения в открытый код. Это может привести к краже конфиденциальной информации, финансовым или репутационным потерям.
  • Задержки с обновлениями. Открытое ПО требует регулярного обновления, так как его уязвимости быстро становятся известными злоумышленникам. Однако обновления ПО могут привести к нестабильности работы приложений или проблемам с совместимостью.
  • Ошибки конфигурации. Открытые системы, такие как базы данных, веб-серверы и контейнерные платформы, требуют грамотной настройки. В случае, если администраторы забывают отключить дефолтные учётные записи, устанавливают слабые пароли или оставляют критически важные сервисы доступными из интернета, это создаёт благоприятные условия для атак.
  • Зависимость от сторонних разработчиков. К разработке отрытого ПО нередко привлекают фрилансеров или небольшие аутсорс-команды, у которых уровень компетенции в вопросах безопасности может существенно различаться. Это увеличивает вероятность использования уязвимого или даже намеренно вредоносного кода.
  • Вероятность изменения условий лицензии. Это влечёт за собой риск нарушения авторских прав и ограничения использования собственной программы на основе открытого кода.

Чтобы снизить риски, связанные с использованием открытого ПО, в Обществе должны тщательно проверяться продукты перед началом их использования, использоваться специальные инструменты для проверки надёжности библиотек, от которых зависит продукт, и быть создан чёткий план действий на случай возникновения проблем с безопасностью.

Нормативные ссылки

Настоящая Политика разработана на основе следующих нормативных документов Общества:

  • Политика информационной безопасности
  • Политика установки обновлений ПО
  • Политика контроля защищенности корпоративной сети
  • Политика обеспечения безопасности при разработке ПО
  • Политика управления информационными рисками
  • Политика инвентаризации информационных активов

Основные положения

Бесконтрольная установка открытого ПО в корпоративной сети сотрудниками Общества не допускается. Контроль установки и обновления открытого ПО осуществляется сотрудниками ОИТ, после анализа данного ПО и принятия соответствующих мер для снижения рисков, сопряженных с его использованием.

Учет используемого в Обществе открытого ПО осуществляется в реестре ПО, формируемого в соответствии с Политикой инвентаризации информационных активов.

Оценка рисков использования открытого ПО осуществляется в соответствии с Политикой управления информационными рисками.

Для снижения рисков использования открытого ПО, в Обществе должны применяться следующие меры:

  • Изучение ПО при выборе. Нужно обратить внимание на репутацию продукта, его историю, узнать о возможных происшествиях, связанных с безопасностью. Также стоит оценить частоту обновлений и активность сообщества. Особое внимание нужно уделить лицензии, под которой распространяется продукт.
  • Проверка надёжности библиотек, от которых зависит продукт. Для поиска вредоносных изменений в программных продуктах могут применяться различные анализаторы программных кодов, статические (SAST) и динамические (DAST).
  • Сканирование приложений на известные уязвимости и оперативное применение доступных исправлений безопасности (патчей, программных коррекций).
  • Оценка зрелости проекта и вероятности его развития/поддержки перед интеграцией в бизнес-процессы и в свой код. Стоит обратить внимание на число разработчиков, сопровождающих проект, и на частоту релизов.
  • Формирование списка приемлемых для организации стандартных лицензий (совместно с юридическим отделом), а также их совместимости с предназначением ПО в организации. ПО с несовместимыми лицензиями или вообще без лицензии нужно выводить из использования.
  • Проверка исходного кода пакетов перед использованием. Разработчики должны проверять исходный код пакетов перед использованием, уделяя внимания таким странным характеристикам, как наличие зашифрованных фрагментов в коде, перехват несвойственных функций и так далее.
  • Проверка цифровых подписей пакетов (при наличии).
  • Использование кода только от официальных поставщиков. Выбирая код от такого провайдера, можно получить техническую поддержку, что снижает риски безопасности.
  • Выстраивать процесс взаимодействия между специалистами СИБ и разработчиками ПО.

Принципы защитного кодирования

Процесс управления жизненным циклом открытого ПО должен соответствовать Политике обеспечения безопасности при разработке ПО.

При выборе открытого ПО для использования в Обществе должна приниматься во внимание степень применения разработчиками данного ПО принципов защитного кодирования.

Принципы защитного кодирования, применяемые для выявления и устранения ошибок и уязвимостей в разрабатываемом ПО, включают в себя следующее:

  • Приоритезация безопасности. Концепция заключается в том, чтобы приоритезировать безопасность на протяжении всего жизненного цикла разработки программного обеспечения. Это помогает обнаруживать и устранять недостатки на ранних стадиях, минимизируя вероятность игнорирования вопросов безопасности из-за сжатых сроков выполнения задач.
  • Проверка входных данных и кодирование выходных данных. Важно проверять все пользовательские вводы и кодировать выходные данные для предотвращения серьёзных уязвимостей.
  • Обработка ошибок и журналирование. Правильная обработка ошибок и ведение журналов является важным аспектом безопасного кодирования. Необходимо избегать раскрытия чувствительной информации в сообщениях об ошибках, которые могут быть видны пользователям.
  • Внедрение элементов управления идентификацией и аутентификацией. Чтобы повысить безопасность и свести к минимуму риск взлома, рекомендуется проверять личность пользователя с самого начала и интегрировать надёжные элементы управления аутентификацией в код приложения.
  • Контроль доступа. Включение хорошо продуманной стратегии авторизации на начальных этапах разработки приложения может значительно повысить общую безопасность.
  • Ведение журнала и обнаружение вторжений. Рекомендуется включить систему мониторинга, которая может обнаруживать и идентифицировать необычные события.
  • Регулярная оценка и пересмотр состояния безопасности. Важно регулярно оценивать и пересматривать состояние безопасности программного обеспечения на протяжении всего жизненного цикла разработки, обеспечивая непрерывное улучшение и корректировку по мере необходимости.

Условия лицензирования открытого ПО

При принятии решения об использовании открытого ПО, сотрудники ОИТ должны проанализировать и зафиксировать в реестре ПО условия его лицензирования, включая субкомпоненты и зависимости.

К используемому в Обществе открытому ПО предъявляются следующие требования по его лицензированию:

  • Доступ к исходным текстам. ПО должно предоставляться с исходными текстами, либо должен быть описан простой механизм получения доступа к ним, например, через интернет.
  • Возможность переработки. Должна быть разрешена модификация ПО, его исходных текстов, их использование в других программах и распространение производных программ на таких же условиях.
  • Отсутствие зависимости от иного ПО. Права, связанные с ПО, не должны зависеть от того, входит ли оно в состав какого-либо иного ПО или распространяется совместно с ним.
  • Отсутствие ограничений на иное ПО. Лицензия не должна накладывать ограничения на иное ПО, распространяемое вместе с лицензируемым ПО.
  • Технологическая нейтральность. Возможность реализации прав пользователя не должна зависеть от какой-либо технологии или стиля интерфейса.

Требования к качеству и обеспечению безопасности открытого ПО

При использовании Обществом открытого ПО предъявляются следующие требования к обеспечению его безопасности:

  • Регулярное тестирование и анализ безопасности. Частота проведения таких мероприятий может варьироваться в зависимости от размера проекта, его популярности и уровня риска.
  • Защита среды и сетевого сегмента, где используется открытое ПО. Это снизит вероятность взлома или использования уязвимостей в открытом ПО при атаке.
  • Применение принципа минимальных привилегий. Принцип ограничения доступа и разграничения прав пользователей помогает предотвратить распространение уязвимостей и потенциальных атак внутри системы.
  • Обучение разработчиков практикам безопасности. Это помогает им понять, как писать безопасный код, выявлять уязвимости и принимать меры безопасности на протяжении всего жизненного цикла разработки программного обеспечения.
  • Учёт регуляторных и лицензионных рисков. Каждое приложение и пакет, несмотря на открытый исходный код, имеет свою лицензию на использование. Риски реализуются, если лицензия оказывается несовместима с использованием приложения по предназначению.
  • Регулярное обновление. Компоненты с открытым исходным кодом, которые не обновляются регулярно, могут сделать программное обеспечение уязвимым к известным уязвимостям.
  • Мониторинг зависимостей. Необходимо регулярно отслеживать и проверять дерево зависимостей ПО, чтобы выявлять и устранять слабые звенья.
  • Использование специальных инструментов для управления зависимостями. Такие инструменты автоматически отслеживают обновления библиотек и зависимостей, проверяя их на наличие известных уязвимостей.
  • Использование специальных инструментов анализа состава ПО (SCA), которые помогают отслеживать компоненты открытого ПО в составе приложения, что существенно с точки зрения безопасности их применения.
  • Использование сканеров безопасности, которые сканируют ПО на наличие уязвимостей, вредоносного кода и устаревших компонентов.
  • Создание чёткого плана действий на случай возникновения проблем с безопасностью.

Анализ уязвимостей открытого ПО, применение сканеров безопасности и других специальных инструментов анализ ПО осуществляется в соответствии с Политикой контроля защищенности корпоративной сети.

Регулярное обновление открытого ПО, тестирование и установка программных коррекций (патчей) и исправлений безопасности осуществляется в соответствии с Политикой установки обновлений ПО.

Полную версию Политики использования открытого ПО можно найти в составе Универсального комполекта типовых документов по информационной безопасности GTS 1035.

Новости

Как получить сертификат ISO 27001

Фев 4, 2025 #ISO 27001, #сертификация от GlobalTrust.ru

В настоящей статье мы рассмотрим основные моменты, связанные с получением организацией сертификата ISO 27001, чтобы помочь широкой аудитории сориентироваться в данном вопросе.

ISO/IEC 27001международный стандарт системы менеджмента информационной безопасности. Он устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Также стандарт содержит требования по оценке и обработке рисков информационной безопасности с учётом потребностей организации. Стандарт носит универсальный характер. Он может применяться практически к любому типу организации, вне зависимости от формы собственности, рода деятельности, размера и внешних условий.

Действующая редакция стандарта ISO 27001

В октябре 2022 года была опубликована 3-я редакция международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Система менеджмента информационной безопасности — Требования». В Российской Федерации в настоящее время действует национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», который идентичен 2-й (предыдущей) редакции международного стандарта ISO/IEC 27001:2013.

Для российских организаций, работающих на внутренний рынок, приоритет имеет сертификация систем менеджмента информационной безопасности (СМИБ) по требованиям национального стандарта, поэтому далее под сертификацией по ISO 27001 подразумевается сертификация на соответствие российскому аналогу ISO 27001 – национальному стандарту РФ ГОСТ Р ИСО/МЭК 27001-2021. Однако следует учитывать, что сертификаты ГОСТ Р ИСО/МЭК 27001-2021 скорее всего не будут признаваться за пределами РФ.

Для чего нужен сертификат ISO 27001

Сертификат ISO 27001 на практике вряд ли может в полной мере гарантировать реальную безопасность организации, однако он подтверждает соответствие внедрённой в организации СМИБ требованиям стандарта. Соответствие стандарту также подтверждает, что организация внедрила систему управления рисками информационной безопасности, и что в этой системе соблюдены все лучшие практики и принципы, закреплённые в стандарте. Это необходимо для обеспечения надёжной защиты данных и снижения рисков, связанных с их утечкой или несанкционированным доступом.

Получая сертификат ISO 27001 организации обычно ставят перед собой слеющие цели:

  • Повышение доверия клиентов и партнёров. Сертификат демонстрирует приверженность компании высоким стандартам информационной безопасности.
  • Возможность участия в тендерах на приоритетных условиях.
  • Снижение рисков и затрат, связанных с инцидентами информационной безопасности.
  • Удовлетворение требований законодательства и нормативных актов (например, законодательства о лицензировании деятельности в области защиты информации).
  • Улучшение репутации и конкурентоспособности компании.
  • Получение возможности работать с государственными организациями (например, по направлению защиты государственной тайны).
  • Выполнение требований некоммерческих партнёрств и СРО.
  • Содействие в получении различных разрешений и допусков.
  • Выход на международный рынок (при условии прохождения сертификации ISO 27001 в международно признанной системе сертификации).

Когда обязательно получать сертификат ISO 27001

В большинстве случаев получение сертификата ISO 27001 является добровольным. Однако в некоторых случаях он может быть обязательным условием для осуществления определенных видов деятельности (и перечень таких видов деятельности имеет тенденцию к постоянному раширению), например:

  • Для экспорта программного продукта. Наличие сертификата ISO 27001 — непременное условие при поставках ПО в другие страны.
  • Для участия в государственных закупках и тендерах. Особенно часто это требование встречается, если заказчик — государственная организация. Однако и частные компании все чаще включают требование к наличию сертификата ISO 27001 в тендерную документацию.
  • Для получения доступа к определённым уровням секретности. Например, если организация сотрудничает с государственными органами и ей нужен доступ к определённым уровням секретности.

Также в некоторых случаях клиенты могут требовать наличия сертификата ISO 27001 от своих поставщиков и подрядчиков как подтверждения соответствия международному стандарту.

Как подготовится к сертификации по ISO 27001

Не вдаваясь в подробности, перечислим основные шаги, необходимые для подготовки к сертификации по ISO 27001:

  1. Определить область действия СМИБ, выносимую на сертификацию. Для этого надо выбрать бизнес-процессы или услуги являющиеся ключевыми для бизнеса компании.
  2. Определить круг лиц (из числа работников организации и третьих сторон), задействованных в обеспечении выполнения выбранных бизнес-процессов или предоставлении услуг.
  3. Оценить ресурсы, которые могут понадобиться для реализации проекта по внедрению ISO 27001, включая человеческие ресурсы (например, компетенции), материальные (чёткий бюджетный план), временные (учесть ожидания заинтересованных сторон по срокам получения сертификата).
  4. Определиться, будет ли компания внедрять стандарт самостоятельно или с привлечением сторонних специалистов консультантов (интеграторов).
  5. Выбрать аккредитованный орган по сертификации и отправить ему запрос на предоставление калькуляции соответствующих услуг.
  6. При выборе самостоятельной подготовки следует пройти обучающие курсы по внедрению стандарта. Их на регулярной основе проводят как органы по сертификации, так и различные учебные центры по направлению ИБ.
  7. Разработать организационно-распорядительную документацию, отражающую процессы и процедуры управления информационной безопасностью. Это могут быть политики, положения, процедуры, регламенты, инструкции, формы отчетности и другие документы, необходимые для эффективного функционирования СМИБ.
  8. Провести обучение сотрудников по вопросам информационной безопасности и требований стандарта ISO 27001 в контексте разработанной документации СМИБ. Чем лучше сотрудники понимают свою роль в обеспечении безопасности информации, тем более эффективно будет функционировать СМИБ.
  9. Провести предварительную проверку (аудит) со стороны независимых экспертов или аудиторов для выявления возможных недочётов и корректировки СМИБ.

Для более подробной консультации по подготовке к сертификации рекомендуется обратиться к специалистам. Например, GlobalTrust была одной из первых российских компаний, начавших предоставлять услуги по внедрению СМИБ и подготовки к сертификации по ISO 27001, а также одним из первых партнеров в России Британского института стандартов (BSI), являющегося основным разработчиком международного стандарта ISO 27001.

Подробнее о внедрении и сертификации СМИБ можно почитать на сайте GlobalTrust, а также в разделе статей Менеджмент безопасности и рисков на портале InfoSecPortal.ru.

Как выбрать орган по сертификации

В настоящие время в России имеется достаточно большое количество органов по сертификации, выдающих сертификаты ISO 27001. Однако следует позаботиться, чтобы полученный организацией сертификат имел официальный статус. Для этого, при выборе органа по сертификации ISO 27001 стоит обратить внимание на наличие государственной аккредитации в Федеральной службе по аккредитации (ФСА). Также важно, чтобы орган проводил процедуру сертификационного аудита в системе сертификации, зарегистрированной в Росстандарте.

Процедура получения сертификата ISO 27001

Процедура сертификации ISO 27001 регламентируется системой сертификации и зарегистрированными в ней органами по сертификации. Как правило, для получения сертификата ISO 27001 необходимо пройти несколько этапов:

  1. Предварительная консультация. На этом этапе можно получить бесплатную консультацию в органе по сертификации.
  2. Заполнение заявки на сертификацию и ее отправка в орган по сертификации.
  3. Подготовка необходимой документации. Список документов орган по сертификации огласит на этапе консультации.
  4. Подписание договора и оплата за сертификацию.
  5. Процесс сертификации. Может включать в себя предварительных аудит и несколько этапов основного сертификационного аудита, в зависимости от выбранной схемы сертификации.
  6. Внесение сертификата в реестр системы сертификации (в случае принятия положительного решения по результатам сертификационного аудита).
  7. Выдача сертификата ISO 27001 заказчику.

Вместо заключения

Желаем успешного прохождения сертификационного аудита и получения сертификата ISO 27001! Он Вам понадобится и ни один раз.

Новости

Аутсорсинг информационной безопасности в России и что о нем надо знать

Янв 23, 2025 #аутсорсинг от GlobalTrust.ru

Аутсорсинг информационной безопасности (ИБ-аутсорсинг) — это передача на постоянной основе определённых функций или задач по защите от внешних и внутренних угроз сторонней компании.

По различным оценкам объём российского рынка аутсорсинга услуг в области информационной безопасности может составлять около 15 млрд рублей. Из них около 10 приходится на сегмент Managed Security Service Provide (MSSP), а оставшиеся 5 млрд рублей — на сегмент SECaaS (аренда сервисов ИБ по подписке из облака).

В настоящее время уже около 80% российских компаний пользуются теми или иными видами услуг ИБ-аутсорсинга. Это особенно актуально для малого и среднего бизнеса, где экономически нецелесообразно содержать собственный штат специалистов.

Российский рынок ИБ-аутсорсинга и дальше продолжит развиваться в сторону увеличения объемов рынка и повышения уровня зрелости его участников. Некоторые другие прогнозы развития рынка:

  • Улучшение качества и доступности услуг. Благодаря увеличившейся конкуренции, можно наблюдать тенденцию к улучшению качества и доступности услуг.
  • Развитие технологий. ИИ позволит более точно анализировать данные, их источники и аномалии, а также значительно быстрее реагировать на угрозы.
  • Стандартизация сложных aдутсорсинговых услуг. Стек технологий будет продолжать эволюционировать, предлагая новые возможности для оптимизации и инноваций.

Таким образом ИБ-аутсорсинг будет играть все более заметную роль в обеспечении корпоративной информационной безопасности. В связи с этим, рассмотрим основные моменты, которые заказчику следует принимать во внимание для принятия решения о передаче на аутсорсинг тех или иных процессов и систем ИБ.

Какие процессы ИБ можно и какие нельзя передавать на аутсорсинг

В состав ИБ-аутсорсинга может входить большинство процессов менеджмента ИБ, а также эксплуатации и сопровождения средств и систем защиты инфомрации. В их числе:

  • Комплаенс. Анализ соответствия требованиям законодательства и регуляторов в области информационной безопасности.
  • Управление рисками информационной безопасности. Оценка и обработка рисков. Формирование реестров активов и рисков, моделей угроз, планов обработки рисков.
  • Сопровождение системы обеспечения информационной безопасности. Контроль функционирования системы защиты информации, в том числе разграничения доступа к данным, управление учётными записями работников, настройка SIEM, DLP, антивирусных средств и т.д.
  • Реагирование на инциденты информационной безопасности, экспертный анализ свидетельств и данных об инциденте, подготовка отчётности для предоставления в федеральные органы исполнительной власти.
  • Сопровождение проверок регуляторов. Определение необходимых и приоритетных мероприятий в рамках исполнения установленных предписаний и консультации по составлению ответов на запросы регуляторов.
  • а также прочие процессы в рамках системы менеджмента информационной безопасности (СМИБ)

Решение о том, какие процессы информационной безопасности передать на аутсорсинг, должно приниматься руководством компании на основе индивидуальной оценки рисков.

Однако существуют процессы информационной безопасности, которые не рекомендуется передавать на аутсорсинг. К таким процессам можно отнести, в том числе, следующее:

  • Функции, относящиеся к стратегическому уровню безопасности. Например, принятие рисков, планирование развития информационной безопасности в компании, контроль ключевых метрик и показателей эффективности ИБ.
  • Управление доступом. В части согласования прав доступа.
  • Процессы и системы, нанесение ущерба которым может привести к фатальным для бизнеса ситуациям. Это сверхкритичные системы, содержащие ноу-хау, обеспечивающие конкурентные преимущества, хранящие и обрабатывающие персональные данные клиентов и прочую важную для компании информацию. Доступ к таким системам должен контролироваться особо.
  • Служебные расследования. Их нельзя полностью передавать на аутсорсинг, так как есть риск возникновения инцидента по вине специалиста аутсорсера.

Какие виды ИБ-аутсорсинга распространены в России

В настоящее время в России распространены главным образом следующие виды ИБ-аутсорсинга:

  • Управление уже приобретёнными системами защиты. Заказчик сначала покупает средства безопасности, а потом задумывается о том, как ими управлять.
  • Сдача ИБ-оборудования в лизинг или аренду. Это позволяет заказчику снизить налоги, уменьшить срок амортизации и своевременно обновлять систему защиты.
  • Centrex-модель. Система защиты располагается на территории аутсорсинговой компании. Такая модель допустима для услуг отражения DDoS-атак, инспекции электронной почты и Web-трафика, сканирования безопасности и ряда других.
  • Классический аутсорсинг MSSP (Managed Security Service Provider). Компания заказывает себе сервис ИБ на базе определённого набора средств защиты. Эксплуатацию инструментов берёт на себя MSS-провайдер.
  • Облачный аутсорсинг SECaaS (Security-as-a-Service). Заказчик покупает для себя услуги ИБ в облаке провайдера. Их эксплуатацией, подразумевающей тонкую донастройку и мониторинг, занимается сам провайдер.

Кроме того, набирают популярность такие виды ИБ-аутсорсинга как:

Каким организациям и для чего нужен ИБ-аутсорсинг

Тот или иной вид ИБ-аутсорсинга может быть выгоден самым разным компаниям, в зависимости от конкретных целей и задач.

Для небольших организаций такой формат обеспечения ИБ – это порой единственный способ удовлетворительно решить вопрос с защитой информации, например возможны следующие ситуации:

  • в компании нет DLP-системы и службы безопасности, но потребность защищать данные назрела (более 50 компьютеров, работа с персональными данными, конкурентный рынок — есть опасность похищения производственных секретов или клиентских баз);
  • в компании есть DLP-система, но её некому обслуживать;
  • в компании есть служба безопасности, но она занимается физической или экономической безопасностью, а на ИБ времени не хватает.

Для крупных компаний аутсорсинг помогает решать задачи в области ИБ более эффективно, выделяя отдельный набор процессов, реализация которых без внешней помощи проблематична. Например, организация защиты от DDoS.

Как формируется стоимость услуг ИБ-аутсорсинга

Стоимость услуг аутсорсинга информационной безопасности определяется индивидуально для каждого клиента. При этом состав и содержание работ формируются на основе экспертного анализа существующей информационной инфраструктуры, систем обработки и защиты информации, опроса сотрудников компании, анализа внутренних нормативных документов и применимых требований к обеспечению безопасности.

На стоимость услуг аутсорсинга информационной безопасности влияют различные факторы, в том числе:

  • Масштаб подключаемой инфраструктуры и объём работ. Например, для оценки численности группы мониторинга нужно рассчитать общую плановую трудоёмкость в человеко-днях, исходя из ожидаемого потока событий ИБ и среднего времени обработки одного события.
  • Операционные расходы. К ним относятся затраты на продление технической поддержки оборудования и ПО, подписки и лицензии.
  • Базовая стоимость услуги. Например, в случае SIEM, её можно рассчитать, разделив совокупную стоимость владения (ТСО) с учётом повышающего коэффициента на расчётное количество событий в секунду (EPS), которое поступает от информационных систем и средств защиты.
  • Перечень источников клиента и соответствующее им количество EPS. Это позволяет сформировать итоговую стоимость услуги, зная базовую стоимость для 1 EPS.
  • Норма прибыли и повышающие коэффициенты. Они учитываются при формировании тарифов на услуги.

Преимущества и недостатки ИБ-аутсорсинга

При принятии решение о переводе ряда ИБ процессов на аутсорсинг компаниям приходится взвешить все за и против. К преимуществам ИБ-аутсорсинга можно отнести следующее:

  • Оптимизация затрат. Найм собственного персонала для выполнения определённых задач может быть дорогостоящим, в то время как аутсорсинг позволяет компаниям экономить на зарплатах, социальных отчислениях, аренде офисного помещения и т.д..
  • Концентрация на основной деятельности. Аутсорсинг помогает компаниям сконцентрироваться на своём основном бизнесе, освобождая ресурсы и время для развития ключевых компетенций.
  • Получение доступа к экспертным знаниям. Обращаясь за аутсорсингом, компания получает доступ к высококвалифицированным специалистам и экспертам в определённых областях.
  • Гибкость и масштабируемость. Подрядчик может легко адаптироваться к потребностям компании, предоставляя дополнительные ресурсы или, наоборот, сокращая объём услуг.
  • Увеличение скорости выполнения работ. Привлечение специалистов, находящихся на аутсорсе, может значительно сократить время, необходимое для выполнения определённых задач.

Кроме того, при ИБ-аутсорсинге часть ответственности за обеспечение ИБ и выполнение требований законодательства РФ перекладывается на экспертную организацию, что способствует минимизации рисков.

В то же самое время ИБ-аутсорсинг привносит и новые риски, которые следует принимать в расчет. К недостаткам ИБ-аутсорсинга можно отнести:

  • Риск утечки данных. Передавая конфиденциальные данные стороннему поставщику, компания должна быть уверена в его надёжности.
  • Некачественное предоставление услуг. Недобросовестные исполнители могут предоставлять неполные или недостаточно эффективные сервисы, что приведёт к неудовлетворительным результатам для заказчика.
  • Зависимость от поставщика услуг. В случае расторжения договора компания может на какое то время остаться без надлежащей защиты.
  • Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика, что требует времени на согласование всех нюансов и порождает дополнительные сложности.
  • Ослабление контроля критичных процессов. При аутсорсинге на долю заказчика ложиться только верхнеуровневый контроль в рамках договора.

Как снизить риски ИБ-аутсорсинга

Для того, чтобы снизить риски аутсорсинга информационной безопасности и в полной мере воспользоваться его преимуществами, рекомендуется выполнить следующие шаги:

  • Тщательно выбрать провайдера услуг. Стоит обратить внимание на опыт, репутацию и финансовую стабильность компании. Также нужно убедиться, что провайдер располагает чёткими, хорошо проработанными соглашениями об уровне сервиса (SLA) и предоставляет надёжные гарантии безопасности.
  • Проработать условия и договор с провайдером. В нём должны быть прописаны правила отчуждения, чтобы контент и результаты оказания услуг всегда оставались у заказчика.
  • Заключить с провайдером соглашение о неразглашении конфиденциальной информации (NDA). Оно поможет снизить риск утечки данных.
  • Заблаговременно продумать процесс смены провайдера. Чтобы в случае расторжения договора компания не осталась без защиты.
  • Прописать в договоре обязательство подрядчика документировать внедряемую систему, оказываемые услуги и реализуемые процессы ИБ. Также можно прописать для него создание комплекта рабочих регламентов для сотрудников.

Кроме того, рекомендуется регулярно оценивать потенциал поставщика услуг, чтобы убедиться, что он в состоянии выполнять свои обязательства.

Распределение ответственности при ИБ-аутсорсинге

При аутсорсинге информационной безопасности необходимо уделить особое внимание распределению ответственности за выполнение бизнес-функций и соответствующие нарушения. В целом, ответственность обычно распределяется следующим образом:

  • Руководство компании. Устанавливает политику и программу аутсорсинга, механизмы контроля уровня риска нарушения информационной безопасности в рамках соглашений с поставщиком услуг.
  • Куратор со стороны заказчика. Содействует специалистам по ИБ-аутсорсингу, держит с ними связь и принимает решения по выявленным нарушениям. На эту роль обычно назначают руководителя либо рядового сотрудника службы безопасности или системного администратора.
  • Поставщик услуг. Его обязанности и критерии их исполнения прописаны в соглашении об уровне сервиса (SLA), которое заключается между компанией и аутсорсером. Нарушение подрядчиком зафиксированных в SLA договорённостей означает нарушение договора аутсорсинга, и снимает с заказчика обязательства по оплате услуг.

При этом следует учитывать, что передача выполнения определенных бизнес-функций на аутсорсинг не снимает с компании-заказчика ответственности за возможные инциденты ИБ, утечки информации или невыполнение требований законодательства РФ.

Страхование ответственности при ИБ-аутсорсинге

Страхование ответственности при аутсорсинге информационной безопасности предполагает компенсацию клиентам ущерба, понесённого по вине провайдера при оказании им профессиональных услуг. Как правило, компенсация выплачивается страховой компанией напрямую клиенту.

Страховка обычно покрывает следующие виды рисков:

  • непреднамеренные профессиональные ошибки (небрежности, упущения), в том числе ошибочная интерпретация законодательства;
  • непреднамеренное разглашение конфиденциальных сведений, коммерческой тайны, персональных данных;
  • технические ошибки, например, неавторизованный доступ и использование информации, заражение вредоносным ПО, искажение или уничтожение информации вследствие технических сбоев.

При выборе аутсорсера стоит обратить внимание на репутацию его страховой компании, поинтересоваться условиями страхования, размером покрытия, порядком и сроками выплаты возмещения.

Для минимизации остаточных информационных рисков можно использовать существующие программы киберстрахования. Таких программ в России пока немного, но они существуют. (например, «АльфаCyber» от АО «АльфаСтрахование» или SOGAZ CYBER SECURITY от «СОГАЗа»).

Как выбрать поставщика услуг ИБ-аутсорсинга

При выборе поставщика услуг ИБ-аутсорсинга следует обратить внимание на следующие факторы:

  • Репутация и опыт работы на рынке. Сколько лет поставщик работакет на этом рынке, какие проекты были реализованы и насколько успешно. Также стоит запросить клиентские отзывы.
  • Соответствие нормам и стандартам. Какие нормы и стандарты ИБ соблюдает поставщик услуг. Соответствие стандартам гарантирует, что поставщик применяет надёжные методы и процедуры для защиты данных.
  • Наличие сертификатов и лицензий. Стоит убедиться, что поставщик имеет все необходимые разрешительные документы для оказания услуг по ИБ и его деятельность не идёт вразрез с действующим законодательством РФ.
  • Проведение предварительных консультаций с потенциальным поставщиком. Это поможет понять, способен ли он решить проблемы заказчика, каков его уровень компетенций в целом.
  • Уточнение условий сотрудничества, стоимости и сроков выполнения работ. Стоит получить предложения от нескольких поставщиков, чтобы сравнить цены и условия контракта. Они могут существенно различаться.

Выбор подходящего поставщика услуг ИБ-аутсорсинга — важное решение для любой организации, от этого выбора зависит безопасность информационных активов организации, а также её репутация и финансовое благополучие.

Новости

Ужесточение административной и уголовной ответственности в области персональных данных

Дек 2, 2024 #персональные данные от GlobalTrust.ru

Президентом РФ подписано два федеральных закона, ужесточающих ответственность за нарушения и преступления в области персональных данных:

Рассмотрим основные моменты, связанные с вводом в действие этих федеральных законов.

Уголовная ответственность за незаконную обработку персональных данных

В Уголовный кодекс вводится новая статья 272.1, предусматривающая уголовную ответственность за следующие преступные деяния:

  • незаконное использование и/или передача (распространение, предоставление, предоставление доступа) персональных данных;
  • сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконно;
  • создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения персональных данных.

Все составы, предусмотренные статьей 272.1 УК РФ, отнесены к категории преступлений средней тяжести и выше. За преступления, совершенные организованной группой, можно будет получить срок лишения свободы до 10 лет и штрафы до 3 млн руб.

Кроме того, к уголовной ответственности будут привлекаться граждане, которые:

  • нелегально передают базы данных иностранным организациям или государственным структурам;
  • вывозят незаконно полученные данные за пределы РФ на любых электронных носителях (флеш-накопителях, жестких дисках и других устройствах).

Административная ответственность за утечки персональных данных

В ст. 13.11 КоАП добавлены новые составы правонарушений. Теперь размер штрафа за утечку баз персональных данных будет напрямую зависеть от объема “утекших” данных. Если утечка затрагивает от 1 000 до 10 тыс. субъектов персональных данных, и/или включает от 10 тыс. до 100 тыс. уникальных идентификаторов пользователей, то размер штрафа составит:

  • для граждан – от 100 тыс. до 200 тыс. руб.
  • для должностных лиц – от 200 тыс. до 400 тыс. руб.
  • для организаций – от 3 млн до 5 млн руб.

При утечке данных 10 тыс. – 100 тыс. субъектов или 100 тыс. – 1 млн идентификаторов размер штрафа составит:

  • для граждан – от 200 тыс. до 300 тыс. руб
  • для должностных лиц – от 300 тыс. до 500 тыс. руб.
  • для организаций – от 5 млн до 10 млн руб.

При утечке данных более 100 тыс. граждан и/или более 1 млн. идентификаторов размер штрафа составит:

  • для граждан – от 300 тыс. до 400 тыс. руб
  • для должностных лиц – от 400 тыс. до 600 тыс. руб.
  • для организаций – от 10 млн до 15 млн руб.

За неоднократные утечки больших объемов персональных данных вводятся оборотные штрафы, измеряемые в процентах от совокупной годовой выручки оператора персональных данных за предыдущий год.

О компании GlobalTrust

Компания GlobalTrust помогает организациям защищать информационные системы персональных данных и обеспечивать их соответствие требованиям законодательства и нормативной базы РФ, предоставляя:

Новости

Два способа обеспечить соответствие организации требованиям информационной безопасности. Опыт GlobalTrust

Сен 27, 2024 #152-ФЗ, #719-П, #ISO 27001, #ГОСТ Р 57580, #персональные данные, #политики безопасности от GlobalTrust.ru

Проблема обеспечения соответствия в области ИБ

Нормативная база РФ в области защиты информации развивается и в ширь и в глубь, а вместе с ней постоянно ужесточается административная и уголовная ответственность за нарушение установленных требований. Чтобы прочувствовать всю серьезность данного вопроса можно, например, ознакомиться с КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных, предусматривающей миллионные штрафы для юридических лиц и сотни тысяч рублей для граждан и должностных лиц.

И это только одна из множества карательных статей. Еще серьезней обстоят дела в области регулирования безопасности объектов критической инфраструктуры, государственных информационных систем, платежных и банковских систем.

Если крупные бизнесы еще обладают достаточными ресурсами для реализации программ управления соответствием, то средний и малый бизнес порой оказывается совершенно беспомощным , неожиданно для себя сталкиваясь лицом к лицу с непреодолимыми нормативными требованиями в области ИБ. Будь то плановая или внеплановая проверка со стороны регулятора (Роскомнадзора, ФСТЭК, ФСБ, ЦБ РФ, Минфры), участие в тендере крупных заказчиков, заключении контрактов и т.д. Что делать бизнесу в такой ситуации?

Обширный многолетний опыт компании GlobalTrust в приведении организаций в соответствие с нормативными требованиями подсказывает два основных пути (две стратегии) решения данной проблемы.

Стратегия №1. Комплексный подход к обеспечению соответствия

Первая стратегия предполагает основательный подход к обеспечению соответствия требованиям ИБ, при котором организация обращается к специализированным компаниям, лицензиатам ФСТЭК России, для проведения комплекса мероприятий, призванных разом закрыть все узкие места.

Эти мероприятия начинаются с обследования организации, в ходе которого проводится интервьюирование и анкетирование должностных лиц, анализ внутренней регламентирующей документации, процессов, договоров, изучение состава и структуры корпоративной сети организации, инвентаризации и классификация активов, анализ угроз и многое другое.

По результатам обследования формируется внутренняя нормативная база организации в области ИБ, включающая в себя большой массив взаимосвязанных документов, разработанных с учетом существующих особенностей, возможностей и приоритетов организации.

Также производится проработка технических решений по системе защиты информации в формате техно-рабочего проекта с учетом принятых национальных стандартов в области проектирования защищенных систем. Затем осуществляется поставка, внедрение и сопровождение необходимых средств защиты информации и механизмов контроля.

Достоинства комплексного подхода к обеспечению соответствия

С соответствующими перечнями организационно-технических мероприятий можно ознакомиться, например, на сайте GlobalTrust в разделе Услуги. Такой основательный подход к обеспечению соответствия требованиям ИБ способен дать отличные результаты, при условии, что никто никуда не торопиться, а организация-заказчик способна и готова выделить достаточное количество финансовых средств и прочих ресурсов для решения данной задачи.

Ограничения комплексного подхода к обеспечению соответствия

Но во многих случаях ситуация такова, что нормативных требований много, они выглядят сложными и запутанными, а времени и средств на обеспечение соответствия этим требованиям у организации мало, т.к. на носу проверка регулятора, либо крупный тендер, либо заключение контракта с требовательным к ИБ заказчиком, либо просто надо закрыть данную проблему, отделавшись, при этом, малой кровью. Что делать в этом случае?

Стратегия №2. Начинаем с типовых документов

Существует более экономичная и быстрая стратегия обеспечения соответствия нормативным требованиям в области ИБ, позволяющая (на первых порах) пропустить наиболее трудоемкие этапы, связанные с проведением комплексного обследования организации и технического проектирования системы защиты информации). Основывается она на том соображении, что, поскольку нормативные требования и соответствующие проверки их выполнения носят сугубо формальный характер, то и процесс обеспечения соответствия им также должен носить формальный характер. Другими словами, на любое предписание регулятора в организации должны существовать внутренние документы, охватывающие данное предписания и закрывающие соответствующие вопросы (хотя бы на бумаге).

Это, конечно, не означает, что за этими документами ничего не стоит (не будем впадать в крайности), но в 99% проверяется именно наличие необходимой документации и прочих документальных свидетельств выполнения требований. Никто никогда не захочет разбираться в том, каким образом организация выполняет те или иные требования ИБ, если соответствующие процедуры, методы и средства не документированы (ну, разве что за большие деньги).

Таким образом, второй способ обеспечить соответствие требованиям ИБ заключается в использовании, разработанных в GlobalTrust, типовых организационно-распорядительных документов. Существуют наборы документов для операторов персональных данных, для финансовых организаций, для управления рисками ИБ, а также универсальные комплекты, охватывающие самый широкий круг требований по защите информации.

Достоинства подхода к обеспечению соответствия, основанного на использовании типовых документов

Эти документы с минимальными корректировками и дооформлением подойдут практически любой организации сразу и без существенных изменений, позволив обеспечить «бумажное соответствие» с минимально возможными затратами и в минимально возможный срок. После этого, организация сможет уже не торопясь и в меру своих реальных потребностей перейти к реализации процессов и мер, регламентируемых этими документами.

Ограничения подхода к обеспечению соответствия, основанного на использовании типовых документов

Есть здесь одно но. Приобретать комплекты документов за деньги, конечно, не хочется, т.к. существует общее представление о том, что в интернете можно найти все необходимое бесплатно, либо попросить у друзей. Другое дело приобретать за огромные деньги коммерческое ПО, но к этому уже все привыкли и за ценой никто не постоит, а вот с документацией ситуация иная.

Типовые документы – это комплексная услуга

Это так и выглядит, но только если смотреть на типовые документы как на продукт. Если это просто бумажка, которой вы собираетесь прикрыть причинное место, то разницы где вы ее возьмете особой нет. Но дело в том, что прикрыться просто так не получится. Эти бумажки надо правильно оформить, правильно позиционировать, адаптировать к особенностям организации, согласовать со всеми заинтересованными лицами, быть готовым отвечать на вопросы по содержанию этих бумажек и их взаимосвязям, устранить замечания проверяющих, доработать под свои реальные нужды, а затем еще и поддерживать в актуальном состоянии. Ведь за каждым организационно-распорядительным документом (политикой, положением, регламентом и т.п.) стоит набор весьма значимых для организации процессов, процедур, контролей и защитных мер.

Весь этот комплекс мероприятий по обеспечению соответствия требованиям ИБ (в их бумажной части) уже заложен GlobalTrust в стоимость комплектов типовых документов, включая гарантии соответствия требованиям нормативной базы и устранения возможных несоответствий, актуализацию документов и консультирование по их оформлению, доработке и адаптации, консультационную поддержку согласования и внедрения документов.

Выбор подхода к обеспечению соответствия: классика или agile

Развивая аналогию с ПО, где существует классическая (долгая) схема разработки и более легкая и востребованная на практике agile-стратегия, в области обеспечения соответствия требованиям ИБ организация может выбрать классическую схему – комплексный проект, либо agile-подход – типовые документы по ИБ с их последующей доработкой и внедрением.

Александр Астахов, GlobalTrust