Договор на информационную комплексную безопасность компании

Комплексная информационная безопасность

Мы предлагаем комплексную услугу по защите данных на предприятии от злоумышленников. Она включает в себя как мероприятия по разработке концепции работы защитных систем для каждой конкретной организации, так и непосредственно реализацию, а также поддержку разработанного проекта.

• Аудит систем компьютерной безопасности в телекоммуникационных и информационных системах.
• Оценка уровня защищенности информационных систем компании.
• Разработка концепции информационной безопасности компании с учётом сути бизнес-процессов компании клиента.
• Разработка системы организационных мероприятий по повышению уровня информационной безопасности компании на объектах клиента.
• Установка и настройка оборудования информационной безопасности – брандмауэров, VPN-концентраторов, IDS.
• Организация закрытых каналов передачи данных.
• Организация закрытых телефонных каналов связи.
• Внедрение системы информационной безопасности «Business Guardian» (мониторинг информационных потоков, циркулирующих в телекоммуникационной инфраструктуре предприятия, организация защиты с целью предотвращения утечки конфиденциальной информации).

Информационная безопасность компании в наше время является одним из самых актуальных вопросов ведения бизнеса. Защита от вирусных атак и утечек информации является обязательной статьёй расходов как у крупных предприятий, так и в небольших фирмах. Предлагая своим клиентам услуги по обеспечению информационной безопасности на предприятии, мы используем самые современные методики защиты данных.

 Разработка концепции

Для того чтобы определить комплекс мер, необходимых для обеспечения информационной безопасности компании, мы проводим аудит – комплексную проверку систем предприятия с целью обнаружения слабых мест и последующего их устранения. Такая проверка проводится опытными специалистами, не один год проработавшими в данной сфере. После того как будут получены данные о состоянии защиты на данный момент, мы приступаем к разработке мероприятий по её совершенствованию.

 Реализация проекта

На данном этапе мы приступаем непосредственно к реализации утверждённых нашими заказчиками проектов. Мы организуем закрытые каналы передачи данных, устанавливаем современное оборудование и программное обеспечение, позволяющее защитить коммуникационные системы от утечки информации и проникновения вредоносных программ. Также на данном этапе внедряются системы, позволяющие контролировать потоки информации по корпоративным каналам. При необходимости обеспечивается авторизованный доступ к отдельным данным, содержащимся в корпоративной сети, что также снижает риск утечки.

Поддержка

После того как все работы будут завершены, и система безопасности начнёт функционировать в полную силу, мы продолжаем помогать своим клиентам, осуществляя техническую поддержку. Данная услуга позволит оперативно реагировать на сбои в работе информационных систем.

Обратите внимание на то, что повышая информационную безопасность компании, мы руководствуемся, прежде всего, спецификой предприятия наших клиентов. Для каждой фирмы мы готовы разработать собственную надёжную систему, которая будет учитывать такие показатели как количество пользователей корпоративной сети, сфера деятельности предприятия, риск промышленного шпионажа и т.д.

Корпоративная безопасность компании – что это

Комплекс мероприятий, направленных на обеспечение информационной, технической и экономической безопасности, работает на сохранение всех бизнес-процессов и их оптимизацию. Корпоративная безопасность предполагает систематический мониторинг всех производственных процессов. Ее задача — обеспечение безопасных условий для роста компании и реализации всех профессиональных задач.

Только в условиях гарантированной безопасности компания может стать успешной и состоявшейся. Расширение партнерских связей, увеличение клиентской аудитории и стабильность рынка сбыта возможны, если в компании имеет место грамотно сформированная система безопасности. Она во многом определяет не только профессиональную состоятельность предприятия, но и является важной имиджевой составляющей.

При самых крупных инвестициях предприятие не может быть конкурентоспособным, если руководство не гарантирует блокировку воздействия разнообразных отрицательных факторов на бизнес-процессы.

Понятие корпоративной безопасности компании включает в себя:

• жесткое ограничение доступа к коммерческой тайне;
• практикумы для сотрудников, на которых рассматриваются способы предотвращения негативных факторов;
• возможность проведения быстрого служебного расследования при обнаружении угрожающих факторов;
• профессиональная кадровая политика;
• физическая защита сотрудников;
• техническая защита сотрудников.

Нельзя полагать, что единожды сформированная система корпоративной безопасности останется статичной на все время существования предприятия. Руководство должно проводить в этом направлении постоянную аналитическую работу, собирать информацию, из которой было бы ясно: есть ли какие-то способы повысить эффективность безопасности.

Спокойная деловая атмосфера на предприятии, фирме или в учреждении возможна, когда руководство систематически работает над совершенствованием безопасности на всех уровнях.

Что необходимо для обеспечения физической безопасности

Физическая безопасность может обеспечиваться силами самого предприятия или другой компании, которая реализует профессиональные услуги в данной области. Часто физическая безопасность обеспечивается сотрудничеством с подготовленными специалистами, работающими по договору на устранение любых угроз. Они выявляют факт имеющихся угроз и вырабатывают комплекс мероприятий по их устранению.

Для этого в компании устраиваются:

• блокпосты, имеющие связь между собой (в случае возникновения локальной опасности представители охраны должны иметь возможность связываться друг с другом и реагировать адекватно);
• система видеонаблюдения, позволяющая проводить мониторинг особенно важных точек;
• строго дозированное посещение предприятия (допускается устройство КПП у входа с использованием технических средств контроля; крупные корпорации прибегают к системе распознавания лиц или вход по отпечатку пальца, а не только по предъявлению пропуска);
• мониторинг прилегающей территории, в том числе автономной автопарковки.

Физическая безопасность руководства и персонала предполагает также периодические учения, на которых отрабатываются поведенческие навыки в экстремальных ситуациях. Особенно важно, чтобы каждый член коллектива знал пути эвакуации в случае пожарной опасности. С этой целью вывешиваются информативные стенды с расположением схем эвакуации.

Информационная корпоративная безопасность

Корпоративная безопасность — это умение сохранить вне зоны доступа технологические тайны и важную документацию. Только при соблюдении принципов конфиденциальной информации возможно успешное ведение бизнеса.

Выделяются два направления по выработке корпоративной безопасности:

• аппаратное обеспечение;
• организация труда.

В рамках аппаратного обеспечения безопасности руководство создает защиту базы данных на локальных компьютерах, замкнутых сетевых коммуникациях и всем программном обеспечении.

Если обнаруживаются перехваты определяющих профессиональных документов, система безопасности мгновенно их блокирует. Руководство может поменять способ передачи информации или попросту устранить возможность утечки. Для этого используется кодированная связь, а также запрет на передачу особо важных документов открытыми каналами. Поэтому курьерская служба — по-прежнему является важной частью общей системы корпоративной безопасности компании.

Работа над обеспечением информационной безопасности предполагает разбивку замкнутой системы на несколько составляющих. При этом безопасность должна быть сформирована в каждой подсистеме. Очень эффективным считается блокировка BIOS. Это мера обеспечит блокировку попыток внести в BIOS какие-то принципиальные изменения.

Внутренние коммуникации как источник информационной угрозы

Облачные технологии обеспечивают ведение бизнеса особым комфортом.

• минимизируется архив;
• ускоряется передача данных;
• устраняется географический фактор (устанавливаются коммуникации с самыми удаленными подразделениями);
• обеспечивается доступ к базе данных для руководства в любое время суток.

Но с другой стороны, без должного обеспечения конфиденциальности сетевая информация чрезвычайно уязвима для конкурентов и злоумышленников. Иногда простейшие мероприятия по ограничению доступа к факсу или принтеру может повысить уровень защиты базы данных.

Информационная безопасность на предприятии тем выше, чем меньше общих сетей для коммуникации внутри ее. Дело в том, что даже при наличии грамотно сгенерированных паролей и при ограничении доступа сетевое общение внутри корпорации автоматически предполагает доступ к паролям многих лиц.

Враждебным проникновением считается не только кража документов, данных и сведений, но и порча их. Иногда буквально несколько цифр в базе данных могут обрушить весь экономический процесс. Поэтому очень эффективным в этом отношении является отключение оптических проводов. Это особенно актуально для USB портов.

Передача данных конкурентам упрощена в век цифровых технологий. Достаточно скопировать важные сведения на жесткий носитель и вынести их за пределы предприятия. Задачи руководства опять-таки заключается в ограничении доступа к архивным сведениям и технологическим секретам.

Безопасность корпоративной документации

Если у злоумышленников поставлена цель завладеть какой-то информацией, он добьется своего независимо от того, хранятся ли документы на облаке, на удаленном сервере или на бумажных носителях.

Разработка хакерских программ с агрессивным поглощением идет параллельно с разработкой способов защиты от враждебного поглощения. Поэтому для компании, заинтересованной в корпоративной безопасности, основополагающим является вопрос сотрудничества с профессиональными сетевыми специалистами, которые будут отслеживать все инновационные предложения по защите базы данных.

ОфисМетрика на страже корпоративной безопасности

Информационная безопасность может быть нарушена и без умысла. Иногда сотрудники в частной беседе могут разговаривать о предметах, сутью которых является коммерческая тайна. Задача руководства — изначально проводить разъяснительные беседы, а в случае необходимости брать подписку о неразглашении тех или иных данных.

Сетевой серфинг на работе — еще один пример неумышленной порчи базы данных. Для того чтобы выяснить наличие правонарушителей в компании, многие руководители практикуют сбор информации о каждом сотрудников в рамках программы ОфисМетрика.

Данная методика позволяет составить представление о том, кто из сотрудников чем был занят в тот или иной промежуток времени. Все сведения подаются руководству в графическом виде, что позволяет более наглядно уяснить проблему.

Но даже тотальный контроль в организации может не всегда препятствовать использованию кем-то из персонала вредоносных программ. При этом не всегда удается выяснять, кто внес заведомо искаженную информацию в базу данных, а кто скопировал сведения. Система только беспристрастно выдает уже совершившиеся факты правонарушений.

Поэтому ОфисМетрика становится все более актуальной для современного бизнеса. Она представляет собою программу, скрупулезно учитывающую рабочее время персоналий на производстве или в офисе. ОфисМетрика дает возможность отражать детально факт присутствия в сети кого-то из сотрудников и, соответственно, весь комплекс совершенных им действий на рабочем месте.

В рамках данной методики фиксируется:

• время заступления сотрудника на рабочее место;
• время ухода сотрудника домой;
• период бездействия на работе (фиксируется по отсутствию задействования клавиатуры или мышки);
• сетевой серфинг сотрудника (программа четко фиксирует: какие порталы сотрудник посещал, какой информацией интересовался, а также на каких сайтах задерживался особенно долго).

ОфисМетрика фиксирует также, какими программами пользовался сотрудник. Это позволяет руководству перераспределять рабочие обязанности. Срабатывает человеческий фактор: если в рабочем времени слишком много свободных минут, сотрудник начинает заполнять их бесцельным блужданием по Интернету.

Дело не только в неорганизованности и недисциплинированности данного сотрудника. Оставаясь на чужеродных порталах, такой сотрудник может невольно «привести за собой» в компанию вредоносную информацию или разнообразные вирусы.

ОфисМетрика — это лучший способ отражения производительности сотрудников, работающих за компьютером. Особое удобство этой программы заключается в визуальной доступности отчетов. Они представляются в виде графиков, на которых четко вырисовывается, кто пытался скачивать или копировать конфиденциальную информацию.

Важно, что Офис-Метрика не нарушает прав сотрудников. Она не интересуется паролями и личной перепиской людей. Все данные, которые программа поставляет руководству, касаются исключительно профессиональных интересов.

Выстраивание комплексной системы корпоративной безопасности

Руководство должно определить, какие объекты должны обеспечиваться безопасностью.

К ним относятся:

• экономические процессы;
• финансы компании;
• технологические сведения;
• материальная база;
• информационная база;
• имидж компании.

Система безопасности может обеспечиваться непосредственно администрацией. Более профессиональным подходом будет создание специального координирующего центра безопасности. Это может быть совещательный орган, который принимает коллегиальные решения на базе собранных сведений о потенциальных угрозах.

Построение системы безопасности может быть доверено кому-то из сотрудников. Такая должность проводится через приказ по производству и оформляется как внутреннее совместительство. Допускается также создание отдельной штатной единицы, в обязанности которой вменяется выработка системы корпоративной безопасности компании. С таким сотрудником заключается отдельный договор, ему определяется оклад.

Наконец, обеспечением корпоративной безопасности компании может заниматься профессиональная организация в рамках аутсорсинга.

Почему аутсорсинг предпочтителен в вопросе обеспечения корпоративной безопасности

Прежде всего, для руководства такой вариант удобен тем, что он высвобождает трудовые ресурсы. С приглашенными сотрудниками заключается договор на предоставление определенных услуг. Соответственно, данный договор может регулироваться нормами гражданско-правовыми.

С сотрудниками, которые работают в рамках аутсорсинга, выгодно сотрудничать также в том отношении, что руководство получает заведомо профессиональные и рациональные решения. Ведь все, что пытается сделать администрация для сохранения материальных и информационных ценностей, может рассматриваться как дилетантство. В то время как приглашенные сотрудники выполнят тот же комплекс мероприятий профессионально (значит, более рационально и качественно).

Минусом аутсорсинга будет допуск посторонних персоналий к базе данных. Уровень доверия определяется руководством.

Еще одним недостатком аутсорсинга является недостаточно оперативная реакция приглашенных сотрудников на внутрикорпоративные изменения. Предприятие может расширяться или сокращаться, в нем могут появляться дополнительные подразделения, открываться удаленные офисы.

Каждая из перечисленных точек также нуждается в информационной безопасности. Для того чтобы сотрудники в рамках аутсорсинга вливались в процесс, требуются дополнительные соглашения к договору. На это иногда уходит время, которым могут воспользоваться злоумышленники и конкуренты.

Услуги квалифицированного персонала по обеспечению информационной безопасности компании востребованы на рынке, что обеспечивает жесткую конкуренцию в этой области. Профессионалы, в свою очередь, стремятся сотрудничать с ключевыми клиентами.

Таким образом, руководство компании, нуждающееся в квалифицированном персонале в рамках аутсорсинга, поставлено перед выбором: либо платить за качественную работу по обеспечению безопасности, либо решать этот вопрос самостоятельно. Если решение принимается в пользу привлечения профессионалов со стороны, то выгоды компании очевидны.

Они проявляются в:

• защите профессиональных интересов;
• обеспечении стабильности бизнес-процессов;
• предотвращении потенциальных угроз;
• защите базы данных;
• выявлении угроз, исходящих изнутри компании.

При этом руководство компании может и не подозревать о том, какие угрозы имеют место внутри предприятия. Они могут связываться не только с человеческим фактором (невольным разглашением конфиденциальной информации), но и с организованной преступностью.

Охота за информацией на рынке идет ежеминутно, поэтому услуги профессионалов по обеспечению экономической и информационной безопасности актуальны всегда.

ГК «Содружество». Аудит информационной безопасности

ГК «Содружество» – международная агропромышленная группа. Компания является вертикально интегрированной и состоит из четырех бизнес-единиц: перерабатывающие мощности (по производству белков и масел из растительного и животного сырья), торговля сельскохозяйственными товарами, специализированная инфраструктура (в т.ч. глубоководные морские порты) и логистика (в т.ч. железнодорожные и складские мощности). Головной офис компании находится в Люксембурге, при этом компания владеет более чем 30 предприятиями, находящимися в 20 странах, в том числе в Бразилии, Парагвае, России, Турции, странах Средиземноморья и некоторых восточноевропейских государствах. Производственный комплекс ГК «Содружество» в Калининграде является одним из самых крупных предприятий по глубокой переработке семян масличных культур в России.

Аудит информационной безопасности охватил корпоративный сегмент информационной инфраструктуры, а также технологический сегмент – промышленные системы, обеспечивающие работу производственных цепочек от поставки сырья и переработки до отгрузки готовой продукции. Результаты проведения комплексного аудита позволили повысить общий уровень информационной безопасности предприятия, в том числе снизить риски нарушения доступности систем, что является принципиально важным для непрерывного производства. По итогам аудита была сформирована детальная Стратегия развития системы информационной безопасности заказчика в перспективе трех лет, включая расчет требуемых ресурсов.  

«Мы хорошо понимаем, какова цена нарушения работы информационной или технологической системы предприятия в случае реализации угрозы ИБ, поэтому бизнес прямо заинтересован в повышении реальной защищенности. Мы поставили задачу выявить и нивелировать максимум возможных рисков. С учетом того, что инфраструктура предприятия является масштабной и сложной, а ландшафт угроз постоянно меняется, мы решили привлечь к этой работе профессиональных консультантов в сфере ИБ, которые обладали бы опытом защиты не только корпоративного, но и технологического сегмента. Эксперты компании “Инфосистемы Джет” помогли нам получить объективное представление об уровне защищенности наших систем, обнаружить уязвимости и оценить вероятность их эксплуатации злоумышленниками, а главное, выработать последовательность практических шагов по защите бизнеса от информационных угроз», – отмечает директор ООО Управляющая компания «Содружество» Дмитрий Савенков. 

Объекты аудита

ИТ-инфраструктура ГК «Содружество» является централизованной и обеспечивает работу всех филиалов компании в едином информационном поле. Ключевые информационные системы предприятия реализованы на единой платформе и логически связаны между собой, что обусловило широкие границы аудита.

В производственном сегменте предприятия эксплуатируется множество промышленных систем (АСУ ТП), отвечающих за различные звенья производственных цепочек. Аудит охватывал основные типы систем, функционирующих в рамках каждой конкретной производственной цепочки.

Этапы проекта

Для получения максимально полной и объективной оценки текущего состояния информационных и промышленных систем был выполнен их комплексный аудит. Он включал в себя четыре основных этапа.

В рамках первого этапа было проведено обследование инфраструктуры и бизнес-процессов заказчика.

В ИТ-сегменте обследовались информационные системы и нижележащая ИТ-инфраструктура, сетевая инфраструктура, средства защиты, процессы, связанные с использованием информационных систем, а также процессы обеспечения ИБ. В качестве критериев оценки процессов управления и обеспечения ИБ использовались требования стандарта ISO/IEC 27001:2013. В процессе работ был проведен детальный GAP-анализ: оценка степени расхождения текущей ситуации в области информационной безопасности заказчика с требованиями ISO/IEC 27001:2013 с выработкой рекомендаций по достижению соответствия.

В технологическом сегменте были обследованы: оборудование промышленной сети, АРМ операторов, программные пакеты SCADA, система диспетчерского управления. При оценке степени защищенности эксперты руководствовались не только лучшими мировыми практиками, но и требованиями Приказа ФСТЭК России № 31 от 14.03.2014 г.  

С помощью специализированных сканеров защищенности также была проведена проверка контроллеров АСУ ТП – на предмет актуальности прошивок оборудования, корректности установленных настроек безопасности и наличия уязвимостей.

По итогам первого этапа был составлен список рекомендуемых мер по устранению выявленных в результате обследования недостатков в системе обеспечения ИБ, а также обнаруженных уязвимостей.  

На втором этапе эксперты провели качественный анализ рисков, основываясь на методике стандартов группы ISO/IEC 31000. Было проведено ранжирование рисков по степени критичности, определена очередность работ по их устранению.

В рамках третьего этапа проекта была выполнена серия пентестов внутренних ресурсов заказчика. Тесты на проникновение позволили подтвердить эксплуатируемость выявленных уязвимостей и недоработок, выявленных в рамках экспертного аудита. По итогам тестов был разработан ряд дополнительных рекомендаций по повышению защищенности информационных активов предприятия.

Стратегия ИБ

Заключительным этапом проекта являлась разработка Стратегии информационной безопасности предприятия. Был определен целевой уровень ИБ в перспективе трех лет и построена «дорожная карта» перехода к целевому состоянию.

«Дорожная карта» включает в себя около 30 проектов, охватывающих разные аспекты повышения информационной безопасности на предприятии: совершенствование процессов обеспечения ИБ, внедрение дополнительных средств защиты, их настройку, разработку корпоративной документации в сфере ИБ, организационные изменения, в том числе, направленные на кадровое обеспечение поддержки системы информационной безопасности и т.п. Для каждого проекта были рассчитаны объемы необходимых ресурсов самого заказчика (финансовых, временны́х, кадровых), а также объемы привлекаемых ресурсов.

Стратегия одобрена заказчиком и принята к исполнению.

«Активное содействие топ-менеджмента ГК “Содружество”, понимание ими важности выполняемых работ значительно способствовали успешной реализации проекта. Поскольку руководство было заинтересовано в объективном результате, мы оперативно получали исчерпывающую информацию и документы, необходимые для аудита, а также полное содействие со стороны сотрудников Компании. Данный проект – яркий пример совместной работы заказчика и исполнителя, направленной на обеспечение не “бумажной”, а реальной информационной безопасности, которая прямо влияет на стабильность функционирования бизнеса», – отмечает Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет».

Аудит информационной безопасности охватил корпоративный сегмент информационной инфраструктуры, а также технологический сегмент – промышленные системы, обеспечивающие работу производственных цепочек от поставки сырья и переработки до отгрузки готовой продукции. Результаты проведения комплексного аудита позволили повысить общий уровень информационной безопасности предприятия, в том числе снизить риски нарушения доступности систем, что является принципиально важным для непрерывного производства. По итогам аудита была сформирована детальная Стратегия развития системы информационной безопасности заказчика в перспективе трех лет, включая расчет требуемых ресурсов.

Аутсорсинг безопасности информации - PLUSworld.ru – банковская розница, финансовое обслуживание и платежный рынок

Эссе на тему как Вовка в Тридевятом царстве аутсорсинг пользовал. 

Авторы: Артём Сычев, заместитель начальника ГУБЗИ Банка России, и Сергей Вихорев, директор по ИБ филиала «ПЕТЕР-СЕРВИС Спецтехнологии».

Тема аутсорсинга информационной безопасности в широком смысле этого термина (передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области) сегодня на слуху, тема горячая, разве что ленивый не писал на эту тему. Авторы настоящей публикации не ленивы, за темой следят, а сподвигло их взяться за клавиатуру упоминание 06.07.2016 г. в Твиттере А. Прозоровым о разработке одной из компаний (не называем ее, здесь нет места рекламе!) проекта рекомендаций Банка России «Аутсорсинг информационной безопасности», который благополучно размещен на сайте ТК 122.

На взгляд авторов, этот проект представляет собой гибрид между рекламным буклетом системы мониторинга и популяризирующей это направление журнальной статьей, и в этом документе не хватает только одной фразы: «Покупайте наших слонов! Наши слоны самые слонистые слоны в России! Россия родина слонов!» Авторам кажется, что подходить к проблеме аутсорсинга так узко – просто неприлично. Это же широчайшее поле деятельности! Вот и родилась идея продолжить наши диалоги, немного обобщить уже существующий опыт аутсорсинга безопасности информации (все-таки так правильнее, чем «информационной безопасности»), добавить свое видение проблемы и попытаться положить эти мысли на бумагу и расставить все точки над «i». А поможет в этом Вовка из Тридевятого царства[1], который, наверное, один из первых применил схему аутсорсинга, хотя и не всегда удачно. Что получилось – судить, как всегда, Вам, читатель.

Вместо пролога. Что же это за зверь такой – аутсорсинг?

Это вы и пальцы за меня загибать будете?

Итак, начнем от печки. Аутсорсинг (от англ. outer-source-using), использование внешнего источника и/или ресурса), – передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области. И уж конечно, это не «форма организации труда», как указано в проекте, это договорные обязательства: одна сторона поручает что-то сделать, а другая это поручение исполняет, а уж как она «организует труд» – не важно, важен процесс и результат. Правовая основа его сложна. Здесь есть элементы и аренды, и подряда, и услуги, и агентства, и поручительства. В общем, весь Гражданский кодекс. Хотя больше всего здесь именно услуги: ведь заказчик услуги не всегда ставит во главу угла конечный результат, его больше интересует процесс, который будет исполнять поставщик.

Правда, есть у аутсорсинга и отличительные черты: первая – он, как правило, предполагает долгосрочное сотрудничество поставщика (провайдера сервиса) и заказчика, хотя возможны варианты. Вторая – при аутсорсинге, как правило, передаются целые процессы (производственные, бизнес-процессы) или отдельные функции. То есть при аутсорсинге всегда есть конечный бизнес-результат, который может быть сепарирован в компании-заказчика. Третья – это то, что поставщик услуг и заказчик «сливаются в экстазе». Не всегда можно точно сказать: то ли поставщик интегрируется в структуру заказчика, то ли наоборот. В общем, они как сиамские близнецы: разорвать их уже нельзя. Вот и получается, что аутсорсинг – это содружество, можно сказать партнерство, между поставщиком услуг и заказчиком, основанное на взаимном доверии, но подкрепленное целым ворохом юридических документов.

Часть 1. Что ждать от аутсорсера

Передача функций обеспечения безопасности информации на аутсорсинг, конечно же, увеличивает риски безопасности информации. Поэтому, прежде чем принять такое решение, необходимо все взвесить и обосновать. В принципе, на аутсорсинг можно многое передать, но надо четко определиться с тем, какие функции передаются на аутсорсинг и есть ли в этом необходимость. А то можно так «напередавать», что весь бизнес про…фукать. И главное, надо идти с открытым забралом, решение о передаче чего-либо на аутсорсинг должно быть осознано руководством заказчика и задокументировано надлежащим образом.

Это вы и конфеты за меня есть будете? Ну уж нет!

На аутсорсинг могут передаваться все наиболее ресурсоемкие функции обеспечения безопасности информации, связанные с подготовкой к принятию решения по обеспечению безопасности информации, подготовкой решения по принятию рисков безопасности информации, выполнению отдельных функций безопасности информации, проведению эксплуатации, обслуживания и поддержания в работоспособном состоянии средств защиты информации, оценке соответствия установленным требованиям.

Но! На аутсорсинг не могут и не должны предаваться функции, связанные непосредственно с принятием решений по обеспечению безопасности информации и (или) выбору требуемого уровня защищенности, функции, а также связанные с принятием рисков безопасности информации. От этого зависит судьба заказчика, и поэтому выпускать решение этих проблем из своих рук нельзя, это остается прерогативой заказчика. Ответственность за обеспечение безопасности информации при передаче даже большей части функций безопасности информации поставщику услуг не может быть передана и всегда остается за заказчиком услуг. А поставщик услуг, в свою очередь, обязан будет выполнять требования документов заказчика, определяющих политику обеспечения безопасности информации.

Ну и конечно же, решая, что передавать на аутсорсинг, надо помнить о том, что законодательство содержит прямой запрет на передачу сведений, составляющих банковскую тайну (ст. 857 ГК РФ) и налоговую тайну (ст. 102 НК РФ), третьим лицам, и поэтому процессы обработки информации, связанные с предоставлением поставщику услуг возможности ознакомления со сведениями, отнесенными к банковской и налоговой тайне, не могут быть переданы на аутсорсинг.

Отношения между поставщиком и заказчиком услуг строятся на договорной основе. Здесь важно правильно оценить возможности поставщика. Дальше мы отдельно поговорим об этом, а сейчас отметим, что поставщик услуг должен иметь необходимые силы и средства для оказания услуги. Плох тот поставщик, который не может оказать услугу самостоятельно и приглашает для этого своих контрагентов. Заключение договора с поставщиками услуг, допускающими привлечение третьих лиц (контрагентов) для оказания услуги в рамках договора, нецелесообразно. Поставщик услуг должен иметь необходимые лицензии на выполнение работ и оказание услуг, предусмотренных законодательством Российской Федерации, квалифицированный персонал, процессы, методологии, технологии, необходимые для оказания услуги, и надежную репутацию. При заключении договора на оказание услуг очень важно определить конечный результат оказания такой услуги и критерии, позволяющие оценить результативность и качество исполнения услуги. Заказчик услуги должен вести надлежащий контроль за качеством исполнения услуги и ее результативностью. Поставщик услуг обязан предоставить заказчику услуг возможность и необходимые инструменты для осуществления такого контроля, в том числе и с привлечением независимых экспертов.

Часть. 2 Что может аутсорсер

Как уже отмечали авторы, поставщик услуг может многое. Конечно, конкретные характеристики услуг (сервисов) безопасности информации зависят от возможностей и ресурсов поставщика услуг и определяются наличием у него квалифицированного персонала, отлаженных процессов и методологии, а также технологий защиты информации.

— Вы правда, что ли, всё-всё за меня делать будете? — Ага!

Чтобы иметь представление о том, что же он может на самом деле, надо все возможные услуги (сервисы) проклассифицировать и разложить по полочкам. Попробуем это сделать.

На основе анализа существующих на рынке услуг, предоставляемых различными поставщиками услуг (провайдерами), все услуги (сервисы) безопасности информации можно разделить на несколько основных групп:

1. Управленческие сервисы безопасности информации.

a. Услуга по организации (налаживанию) процесса обеспечения БИ

b. Услуга по разработке (пересмотру) документов, определяющих политику БИ

c. Услуга по управлению рисками БИ в организации

d. Услуга по разработке архитектуры БИ в организации

2. Операционные сервисы безопасности информации

a. Услуга повышения осведомленности (обучения) персонала организации

b. Услуга управления безопасностью информации

c. Услуга расследования инцидентов безопасности информации (форензика)

d. Услуга технического обслуживания средств защиты информации

3. Технологические сервисы безопасности информации

a. Услуга по реализации мер защиты

b. Услуга по предоставлению защищенной инфраструктуры ИС

c. Услуга по оценке безопасности продуктов и ИС

d. Услуга по безопасной разработке прикладного программного обеспечения

e. Услуга по обработке защищаемой информации.

Каждый из элементов сервисов может быть самостоятельной услугой, а может входить в портфель услуг, предоставляемых поставщиком одним чохом. Посмотрим, из чего состоят те или иные услуги.

Управленческие сервисы безопасности информации

Услуга по организации (налаживанию) процесса обеспечения безопасности информации (БИ) является комплексной, состоящей из множества элементов, и рассчитана на среднесрочное сотрудничество поставщика услуг с заказчиком услуг. Услуга применяется, как правило, когда требуется усовершенствовать имеющуюся систему обеспечения безопасности информации либо повысить уровень зрелости к обеспечению безопасности информации, а заказчик услуг не имеет работников требуемого уровня компетенции или такие работники заняты на выполнении других ответственных задач. В ходе оказания данной услуги поставщик услуг на основе проведения независимой оценки состояния обеспечения безопасности информации у заказчика услуг или изучения результатов аналогичных оценок, проведенных ранее собственными силами заказчика или с привлечением им подрядчиков, формирует оптимальный проект (!) плана организации процесса обеспечения безопасности информации, определяет критерии (метрики) оценки эффективности принимаемых управленческих решений по обеспечению безопасности информации и, используя собственные ресурсы, налаживает все процессы обеспечения безопасности информации у заказчика. Услуга включает в себя полностью или частично:

— оценку угроз и рисков безопасности информации;

— оценку уровня зрелости организации к обеспечению БИ;

— выбор уровня защищенности ИС;

— разработку плана обеспечения БИ;

— разработку метрик оценки эффективности БИ;

— разработку процедуры планирования обеспечения БИ;

— разработку процедур контроля состояния БИ;

— разработку процедур отчетности о состоянии БИ;

— разработку процедуры обработки инцидентов БИ;

— разработку процедуры восстановления состояния БИ после прерывания.

Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и уровня ее зрелости к обеспечению безопасности информации.

Еще раз обратим внимание, что поставщик услуг только подготавливает и обосновывает решение по обеспечению безопасности информации, а само решение принимается руководством заказчика и претворяется в жизнь после его одобрения.

Услуга по разработке (пересмотру) документов, определяющих политику безопасности информации, также является комплексной и рассчитана на периодическое краткосрочное сотрудничество поставщика услуг и заказчика. Услуга применяется на этапе формирования системы обеспечения безопасности информации или с определенной периодичностью, установленной для пересмотра документов, определяющих политику обеспечения безопасности информации, при отсутствии необходимых компетенций у работников заказчика услуг либо в случае возможного нарушения основных процессов обеспечения безопасности информации заказчика услуг за счет отвлечения штатных работников для пересмотра документов. Услуга включает в себя полностью или частично:

— разработку документов стратегического планирования обеспечения БИ;

— разработку документов оперативного управления обеспечением БИ;

— разработку документов текущего планирования обеспечения БИ;

— разработку регламентов выполнения процедур обеспечения БИ;

— разработку методик оценки и управления рисками БИ;

— разработку плана ликвидации нештатных ситуаций.

Перечень указанных элементов услуги также не является окончательным и зависит от конкретных потребностей заказчика, принятой у него системы организационно-нормативных документов и локальных нормативных актов и уровня ее зрелости к обеспечению безопасности информации.

При оказании услуги по разработке (пересмотру) документов поставщик услуги может содействовать заказчикам в анализе существующих и разработке новых документов, определяющих политику безопасности информации, внутренних (корпоративных) стандартов, руководящих принципов и процедур. При этом полномочия по утверждению данных документов, введению их в действие и ответственность за принятые решения остаются прерогативой заказчика.

Услуга по управлению рисками безопасности информации рассчитана на среднесрочное или долгосрочное сотрудничество поставщика услуг с заказчиком. Услуга применяется при уже сформированной системе обеспечения безопасности информации, когда у заказчика отсутствуют необходимые ресурсы для своевременного мониторинга рисков безопасности информации или на начальном этапе, когда работники заказчика еще не достигли требуемого уровня компетенции по управлению такими рисками, и предполагает:

— разработку Руководства по управлению рисками безопасности информации;

— оперативное управление рисками и выработку рекомендаций по их снижению;

— проведение оценки рисков безопасности информации;

— разработку плана по снижению рисков информации.

При оказании услуги по управлению рисками безопасности информации поставщики услуг могут содействовать заказчикам в организации процедуры управления рисками, выполнению необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций по снижению рисков. При этом заказчик услуг всегда остается ответственным за принятые решения по управлению рисками. В случае, если заказчик услуг уже имеет программу по управлению рисками безопасности информации, данная услуга, как правило, сводится к аудиту такой программы на предмет ее эффективности.

Услуга по разработке архитектуры безопасности информации относится к процессу подготовки решения по стратегическому планированию и развитию инфраструктуры безопасности информации. Услуга применяется на этапе проектирования и создания системы обеспечения безопасности информации и обуславливается необходимостью наличия специальных лицензий на выполнение работ по проектированию защищенных информационных систем, а также большими затратами по времени и привлечением квалифицированных ресурсов. Услуга носит разовый (но продолжительный) характер и предполагает:

— сбор необходимых исходных данных, инвентаризацию ресурсов и процессов БИ;

— определение бизнес-потребностей в обеспечении безопасности информации;

— определение функциональных требований к системе обеспечения безопасности;

— инвентаризацию и оценку технологий, которые позволят обеспечить БИ;

— разработку методики выбора решений по обеспечению БИ;

— разработку и защиту проекта архитектуры системы БИ;

— разработку системы контроля (мониторинга) состояния БИ.

При оказании услуги по разработке архитектуры безопасности информации поставщики услуг могут содействовать заказчикам услуг в выполнении необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций. При этом заказчик остается ответственным за принятые решения по выбору архитектуры безопасности информации на основе представленных рекомендаций.

Операционные сервисы безопасности информации

Услуга повышения осведомленности (обучения) персонала организации может носить как среднесрочный, так и периодический краткосрочный характер. Услуга применяется при уже сформированной системе обеспечения безопасности информации и обуславливается необходимостью владения специальными методиками обучения и развития навыков, наличия опыта слаживания коллектива, глубокого знания теоретических основ обеспечения безопасности информации и предполагает:

— разработку индивидуальных программ обучения работников основам обеспечения БИ;

— проведение тренингов, семинаров, воркшопов с работниками;

— обучение применению конкретных средств защиты;

— проведение периодических инструктажей работников по вопросам обеспечения БИ;

— подготовку рекомендаций по совершенствованию системы подготовки работников.

Услуга управления безопасностью информации относится к долгосрочным услугам и направлена на создание эффективного механизма управления процессами обеспечения безопасности информации при минимальных затратах на содержание обслуживающего персонала. Услуга основана на необходимости проведения достаточно сложной и квалифицированной работы по определению взаимосвязи (корреляции) между разрозненными событиями безопасности информации и выявлению возникающих событий, влияющих на ее состояние, а также выработки правил контроля за работоспособностью средств защиты информации. Услуга предполагает разработку регламентов устранения инцидентов и разделения полномочий по обработке инцидентов с передачей функций контроля и первичной аналитической обработки поставщику услуг, а также передачей ему прав управления (администрирования) средствами защиты информации. Услуга включает в себя:

— анализ возможных инцидентов и определение взаимосвязи событий;

— формирование базы решающих правил для обнаружения событий БИ;

— контроль (мониторинг) установленных безопасных конфигурации ИС и настроек СЗИ;

— администрирование средств защиты информации;

— консультационно-юридическую поддержку процессов обеспечения БИ.

Услуга расследования инцидентов безопасности информации (форензика) является эпизодической или может носить долговременный характер (абонентское обслуживание). Услуга основана на необходимости наличия глубоких компетенций в юридической и технологических областях, а также анализа существующей судебной практики. Услуга требует использования специального программного обеспечения для сбора, анализа и фиксации данных об инциденте и предполагает:

— восстановление хронологии событий при инциденте;

— обнаружение используемых инструментов совершения противоправных действий;

— сбор и фиксацию доказательной базы по инциденту;

— установление источника инцидента;

— оценку масштаба произведенных действий и возможных последствий;

— подготовку рекомендаций по устранению инцидента и недопущению его в дальнейшем;

— установление виновного и причин его действий.

При оказании услуги расследования инцидентов поставщик услуги может оказывать содействие заказчику услуги в юридическом оформлении результатов расследования для передачи в компетентные органы, проведении независимых и судебных криминалистических экспертиз.

Услуга технического обслуживания средств защиты информации является среднесрочной или долгосрочной. Услуга обуславливается необходимостью наличия специальных лицензий на выполнение работ по техническому обслуживанию (например, для СКЗИ), отсутствием у заказчика работников требуемого уровня компетенции или когда такие работники заняты на выполнении других ответственных задач. Состав услуги определяется текущими потребностями заказчика и составом применяемых средств защиты информации.

Технологические сервисы безопасности информации

Услуга по реализации мер защиты является, как правило, долгосрочной и применяется при использовании арендуемой инфраструктуры для размещения информационной системы или передаче наиболее ресурсоемких функций обеспечения безопасности информации поставщику услуг. Такая услуга может быть оказана в различных комбинациях элементов услуги, предполагающих управление:

— средствами межсетевого экранирования ИС;

— средствами обнаружения вторжений в ИС;

— средствами защиты от DDoS-атак;

— средствами контентной фильтрации электронной почты;

— средствами защиты Web-приложений;

— средствами антивирусной защиты;

— средствами сбора и обработки информации об инцидентах;

— системами идентификации и аутентификации пользователей.

Услуга требует обязательной разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров передаваемых функций безопасности информации, определения порядка контроля за исполнением функций безопасности информации со стороны заказчика.

Услуга по предоставлению защищенной инфраструктуры для ИС также носит долгосрочный характер и характерна при использовании (аренде) инфраструктуры для размещения информационной системы или ее элементов в ЦОД или при аренде элементов инфраструктуры у поставщиков услуг. Она предполагает представление в пользование заказчику:

— инфраструктуры защищенной электронной почты;

— защищенных каналов связи;

— инфраструктуры открытых ключей;

— защищенного сегмента инфраструктуры ИС в ЦОД.

Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и имеющейся у него инфраструктуры. Услуга требует обязательного подтверждения со стороны независимой экспертной организации возможности предоставления защищенной инфраструктуры поставщиком услуг, разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров функций безопасности информации, реализуемых предоставляемой инфраструктурой, и порядка контроля за исполнением функций безопасности информации со стороны заказчика.

Услуги по оценке безопасности продуктов и ИС могут носить как разовый (эпизодический), так и постоянный (периодический) характер. Применимость услуги обуславливается сложностью и трудоемкостью процедур оценки безопасности продуктов и ИС, необходимостью наличия специализированного стендового оборудования, методик и квалифицированного персонала. Услуга применяется как на этапе создания (модернизации) системы обеспечения безопасности информации, так и при периодических оценках соответствия информационной системы установленным требованиям безопасности информации. Услуга предполагает:

— проведение периодического анализа уязвимостей и тестирование ИС;

— проведение контроля безопасности кода программного обеспечения;

— проведение сертификации средств защиты информации;

— проведение периодической оценки соответствия ИС требованиям по БИ.

Услуга по безопасной разработке прикладного программного обеспечения предполагает не только собственно разработку программного обеспечения, но и его поддержку в ходе эксплуатации, устранение выявленных уязвимостей, совершенствование механизмов защиты, применяемых в программном обеспечении. Применимость услуги обуславливается ресурсоемкостью процесса разработки прикладного программного обеспечения, необходимостью глубокого знания стандартов и методик разработки безопасного программного обеспечения, проведения значительного объема тестовых испытаний по поиску и устранению уязвимостей. Услуга применяется на этапе создания (модернизации) информационной системы.

Услуга по обработке защищаемой информации носит долгосрочный характер и применяется в случае отсутствия у заказчика необходимой инфраструктуры и специалистов и предполагает передачу поставщику услуг всего цикла обработки информации. Данная услуга наиболее характерна для малых и микроорганизаций. При оказании данной услуги заказчик услуг, передавая весь процесс обработки информации поставщику услуг, остается ответственным за обеспечение безопасности информации. Данная услуга связана с допуском работников поставщика услуг к защищаемой информации в полном объеме и требует тщательного документирования необходимых требований по обеспечению безопасности информации и порядка взаимодействия сторон.

Часть 3. Ворох документов

Привлекая поставщика услуг, заказчик пускает его в свою жизнь, встраивает в свои бизнес-процессы. И зачастую, отказаться от услуг поставщика бывает сложнее, чем начать отношения с ним. Поэтому правила игры надо выстраивать еще на берегу, до того, как приступить к потреблению благ от поставщика. Здесь важно все грамотно юридически оформить, чтобы в дальнейшем не было мучительно больно за бесцельно потраченные деньги. Поэтому и требуется целый ворох правильных документов, охватывающий все аспекты дальнейшего сотрудничества между поставщиком и заказчиком услуг. Пакет документов при передаче функций (процессов) обеспечения безопасности информации поставщику услуг должен включать в себя:

— договор с поставщиком услуг;

— соглашение об уровне предоставления услуг (SLA);

— соглашение о конфиденциальности (NDA);

— требования по безопасности информации (для отдельных видов услуг);

— поручение на обработку защищаемой информации (для отдельных видов услуг);

— регламент взаимодействия.

Договор с поставщиком услуг

Договор с поставщиком услуг по своей сути является комплексным договором, но в своей основе относится к договорам возмездного оказания услуг, при котором ценностью для заказчика являются сами действия исполнителя в ходе оказания услуги как процесс, а не достижение поставщиком определенного результата. Такой договор оформляется в соответствии с требованиями ст. 779 ГК РФ, которая предусматривает совершение определенных действий или осуществление определенной деятельности поставщиком услуг. Исключение составляет договор на передачу обработки защищаемой информации поставщику услуг, который заключается как договор поручения в соответствии со ст. 971 ГК РФ.

Существенными условиями договора возмездного оказания услуг являются предмет договора (осуществление определенных действий или определенной деятельности) и цена. В договоре должны быть четко указаны перечень услуг и конкретные действия, которые поставщик услуг обязан совершить для заказчика. Можно, конечно, не указывать в договоре конкретный объем услуг, если он определяется в дополнительных соглашениях между сторонами. В договоре, в зависимости от оказываемых услуг, также должны быть отражены:

— обязанность поставщика услуг оказывать услуги личным исполнением;

— уровень качества оказываемых услуг;

— обязанность обеспечения безопасности информации поставщиком услуг;

— обязанность поставщика услуг не раскрывать третьим лицам и не распространять защищаемую информацию;

— обязанность поставщика услуг принять технические и организационные меры защиты в соответствии с требованиями заказчика услуг;

— обязанность поставщика услуг провести оценку эффективности принятых мер защиты;

— обязанность поставщика услуг соблюдать согласованные показатели качества услуг;

— право и возможность оператора осуществлять проверку (контроль) принятых мер защиты (аудита безопасности), в том числе с привлечением третьей независимой стороны;

— право оператора осуществлять проверку (оценку) качества выполнения услуги;

— санкции за нарушение мер защиты и за невыполнение согласованных ключевых параметров качества услуг и порядок возмещения ущерба;

— состав услуг, поддерживаемых поставщиком услуг в случае возникновения чрезвычайных ситуаций;

— порядок приемки оказанных услуг.

Чтобы облегчить себе жизнь в дальнейшем, при подготовке договора надо стремиться к включению в него положений, обеспечивающих полную компенсацию ущерба от нарушения мер защиты и невыполнения согласованных параметров качества, включая репутационный и моральный ущерб, без обращения в суд.

В договоре также целесообразно указать услуги (сервисы), которые будут поддерживаться поставщиком услуг в случае возникновения чрезвычайных ситуаций, а также возможность проведения независимого аудита обеспечения безопасности информации со стороны поставщика услуг третьей независимой стороной.

Обычно поставщик услуг предоставляет некоторый период тестирования своей услуги для принятия окончательного решения о ее предоставлении. Но если перед заключением договора этап тестирования предоставляемой услуги не проводится, в договор надо включить положение, по которому в течение определенного периода услуги оказываются бесплатно, и заказчик в течение этого периода вправе расторгнуть договор без каких-либо санкций и обязательств.

Все положения договора возмездного оказания услуг должны быть согласованы сторонами. К договору могут быть приложены в качестве неотъемлемой части договора остальные документы из состава пакета договорных документов.

Соглашение об уровне предоставления услуг (SLA)

Соглашение об уровне предоставления услуг (SLA) – это формальный договор между заказчиком и поставщиком услуги, гарантирующий предоставление услуги с уровнем качества не ниже согласованного и содержащий:

— описание состава предоставляемой услуги (сервиса);

— обязательства поставщика услуг и условия предоставления услуг;

— права и обязанности сторон, описание и распределение зон ответственности;

— согласованный уровень качества услуги (перечень ключевых параметров качества);

— описание расчета ключевых параметров качества и частоты отчетов;

— методы и средства контроля ключевых параметров качества;

— описание процедуры контроля за исполнением соглашения;

— описание процедуры отчетов о проблемах и условия эскалации проблем;

— описание процедуры восстановления работы в случае перебоев;

— описание процедуры решения рассогласований (спорных вопросов);

— описание процедуры запросов на изменение;

— описание порядка платежей, связанных с оказанием услуги (сервиса).

Описание состава услуги, предоставляемой поставщиком услуг, должно содержать:

— стороны, вовлеченные в соглашение, и сроки действия соглашения;

— общее описание услуги;

— функции безопасности информации, реализуемые поставщиком услуг;

— состав используемого программного и аппаратно-программного обеспечения;

— местоположение оборудования, используемого для оказания услуги;

— каналы связи, используемые поставщиком услуг для оказания услуги;

— состав входящей информации, обеспечивающей выполнение услуги;

— процедуры, используемые поставщиком услуг и порядок их применения;

— стандарты безопасности информации, используемые поставщиком услуг;

— наличие необходимых лицензий у поставщика услуг на выполнение работ;

— наличие лицензий на использование задействованного программного обеспечения;

— состав работников, занятых для оказания услуги, их функции, роли и обязанности;

— уровень квалификации работников, занятых для оказания услуги;

— состав ведущейся поставщиком услуг документации и отчетность по услуге.

Контрольные параметры качества услуги (сервиса), вносимые в соглашение, должны быть измеримыми и представляться в виде числовых метрик. Состав ключевых параметров качества зависит от состава заказываемых услуг. Для выбора ключевых параметров качества рекомендуется использовать стандарты ITIL и COBIT. Например, в качестве параметров качества услуги могут выступать:

— Время реакции на обращение пользователя – время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение пользователя о проблеме) до момента фактического начала работ по факту обращения.

— Время решения проблемы – время, прошедшее с момента фактического начала работ над проблемой до закрытия заявки. Временем начала работы над проблемой считается момент отправки заказчику уведомления о начале работ. Временем решения проблемы считается момент отправки заказчиком сообщения, подтверждающего закрытие заявки.

— Время жизни инцидента – суммарное время, прошедшее с момента поступления и регистрации обращения, до момента закрытия заявки на обслуживание.

— Минимальное время реакции исполнителя – минимальное время, необходимое поставщику услуг при аварийных ситуациях для устранения их последствий.

— Уровень брака – это количественное или процентное выражение количества сбоев, включающее в себя число отказов за отчетный период, число случаев несоблюдения сроков и случаев предоставления услуги неприемлемого качества, приведших к необходимости ее повторного оказания.

— Техническое качество – в случае разработки приложений в режиме аутсорсинга этот критерий определяет уровень технического качества предоставленного программного кода. Контроль за этим параметром обычно осуществляется при помощи коммерческих программных инструментов, проверяющих такие характеристики, как длина кода, уровень структурированности, уровень сложности, а также погрешности кода.

— Доступность услуги – количество времени или временной промежуток, в котором услуги, предоставляемые поставщиком услуг, остаются доступными. Параметр может принимать значения «да» или «нет». Оговаривается допустимый уровень (максимальное время недоступности).

— Средняя доступность услуги – среднее количество сбоев (фактов, когда предоставляемые поставщиком услуги остаются доступными) за период предоставления услуги.

— Удовлетворенность сервисом – степень удовлетворенности заказчика услуг уровнем предоставленной поставщиком услуги (сервиса). Параметр определяется отдельно для каждой значимой функции при помощи внутренних и внешних опросов. Опросы могут проводиться нейтральной третьей стороной.

Количество параметров качества услуги (сервиса), вносимых в соглашение, должно быть минимальным, но достаточным для проведения объективной оценки качества предоставляемой услуги. При выборе значений показателей параметров качества услуги (сервиса) можно исходить из текущего состояния процесса, передаваемого на аутсорсинг. Установленные параметры должны быть достижимы в текущей обстановке и при существующих обстоятельствах. При определении метрик параметров качества услуги (сервиса) необходимо учитывать, что разные работники заказчика могут требовать разных условий оказания одних и тех же услуг.

В соглашении об уровне предоставления услуг должна быть также отражена ответственность заказчика при использовании услуги (сервиса), например:

— необходимость подготовки и поддержки соответствующих конфигураций оборудования и программного обеспечения;

— соблюдение правил настройки и проведения регламентных работ;

— процедура изменения согласованной конфигурации.

Соглашение об уровне предоставления услуг требует периодического пересмотра и внесения изменений в случаях изменения:

— внешних обстоятельств;

— ожиданий и/или потребностей заказчика;

— рабочей нагрузки;

— появление лучших средств, процедур и параметров измерения качества услуг.

Соглашение о конфиденциальности (NDA)

Соглашение о конфиденциальности (NDA) – это формальный договор между заказчиком и поставщиком услуги, направленный на урегулирование вопросов обмена информацией, подлежащей защите, и создания правового основания для возложения на виновную в нарушении конфиденциальности информации сторону обязанности по компенсации убытков невиновной стороне.

Соглашение о конфиденциальности является одной из мер по защите информации, но самостоятельно не является достаточным механизмом защиты информации. Для создания правовой основы действия Соглашения о конфиденциальности как правового механизма, позволяющего защитить коммерческую тайну, у заказчика должен быть введен режим коммерческой тайны в соответствии с законодательством Российской Федерации, а само соглашение должно учитывать требования этого законодательства и включать следующие существенные условия:

— предмет соглашения, определение конфиденциальной информации;

— формы и способы предоставления конфиденциальной информации;

— условия обеспечения конфиденциальности информации;

— сроки действия режима конфиденциальности информации;

— права и обязанности сторон по сохранению конфиденциальности информации;

— допустимость раскрытия конфиденциальной информации в определенных случаях;

— ответственность за нарушение Соглашения о конфиденциальности;

— порядок разрешения споров.

При определении предмета соглашения необходимо закрепить в Соглашении о конфиденциальности полный перечень информации, которая не подлежит разглашению и требует защиты. Целесообразно использовать перечень (выписку из перечня) информации, составляющий коммерческую тайну у заказчика. Необходимо также в данный перечень включать информацию, подлежащую защите в силу закона (персональные данные, банковская тайна и др.) и которая может стать известной поставщику услуг при оказании услуги.

При определении форм и способов представления информации необходимо исходить из того, что информация может передаваться как в письменной или электронной форме, так и устно. При этом необходимо определить порядок маркирования (нанесения грифа, атрибутирования) на носители информации и порядок фиксирования конфиденциальности устной информации.

При определении условий обеспечения конфиденциальности необходимо:

— определить состав мер, которые надлежит исполнить для защиты информации;

— регламентировать порядок защиты, хранения, обмена (предоставления) информации;

— установить порядок допуска работников поставщика услуг к защищаемой информации;

— определить порядок возврата и/или уничтожения информации по окончании услуги.

Сроки действия режима конфиденциальности определяются по согласованию сторон, но не могут быть меньше сроков хранения документов и соблюдения конфиденциальности, установленных законодательством Российской Федерации для различных видов информации.

При определении прав и обязанностей сторон в Соглашении о конфиденциальности необходимо отразить право заказчика осуществлять контроль за соблюдением установленного режима защиты информации и обязанность поставщика услуг предоставлять возможность такого контроля. Необходимо также оговорить право сторон на обращение в суд за разрешением спорных вопросов и истребованием понесенных убытков (ущерба).

В Соглашении о конфиденциальности должны быть оговорены случаи, при которых допускается раскрытие конфиденциальной информации, предусмотренные законодательством.

Меры ответственности сторон за нарушение Соглашения о конфиденциальности определяются в соответствии с общими нормами, установленными ст. ст. 15, 330, 394 ГК РФ, и могут включать как возмещение убытков в полном объеме, так и реального ущерба.

При определении порядка разрешения споров целесообразно использовать обязательный претензионный досудебный порядок разрешения споров.

Требования по безопасности информации

Составление Требований по безопасности информации характерно для технологических сервисов безопасности информации и в частности при оказании услуг:

— по реализации мер защиты;

— по предоставлению защищенной инфраструктуры ИС;

— по обработке защищаемой информации.

Не будем забывать, что ответственность за правильный выбор мер защиты и формирование требований к механизмам и функциям защиты лежит на заказчике. В случае если поставщик услуг в рамках оказания услуги проводит оценку угроз безопасности информации и состояния защищенности информационной системы заказчика, он может подготовить предложения по необходимым требованиям безопасности информации, однако окончательное решение о достаточности данных требований принимает непосредственно заказчик.

Требования по безопасности информации, которые надлежит выполнить поставщику услуг, могут быть оформлены в виде ссылки на необходимость выполнения требований, изложенных в руководящих и методических документах ЦБ РФ, ФСТЭК России и ФСБ России для соответствующего класса защищенности используемых средств защиты, либо как самостоятельный документ, описывающий конкретные функции (механизмы) безопасности и их параметры, которые должны быть реализованы при оказании услуги.

В качестве методического материала при выборе требований к механизмам (функциям) безопасности информации можно использовать «Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах», утвержденный 11.02.2014 г.

Поручение на обработку защищаемой информации

Поручение на обработку информации характерно при передаче поставщику услуг обработки информации (технологический сервис), в том числе обязательно для сведений, содержащих персональные данные. При этом поручение должно содержать:

— цель обработки и состав персональных данных, подлежащих обработке;

— перечень действий (операций) поставщика услуг с обрабатываемой информацией;

— уровень защищенности ИС, который должен быть обеспечен;

— требования к защите обрабатываемой информации;

— порядок уничтожения информации по завершении ее обработки;

— порядок оценки эффективности принятых мер защиты.

Регламент взаимодействия

Регламент взаимодействия – документ, определяющий порядок взаимодействия подразделений и работников поставщика услуг и заказчика в рамках процесса предоставления услуги (сервиса). Регламент представляет собой свод правил принятия решений исполнителями в разных ситуациях и позволяет организовать горизонтальные взаимодействия подразделений и/или работников поставщика услуг и заказчика услуг. Регламент должен содержать:

— терминологию, используемую при оказании услуги;

— состав процессов, регулируемых регламентом;

— порядок инициирования, выполнения, эскалации и закрытия регулируемых процессов;

— порядок контроля исполнения процессов.

В качестве формы регламента можно использовать ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов».

Регламент может содержать описание процессов взаимодействия подразделений и/или работников поставщика услуг и заказчика при:

— нештатных ситуациях;

— инцидентах безопасности информации;

— при эскалации возникающих проблем;

— осуществлении контроля и мониторинга качества предоставляемых услуг;

— размещении и эксплуатации оборудования и программного обеспечения;

— обеспечении физического допуска на объекты поставщика услуг.

Конкретный состав регламентируемых процессов определяется объемом и составом предоставляемых услуг. При описании регламентируемых процессов надо указывать:

— событие, запускающее процесс;

— событие, завершающее процесс;

— срок выполнения процесса;

— место выполнения процесса;

— функции (действия), выполняемые в рамках процесса;

— правила и методы выполнения процесса;

— исполнителей процесса;

— права и ответственность исполнителей;

— средства документирования процесса;

— средства контроля выполнения процесса.

К событиям, запускающим процесс (наступление определенных условий), как правило, относятся:

— получение внешнего сигнала или воздействия (должны быть указаны допустимый вид и источник такого сигнала);

— инициатива определенных работников (право инициативы должно быть установлено нормативным актом);

— достижение определенных (критических) значений контролируемыми параметрами (должны быть указаны величины значений);

— наступление определенных сроков (календарных или относительных);

Событие, завершающее процесс, состоит, как правило, в получении всех требуемых выходных объектов и достижении цели регулируемого процесса. Момент события, завершающего процесс, как правило, жестко связан с моментом учета выполнения данного процесса.

Срок выполнения процесса задается либо как общая продолжительность процесса с момента запуска процесса до момента его завершения, либо как требуемое время завершения процесса. Для учета выполнения процесса рекомендуется в регламенте предусмотреть порядок фиксации моментов запуска и завершения процесса.

Функции (действия), выполняемые в рамках процесса, должны соответствовать функциям, установленным в должностных инструкциях, положениях о подразделениях.

В регламенте указываются конкретные исполнители процесса. В случае если указать конкретного исполнителя невозможно, в рамках регламента надо определить роль (совокупность функций, прав и ответственности), необходимую для выполнения регулируемого процесса, и установить порядок определения конкретного работника, исполняющего данный процесс. Указываемый исполнитель должен соответствовать масштабу процесса.

В регламенте четко фиксируются моменты передачи управления процессом (или передачи объектов процесса) от одного исполнителя к другому.

Как приложение к регламенту могут оформляться графические схемы процессов, описываемых регламентом, которые служат для иллюстративных, облегчающих понимание регламента целей и не заменяют собой текст регламента. Такие схемы, как правило, оформляются для часто повторяющихся процессов.

Часть 4. Кто лучше?

Действительно, кто лучше? Кого выбрать поставщиком услуг безопасности информации? Вопрос далеко не праздный. Авторы уже не раз отмечали, что отношения между поставщиком услуг и заказчиком строятся на доверии. А доверие, в свою очередь, определяется той степенью осведомленности заказчика о деятельности поставщика, которую он может себе позволить. Поэтому на предварительном этапе необходимо сосредоточиться на всесторонней оценке претендента и подходить к этому так, как подходит расчетливая будущая теща к выбору будущего зятя. К оценке поставщика услуг надо привлекать все силы службы собственной безопасности заказчика, риск-менеджеров и всех, кто отвечает за оценку контрагентов. Такая оценка должна проводиться на основе сбора и анализа информации, имеющейся в открытом доступе, а также сведений, предоставляемых самими поставщиком услуг или полученных в ходе предварительных переговоров. Каждый поставщик должен соответствовать тем требованиям, которые выдвигает заказчик. А требования эти могут быть как объективные, так и субъективны.

Объективные требования к поставщику услуг

При выборе поставщика услуг (сервисов) безопасности информации необходимо удостовериться в наличии у него:

— необходимых лицензий;

— необходимых ресурсов производственных мощностей;

— системы менеджмента сервисами и качеством;

— квалифицированных кадров;

— опыта оказания аналогичных услуг;

— аттестата соответствия требованиям безопасности или

— заключения независимых экспертов.

Большинство видов услуг (сервисов) безопасности информации, а также передачи информации относятся к лицензируемым видам деятельности. В соответствии с законодательством Российской Федерации поставщик услуг должен иметь действующую на все время оказания услуги и на территории, на которой осуществляет деятельность заказчик услуги:

— Лицензию на оказание телематических услуг связи[2] – для поставщиков операционных и технологических сервисов, связанных с предоставлением хостинга, доступа в интернет, электронной почты, доступа к информации с использованием инфокоммуникационных технологий.

— Лицензию на оказание услуг по предоставлению каналов связи в соответствии[3] – для поставщиков технологических услуг (услуга по предоставлению защищенной инфраструктуры ИС), связанных с предоставлением (арендой) каналов связи.

— Лицензию на деятельность по технической защите конфиденциальной информации[4], в том числе на проектирование в защищенном исполнении средств и систем информатизации, установку, монтаж, испытания, ремонт средств защиты информации, защищенных программных (программно-технических) средств обработки информации – для всех поставщиков сервисов (услуг) безопасности информации.

— Лицензию на деятельность по технической защите конфиденциальной информации[5], в том числе контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации – для поставщиков управленческих сервисов безопасности информации.

— Лицензию на предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[6] – для поставщиков технологических сервисов (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с использованием средств криптографической защиты информации.

— Лицензию на предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[7] – для поставщиков технологических сервисов (услуга по предоставлению защищенной инфраструктуры ИС, услуга по обработке защищаемой информации, услуга по реализации мер защиты), связанных с использованием имитозащиты обрабатываемой информации.

— Лицензию на предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации[8] – для поставщиков технологических сервисов, связанных с предоставлением (арендой) каналов связи.

— Лицензию на изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств[9] – для поставщиков технологических сервисов безопасности информации (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с формированием и использованием сертификатов электронных подписей или формированием исходной ключевой информации.

Оценка необходимых ресурсов и производственных мощностей поставщика услуг связана с тем, что при оказании услуги заказчик услуги непосредственно присутствует в процессе, передаваемом на аутсорсинг, а также с необходимостью индивидуализации предоставляемого сервиса под нужды заказчика. При изучении наличия необходимых ресурсов и производственных мощностей поставщика услуг необходимо оценить:

— объемы выделяемых ресурсов для предоставления услуги;

— наличие у поставщика услуг собственных средств и специалистов;

— наличие и достаточность для оказания услуги производственных площадей;

— номенклатуру (спецификацию) имеющихся у поставщика услуг средств и ресурсов;

— наличие резервного оборудования и мощностей, используемых для оказания услуги;

— период времени, необходимый на получение ресурсов.

Оказание сервиса (услуги) безопасности информации предполагает необходимость управления персоналом поставщика услуг, регламентации процессов и системы обеспечения безопасности информации, задействованных при оказании услуги. При изучении системы менеджмента сервисами и качеством поставщика услуг необходимо изучить:

— организацию управления процессами у поставщика услуг;

— организацию управления качеством предоставляемой услуги;

— организацию управления безопасностью информации.

Для оценки организации управления целесообразно опираться на требования национальных стандартов Российской Федерации[10].

Соответствие требованиям данных стандартов свидетельствует о некотором уровне надежности поставщика и добротности его компании, поэтому целесообразно, чтобы поставщик услуг имел соответствующие сертификаты соответствия требованиям данных стандартов, являющиеся внешним независимым подтверждением достижения требований стандарта.

При рассмотрении сертификатов необходимо обращать внимание на объект оценки, которая должна соответствовать содержанию предоставляемой услуги (сервиса). Необходимо также учитывать, что наличие сертификата соответствия требованиям ГОСТ Р ИСО/МЭК 27001-2006 свидетельствует о наличии у поставщика услуг системы управления информационной безопасностью, но не гарантирует соответствие самой системы обеспечения безопасности установленным требованиям.

Квалификация и компетентность работников поставщика услуг, участвующих в оказании услуги, оценивается по наличию у них сертификатов производителей оборудования и программного обеспечения, свидетельств обучения и повышения квалификации по направлению информационных технологий и обеспечения безопасности информации, стаж работы по требуемым направлениям деятельности.

При оценке квалификации и компетентности работников поставщика услуг необходимо убедиться, что внутренними документами поставщика услуг определен порядок организации работ по повышению квалификации (профессиональному обучению и (или) дополнительному образованию) работников.

Опыт оказания аналогичных услуг оценивается по представляемым поставщиком услуг сведениям о таких работах и анализу запросов о качестве услуг, направляемых в адрес предшествующих заказчиков, или публичных отзывов о деятельности поставщика услуг.

Наличие аттестата соответствия требованиям безопасности или заключения независимых экспертов является свидетельством того, что система обеспечения безопасности информации поставщика услуг соответствует установленным требованиям по безопасности информации. При этом необходимо оценить достаточность подтвержденного уровня защищенности информационной системы поставщика услуг требуемому для заказчика услуг.

Субъективные требования к поставщику услуг

При выборе поставщика услуг должны учитываться также качественные показатели. К таким показателям относятся:

— сведения о владельцах и администрации поставщика услуг;

— специализация поставщика услуг;

— репутация (имидж) поставщика услуг;

— отсутствие негативных сообщений о нем в средствах массовой информации;

— кредитоспособность и финансовое положение поставщика услуг;

— конкурентное положение (рейтинг) поставщика услуг на рынке аналогичных услуг;

— способность к контакту и длительным доверительным отношениям;

— психологический климат в трудовом коллективе поставщика услуг, риск забастовок.

Негативная оценка хотя бы по одному из таких показателей может служить поводом в отказе от его услуг.

Мониторинг порядка и качества предоставления услуг

При аутсорсинге главное правило: доверяй, но проверяй! Поэтому вопросу мониторинга порядка и качества предоставления услуг поставщиком надо уделять особое внимание. Такой мониторинг может проводиться на основе:

— анализа отчетов провайдера услуг;

— опроса работников (потребителей) заказчика услуг;

— инспекционного контроля;

— мониторинга с привлечением третьей стороны.

Не будем забывать, что именно поставщик услуг должен организовать мониторинг предоставления услуги по оговоренным с заказчиком параметрам, это и в его интересах. Результаты мониторинга предоставляются заказчику периодически или по требованию.

Со своей стороны заказчик должен организовать регулярный опрос работников (потребителей) с целью определения качества услуг, предоставляемых поставщиком, и удовлетворенности ожиданий. Такой опрос проводится на основе заранее разработанных опросных листов (чек-лист), охватывающих основные параметры предоставляемой услуги и оценку ожиданий потребителя.

Инспекционный контроль проводится на основе договоренностей с поставщиком услуг и в объеме, установленном в договорных документах (не забудьте включить это в договор). Заказчик должен иметь возможность проведения внезапного инспекционного контроля.

При наличии возможности контроль услуг может производиться заказчиком путем получения и анализа информации с использованием предоставленных поставщиком услуг консолей мониторинга и управления.

Для оценки выполнения порядка и качества предоставляемой услуги может привлекаться третья независимая сторона, которая осуществляет такую оценку на основе опроса работников поставщика и заказчика и анализа результатов технического мониторинга, предоставляемого поставщиком услуг или проводимого самостоятельно.

Эпилог

Резюмируя все сказанное, можно отметить, что аутсорсинг безопасности информации возможен и даже где-то полезен. Да, особенности есть, их надо помнить и учитывать, но ничего невозможного нет. Хотя… В заключение несколько слов о проблемах применения аутсорсинга в госучреждениях и иже с ними. Встает вопрос, могут ли такие учреждения применять схему аутсорсинга? Вопрос не праздный. Теоретически – да, никто не запрещает. А на практике? Мы много говорили о том, что отношения между поставщиком и заказчиком услуг строятся на доверии, которое во многом зависит от изучения возможностей и репутации поставщика. И в то же время законом прямо определено: не допускается включение в документацию о закупке требований к участнику закупки, в том числе требования к квалификации участника закупки, включая наличие опыта работы, а также требования к деловой репутации участника закупки, требования к наличию у него производственных мощностей, технологического оборудования, трудовых, финансовых и других ресурсов, необходимых для выполнения работы или оказания услуги, являющихся предметом контракта[11]. Вот и приплыли. Либо покупай кота в мешке, либо откажись от аутсорсинга…

[2] Постановление Правительства Российской Федерации от 18.02.2005 г. № 87

[3] Постановление Правительства Российской Федерации от 18.02.2005 г. № 87

[4] Постановление Правительства Российской Федерации от 03.02.2012 г. № 79

[5] Постановление Правительства Российской Федерации от 03.02.2012 г. № 79

[6] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313

[7] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313

[8] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313

[9] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313

[10] ГОСТ Р 54869-2011, ГОСТ Р 54870-2011, ГОСТ Р 54871-2011, ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО/МЭК 2000, ГОСТ Р ИСО/МЭК 27001-2006

[11] Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», ст. 33, часть 3.

---

Смотрите также

• 
  Форма удостоверения по промышленной безопасности
• 
  Лекции по промышленной безопасности для руководителей и специалистов
• 
  Обеспечение личной безопасности в криминогенных ситуациях обж 10 класс
• 
  Школа безопасности презентация для начальных классов
• 
  Инструктаж по технике безопасности в мфц
• 
  Техника безопасности при работе на заточном станке
• 
  Что такое ключ безопасности сети вай фай и где его взять
• 
  Технические средства обеспечения информационной безопасности
• 
  Конференция по транспортной безопасности 2015
• 
  Папка передвижка пожарная безопасность для родителей в детском саду
• 
  Информационная безопасность или прикладная информатика