На рынке уже присутствуют следующие облачные сервисы ИБ (раньше подумать
об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка,
управление инцидентами, DDoS и даже
антифрод! Их количество продолжает расти, поэтому необходимость такой политики
существенно возрастает.
1.
Общее
1.1. Виды
облаков:
-
корпоративное (собственное)
-
коммерческое (чужая компания)
-
общественное (социальные сети)
1.2. Виды
инфраструктур
-
инфраструктура как услуга;
-
платформа как услуга;
-
ПО как услуга.
2.
Поставщики услуг
2.1. Проведение
анализа рисков
2.2. Виды
рисков
-
операционный;
-
правовой;
-
репутационный;
-
стратегический;
-
риск ликвидности.
2.3. Выбор
поставщика услуг
3.
Передаваемые сервисы
3.1. Критерии
по типам информации:
-
общедоступная;
-
внутренняя;
-
конфиденциальная;
3.2. Критерии
по уровням ущербов:
-
потеря конфиденциальности;
-
потеря доступности;
-
потеря целостности.
3.3. По
экономике процесса:
-
стоимость
развертывания;
-
стоимость эксплуатации;
-
стоимость модернизации;
-
стоимость уничтожения.
3.4. Выбор
подходящего вида сервиса и облака.
4.
Информационная безопасность
4.1. «Обычные»
меры:
-
аутентификация;
-
группы доступа;
-
шифрование канала;
-
логирование;
4.2. Непрерывность
бизнеса
-
резервное копирование;
-
резервирование канала;
-
резервирование сервиса.
5.
Заключение договора
5.1. Сроки
5.2. Конфиденциальность
5.3. Информационная
безопасность
5.4. Ответственность
6.
Контроль работы сервиса
6.1. Метрики
-
доступность;
-
загрузка канала.
6.2. Ответственность.