21 Июня, 2013

Облачная политика

Евгений Шауро
На рынке уже присутствуют следующие облачные сервисы ИБ (раньше подумать об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка, управление инцидентами, DDoS и даже антифрод! Их количество продолжает расти, поэтому необходимость такой политики существенно возрастает.

1. Общее
1.1. Виды облаков:
- корпоративное (собственное)
- коммерческое (чужая компания)
- общественное (социальные сети)
1.2. Виды инфраструктур
- инфраструктура как услуга;
- платформа как услуга;
- ПО как услуга.

2. Поставщики услуг
2.1. Проведение анализа рисков
2.2. Виды рисков
- операционный;
- правовой;
- репутационный;
- стратегический;
- риск ликвидности.
2.3. Выбор поставщика услуг

3. Передаваемые сервисы
3.1. Критерии по типам информации:
- общедоступная;
- внутренняя;
- конфиденциальная;
3.2. Критерии по уровням ущербов:
- потеря конфиденциальности;
- потеря доступности;
- потеря целостности.
3.3. По экономике процесса:
- стоимость развертывания;
- стоимость эксплуатации;
- стоимость модернизации;
- стоимость уничтожения.
3.4. Выбор подходящего вида сервиса и облака.

4. Информационная безопасность
4.1. «Обычные» меры:
- аутентификация;
- группы доступа;
- шифрование канала;
- логирование;
4.2. Непрерывность бизнеса
- резервное копирование;
- резервирование канала;
- резервирование сервиса.

5. Заключение договора
5.1. Сроки
5.2. Конфиденциальность
5.3. Информационная безопасность
5.4. Ответственность

6. Контроль работы сервиса
6.1. Метрики
- доступность;
- загрузка канала.
6.2. Ответственность.