Облачная политика

На рынке уже присутствуют  следующие облачные сервисы ИБ (раньше подумать об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка, управление инцидентами, DDoS и даже антифрод! Их количество продолжает расти, поэтому необходимость такой политики существенно возрастает.

1.       Общее

1.1. Виды облаков:

-        корпоративное (собственное)

-        коммерческое (чужая компания)

-        общественное (социальные сети)

1.2. Виды инфраструктур

-        инфраструктура как услуга;

-        платформа как услуга;

-        ПО как услуга.

2.       Поставщики услуг

2.1. Проведение анализа рисков

2.2. Виды рисков

-        операционный;

-        правовой;

-        репутационный;

-        стратегический;

-        риск ликвидности.

2.3. Выбор поставщика услуг

3.       Передаваемые сервисы

3.1. Критерии по типам информации:

-        общедоступная;

-         внутренняя;

-        конфиденциальная;

3.2. Критерии по уровням ущербов:

-        потеря конфиденциальности;

-        потеря доступности;

-        потеря целостности.

3.3. По экономике процесса:

-        стоимость  развертывания;

-        стоимость эксплуатации;

-        стоимость модернизации;

-        стоимость уничтожения.

3.4. Выбор подходящего вида сервиса и облака.

4.       Информационная безопасность

4.1. «Обычные» меры:

-        аутентификация;

-        группы доступа;

-        шифрование канала;

-        логирование;

4.2. Непрерывность бизнеса

-        резервное копирование;

-        резервирование канала;

-        резервирование сервиса.

5.       Заключение договора

5.1. Сроки

5.2. Конфиденциальность

5.3. Информационная безопасность

5.4. Ответственность

6.       Контроль работы сервиса

6.1. Метрики

-        доступность;

-        загрузка канала.

6.2. Ответственность.