O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
© 2020 Cisco and/or its affiliates. All rights reserved.
Алексей Лукацкий
Бизнес-консультант по кибербезопасности
alukatsk...
© 2020 Cisco and/or its affiliates. All rights reserved.
Что такое аутсорсинг?
• Аутсорсинг – это не
услуги, оказываемые п...
© 2020 Cisco and/or its affiliates. All rights reserved.
Вы не можете реализовать практически
никаких защитных мер
У вас с...
© 2020 Cisco and/or its affiliates. All rights reserved.
Выбор аутсорсера с точки зрения ИБ
• Защита данных и
обеспечение ...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights...
© 2020 Cisco and/or its affiliates. All rights reserved.
В России пока мало кто
всерьез задумывается об ИБ
аутсорсинга!
Аутсорсинг. Управление рисками информационной безопасности
Próximos SlideShares
Carregando em…5
×

0

Compartilhar

Baixar para ler offline

Аутсорсинг. Управление рисками информационной безопасности

Baixar para ler offline

Выступление на конференции GlobalCIO, посвященной вопросам аутсорсинга, рассмотренных с разных сторон.

  • Seja a primeira pessoa a gostar disto

Аутсорсинг. Управление рисками информационной безопасности

  1. 1. © 2020 Cisco and/or its affiliates. All rights reserved. Алексей Лукацкий Бизнес-консультант по кибербезопасности alukatsk@cisco.com Аутсорсинг Управление рисками информационной безопасности
  2. 2. © 2020 Cisco and/or its affiliates. All rights reserved. Что такое аутсорсинг? • Аутсорсинг – это не услуги, оказываемые предприятию внешними подрядчиками • это передача сторонней компании полномочий по исполнению (не)критичных для бизнеса функций • В зависимости от типа бизнеса обращение к внешнему подрядчику может называться аутсорсингом, а может и нет… Но так ли это важно?!...
  3. 3. © 2020 Cisco and/or its affiliates. All rights reserved. Вы не можете реализовать практически никаких защитных мер У вас смещается фокус с обеспечение ИБ в сторону мониторинга и контроля Это в меньшей степени технические меры, больше юридические Длительный процесс due diligence Большое внимание договору с аутсорсером Информационная безопасность аутсорсинга
  4. 4. © 2020 Cisco and/or its affiliates. All rights reserved. Выбор аутсорсера с точки зрения ИБ • Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
  5. 5. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. q Как мои данные отделены от данных других клиентов? q Где хранятся мои данные? q Как обеспечивается конфиденциальность и целостность моих данных? q Как осуществляется контроль доступа к моим данным? q Как данные защищаются при передаче от меня к облачному провайдеру? q Как данные защищаются при передаче от одной площадки облачного провайдера до другой? q Реализованы ли меры по контролю утечек данных? q Может ли третья сторона получить доступ к моим данным? Как? q Оператор связи, аутсорсер облачного провайдера, силовики q Все ли мои данные удаляются по завершении предоставления сервиса? Защита данных Основной вопрос при ИБ аутсорсинга
  6. 6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. q Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу q Какие данные собираются о заказчике? q Где хранятся? Как? Как долго? q Какие условия передачи данных клиента третьим лицам? q Законодательство о правоохранительных органах, адвокатские запросы и т.п. q Гарантии нераскрытия информации третьим лицам и третьими лицами? Privacy В том случае, если для вас критична тема персональных данных или вы «ходите» под GDPR
  7. 7. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Доступность Это второй по важности параметр, на который надо обращать внимание q Обеспечиваемый уровень доступности в SLA (сколько девяток) q Какие меры обеспечения доступности используются для защиты от угроз и ошибок? q Резервный оператор связи q Защита от DDoS q Доказательства высокой доступности аутсорсера q План действия во время простоя q Пиковые нагрузки и возможность аутсорсера справляться с ними q Уровень сертификации ЦОД аутсорсера
  8. 8. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. q Как часто сканируется сеть и приложения? q Попадает ли облачный провайдер под требования PCI DSS и ежеквартального сканирования со стороны ASV? q Может ли заказчик осуществить внешнее сканирование сети аутсорсера с целью контроля его защищенности? На каких условиях? q Каков процесс устранения уязвимостей? Управление уязвимостями Уязвимости бывают не только на уровне ПО, но и на уровне конфигурации, железа и даже людей
  9. 9. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. q Возможна ли интеграция с моим каталогом учетных записей? Каким образом? q Если у аутсорсера собственная база учетных записей, то q Как она защищается? q Как осуществляется управление учетными записями? q Поддерживается ли SSO/MFA? Какой стандарт? q Поддерживается ли федеративная система аутентификации? Какой стандарт? Управление идентификацией Хочется подключаться к чужой системе также, как и к своим ресурсам
  10. 10. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Объектовая охрана и чужой персонал У вас есть охранники на входе и видеокамеры? q Контроль доступа на территорию аутсорсера осуществляется в режиме 24х7? q Выделенная инфраструктура или разделяемая с другими компаниями? q Регистрируется ли доступ персонала к данным клиентов? q Есть ли результаты оценки внешнего аудита? q Какова процедура набора персонала?
  11. 11. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Безопасность приложений Разумеется, если вы отдали на аутсорсинг еще и приложения (например, CRM, АБС или электронную почту) q Исполнение рекомендаций OWASP при разработке приложений q Процедура тестирования для внешних приложений и исходного кода q Существуют ли приложения третьих фирм при оказании сервиса? q Используемые меры защиты приложений q Web Application Firewall q Database Firewall q Аудит БД
  12. 12. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Управление инцидентами Что будет делать аутсорсер, если все пойдет хуже некуда? q План реагирования на инциденты q Включая метрики оценки эффективности q Взаимосвязь вашей политики управления инцидентами и аутсорсера q Особенно для зарубежных аутсорсеров, находящихся в другом часовом поясе q Сотрудники аутсорсера говорят на вашем родном языке? q При оперативном реагировании на инциденты времени искать переводчика не будет
  13. 13. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Журналы регистрации В том числе и на физическом уровне qКак аутсорсер обеспечивает сбор доказательств несанкционированной деятельности? qКак долго аутсорсер хранит логи? Возможно ли увеличение этого срока? qМожно ли организовать хранение логов во внешнем хранилище? Как?
  14. 14. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Непрерывность бизнеса Business Continuity > информационная безопасность q План обеспечения непрерывности бизнеса и восстановления после катастроф q Есть ли у вас резервный ЦОД, если аутсорсер уйдет в небытие? q Или вы решите не продлевать с ним договор на оказание услуг q Проходил ли аутсорсер внешний аудит по непрерывности бизнеса? q Есть ли сертифицированные сотрудники по непрерывности бизнеса?
  15. 15. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Ответственность и гарантии Это то, чего нет при обеспечении ИБ своими силами – в этом случае обычно никто не виноват q Что делать, если по вине аутсорсера произошел инцидент? q Где грань между инцидентом и штатной ситуацией? Чем отвечает аутсорсер? Каковы гарантии работы аутсорсера? q Гарантия качества сервиса q Самое главное в аутсорсинге – ответ на вопрос, что делать, а что нет q Качество сервиса описывается в SLA (требуйте его!) q Критически обдумайте предложенные вам KRI, KPI, PI q Чем отвечает аутсорсер? q Готов ли он возместить вам ущерб? Как его посчитать? q Страхование информационных рисков в России не работает
  16. 16. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Финансовые гарантии Мало кто готов отвечать рублем по своим обязательствам qКакая компенсация подразумевается в случае инцидента безопасности или нарушения SLA? qПроцент от упущенной выгоды qПроцент от заработка за время простоя qПроцент от стоимости утекшей информации qПроцент от суммы договора на оказание облачных услуг
  17. 17. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Интеллектуальная собственность Разумеется, если вы ее соответствующим образом оформили qКому принадлежат права на информацию, переданную аутсорсеру? qА на резервные копии? qА на реплицированные данные? qА на логи? qА на приложения? qУдостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру
  18. 18. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential © 2020 Cisco and/or its affiliates. All rights reserved. Завершение контракта Думать о завершении контракта до его заключения странно, но иначе никак qПроцедура завершения контракта? qВозврат данных? В каком формате? qКак скоро я получу мои данные обратно? qКак будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? qКакие дополнительные затраты на завершение контракта?
  19. 19. © 2020 Cisco and/or its affiliates. All rights reserved. В России пока мало кто всерьез задумывается об ИБ аутсорсинга!

Выступление на конференции GlobalCIO, посвященной вопросам аутсорсинга, рассмотренных с разных сторон.

Vistos

Vistos totais

1.439

No Slideshare

0

De incorporações

0

Número de incorporações

999

Ações

Baixados

33

Compartilhados

0

Comentários

0

Curtir

0

×