Доверяй, но проверяй Как защититься от мнимых друзей

На вопросы «СА» отвечают эксперты по информационной безопасности

>  Какие риски информационной безопасности вы считаете наиболее опасными для компаний, которые пользуются аутсорсингом?

>  Как системный администратор или ИT-директор должен правильно строить отношения с аутсорсерами, чтобы обезопасить систему?

 НАТАЛЬЯ ЗОСИМОВСКАЯ, специалист отдела маркетинга компании «Информзащита»

Ищите лучших

Наиболее опасным я считаю риск утечки информации, а также нарушение целостности и доступности корпоративной сети. Говоря об аутсорсинге ИБ, я предлагаю рассматривать такие сервисы как удаленный мониторинг и управление средствами защиты клиента сторонней компанией, а также сервисы по сопровождению.

Что же традиционно представляют собой услуги по удаленному мониторингу и управлению? С подконтрольных средств безопасности клиента собираются все данные, необходимые для анализа, и передаются по выделенному защищенному каналу компании-аутсорсеру. Там они обрабатываются, анализируются, а на выходе клиент получает оповещения, касающиеся критичных событий в его сети. Такие оперативные оповещения являются руководством к действиям по устранению возникших проблем. Если клиент готов доверить компании-аутсорсеру не только мониторинг, но и элементы управления, то в этом случае можно говорить об услугах, касающихся управления IDS/IPS, а также устройствами межсетевого экранирования. Помимо функций мониторинга, сюда добавляются такие элементы управления, как изменение политик, а также проактивные обновления подконтрольных средств защиты и их мониторинг на предмет работы в штатном режиме.

Однако при всей видимой простоте и логичности этих услуг существует ряд обоснованных угроз и опасений клиентов. Это, прежде всего, риск утечки информации ограниченного доступа, касающейся самого проекта, а также получаемой ходе осуществления работ. Как с ним бороться?

Во-первых, естественно, необходимо закрепить юридическую ответственность путем подписания соглашения о конфиденциальности и SLA. В соглашении о конфиденциальности отражаются обязательства сторон по неразглашению и обеспечению режима защиты конфиденциальной информации. Service Level Agreement – это соглашение об уровне сервиса.

Во-вторых, нужно контролировать действия сотрудников аутсорсера. Зачастую одним из параметров сервиса по мониторингу и управлению средствами защиты является предоставление доступа клиенту на специализированный веб-портал. На нем фиксируются не только все события и выявленные инциденты ИБ, но и все действия аутсорсера. Если он совершает какие-то действия в отношении средств защиты клиента, то должен делать это только после подтверждения клиентом запланированных действий и в рамках оказываемого сервиса (это должно быть четко прописано в SLA).

В-третьих, не стоит забывать про разграничение прав доступа и своевременное удаление аккаунта аутсорсера (если такой заводился в сети).

В-четвертых, для безопасной передачи данных необходимо использовать технологию VPN, позволяющую передавать информацию в зашифрованном виде.

Помимо этого клиент может попросить исполнителя представить информацию об используемых технологиях физической безопасности центра, в котором будут храниться и обрабатываться данные, полученные с его средств защиты. Также желательно прояснить вопрос о средствах и методах обеспечения информационной безопасности.