Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

ИТ-аутсорсинг

ИТ-аутсорсинг

ИТ-аутсорсинг - потенциальная угроза информационной безопасности

 

Без правильно выстроенного, с точки зрения защиты данных, взаимодействия с обслуживающей организацией и ее сотрудниками, использование ИТ-аутсорсинга может привести не только к снижению его экономической эффективности, но и к более значительным потерям для компании.

 

Кто, почему и для чего использует аутсорсинг

Обычно, услугами аутсорсинга пользуются компании, которые не имеют достаточного штата собственных сотрудников, в случае, когда его расширение не целесообразно по экономическим соображениям.

К основным преимуществам ИТ-аутсорсинга относятся:

·        повышение качества обслуживания ИТ-ресурсов;

·        сокращение затрат на создание (покупка оборудования и программного обеспечения, внедрение систем) и поддержание ИТ-ресурсов;

·        концентрация на профильных видах деятельности.

К ресурсам, которые чаще всего отдаются на аутсорсинг, относятся: ИТ-инфраструктура (сетевое оборудование, системы виртуализации и т.д.), прикладные службы (ERP, CRM, кадровые, бухгалтерские системы и т.д.), рабочие места пользователей. В некоторых случаях, на аутсорсинг отдаются системы обеспечения физической и информационной безопасности: контроль и управлении доступом на территорию и в помещения компании, видеонаблюдение, межсетевые экраны, сбор и корреляции событий и т.д.

В ряде случаев, серверные мощности и программное обеспечение могут принадлежать сторонней организации и передаваться компании в аренду.

 

Почему аутсорсинг требует принятия мер защиты

Очевидно, что обладая полным доступом к системам, сотрудники обслуживающей организации могут использовать его для хищения, изменения или удаления ценной информации. А в случае если ИТ-ресурсы размещаются на арендуемых мощностях, есть вероятность получения несанкционированного доступа к данным компании сторонними организациями, в том числе, и конкурирующими.

Так как обслуживание ИТ-ресурсов предполагает наличие у персонала административных прав доступа к ним, использование стандартных мер не всегда позволит эффективно осуществлять контроль действий аутсорсеров.

Например, в некоторых случаях может отсутствовать возможность ведения журналов событий, если производительность обслуживаемых серверов не достаточна для активации функций регистрации событий, или эта возможность не предусмотрена программным обеспечением. А иногда такие журналы просто имеют низкий уровень детализации. В иных случаях, администраторы могут изменить или удалить данные, скрыв «улики» выполненных злоумышленных действий.

 

Выбор обслуживающей организации

Одним из наиболее важных этапов обеспечения безопасности ИТ-ресурсов при использовании услуг аутсорсинга является выбор обслуживающей организации. В этот момент стоит получить как можно больше информации о потенциальном подрядчике и оказываемых им услугах.

Обычно заказчика интересуют расценки, квалификации и опыт, уровень оказываемой технической поддержки и наличие сертификатов соответствия международным стандартам качества. Помимо этого стоит получить сведения о сроке работы подрядчика на рынке, сложившейся за это время репутации, имеющихся квалификациях по информационной безопасности. При необходимости, следует уточнить сведения о наличии собственных мощностей, предоставляемых в аренду и применяемых для их защиты мерах. Анализ полученной информации позволит определить благонадежность подрядчика и квалификацию в части информационной безопасности.

Для организации эффективных процедур взаимодействия с подрядной организацией в части обеспечения информационной безопасности следует реализовать организационные, а при необходимости и технические меры защиты.

 

Организационные меры

В первую очередь, стоит определить, какие ресурсы могут быть переданы на обслуживание без риска. Например, некоторые системы и данные могут являться особо критичными, доступ сторонних лиц к которым крайне нежелателен. В этом случае целесообразно осуществлять поддержку таких ресурсов силами собственных сотрудников, а менее важные отдать на обслуживание сторонней организации.

Компаниям, которые обрабатывают информацию, отнесенную ими к особо критичной, не рекомендуется привлекать аутсорсинговые компании, так как потери от возможной утечки не стоят экономии на содержании собственных ресурсов.

Далее, необходимо определить требования по обеспечению информационной безопасности, которые должен выполнять подрядчик при обслуживании систем. К ним можно отнести: защиту информации, передаваемой по каналам связи, требования по авторизации и разграничению доступа, к защите рабочих станций, с которых будет осуществляться обслуживание (антивирусная защита, обновление программного обеспечения, межсетевое экранирование, обнаружение и предотвращение вторжений, параметры настроек безопасности операционной системы и приложений).

В случае если компания арендует серверные мощности, дополнительно нужно определить требования по разграничению доступа к обрабатываемой информации, а при необходимости и обязать подрядчика использовать шифрование.

При заключении контракта с обслуживающей организацией необходимо подписать соглашение о конфиденциальности. Этот документ должен определять, какая информация является конфиденциальной, устанавливать срок, в течение которого запрещается разглашение конфиденциальной информации и ответственность за нарушение этого условия.

В целях контроля соблюдения установленных требований безопасности сотрудниками аутсорсинговой организации, необходимо назначить ответственного в компании. Для того чтобы этот сотрудник мог «на деле» убедиться в соблюдении всех требований и иметь возможность выявлять инциденты, связанные с обслуживанием, он должен обладать административным доступ к обслуживаемым системам и соответствующими навыками.

 

Технические меры

В случае если на аутсорсинг отдаются только часть ресурсов, важно обеспечить надежное разграничение доступа между системами, отдаваемыми на аутсорсинг, и поддерживаемыми сотрудниками компании.

Даже если обслуживаемые ресурсы принадлежат компании, все равно необходимо предусмотреть меры, направленные на обеспечение безопасного доступа сотрудников аутсорсинговой организации к этим системам. Это достигается применением разграничения прав доступа к информации и надежных средств авторизации, межсетевого экранирования и систем обнаружения вторжений, антивирусной защиты, шифрования каналов связи и хранилищ конфиденциальной информации.

А для своевременного выявления инцидентов, связанных с обслуживанием, а также оперативного их расследования необходимо осуществлять контроль выполняемых действий обслуживающим персоналом. Наиболее эффективным является применение специализированных систем контроля привилегированных пользователей. Принцип их работы заключается в создании единой точки доступа к обслуживаемым ресурсам. Для обслуживания потребуется авторизоваться в системе контроля, после чего специалисты компании-подрядчика смогут получить доступ к необходимым ресурсам, но при этом все их действия будут отслеживаться. Записи хранятся в защищенной базе, доступом к которой обладает только администратор самой системы контроля, который, разумеется, должен быть штатным сотрудником компании.

Просматривая созданные записи, можно определить, какие действия могли привести к нарушению работоспособности систем, каким пользователям они были совершены и в какое время. Кроме этого можно отследить, была ли скопирована конфиденциальная информация, содержащаяся в информационных системах. На основе этих сведений согласно положениям договора об обслуживании, соглашения о неразглашении и прочих подписанных документах, а также законодательства РФ, можно применить различные санкции вплоть до расторжения договора и подачи заявления в прокуратуру.

Система контроля привилегированных пользователей позволяет осуществлять мониторинг действий обслуживающего персонала не только по факту выявления инцидента путем просмотра журнала, но и в режиме реального времени, подключившись к текущей сессии доступа. При этом у администратора есть возможность принудительно завершить сессию в случае подозрения на совершение пользователем злоумышленных действий. Например, если замечено копирование конфиденциальных документов, хранящихся на файловом сервере или изменение настроек безопасности, которые могут привести к снижению уровня защищенности информационных систем компании.

 




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности