пятница, 21 июня 2013 г.

Облачная политика


На рынке уже присутствуют  следующие облачные сервисы ИБ (раньше подумать об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка, управление инцидентами, DDoS и даже антифрод! Их количество продолжает расти, поэтому необходимость такой политики существенно возрастает.

1.       Общее
1.1. Виды облаков:
-        корпоративное (собственное)
-        коммерческое (чужая компания)
-        общественное (социальные сети)
1.2. Виды инфраструктур
-        инфраструктура как услуга;
-        платформа как услуга;
-        ПО как услуга.

2.       Поставщики услуг
2.1. Проведение анализа рисков
2.2. Виды рисков
-        операционный;
-        правовой;
-        репутационный;
-        стратегический;
-        риск ликвидности.
2.3. Выбор поставщика услуг

3.       Передаваемые сервисы
3.1. Критерии по типам информации:
-        общедоступная;
-         внутренняя;
-        конфиденциальная;
3.2. Критерии по уровням ущербов:
-        потеря конфиденциальности;
-        потеря доступности;
-        потеря целостности.
3.3. По экономике процесса:
-        стоимость  развертывания;
-        стоимость эксплуатации;
-        стоимость модернизации;
-        стоимость уничтожения.
3.4. Выбор подходящего вида сервиса и облака.

4.       Информационная безопасность
4.1. «Обычные» меры:
-        аутентификация;
-        группы доступа;
-        шифрование канала;
-        логирование;
4.2. Непрерывность бизнеса
-        резервное копирование;
-        резервирование канала;
-        резервирование сервиса.

5.       Заключение договора
5.1. Сроки
5.2. Конфиденциальность
5.3. Информационная безопасность
5.4. Ответственность

6.       Контроль работы сервиса
6.1. Метрики
-        доступность;
-        загрузка канала.
6.2. Ответственность.

1 комментарий: