Документ рассматривает вопросы аутсорсинга в контексте управления рисками информационной безопасности, включая основные аспекты, такие как выбор аутсорсера, защита данных, доступность и управление инцидентами. Он подчеркивает важность тщательной оценки партнеров по аутсорсингу и разработки четких соглашений, касающихся безопасности и ответственности. Основное внимание уделяется необходимости правовых и технических мер для обеспечения конфиденциальности и интегритета данных.

1. © 2020 Cisco and/or its affiliates. All rights reserved.
Алексей Лукацкий
Бизнес-консультант по кибербезопасности
alukatsk@cisco.com
Аутсорсинг
Управление рисками
информационной безопасности

2. © 2020 Cisco and/or its affiliates. All rights reserved.
Что такое аутсорсинг?
• Аутсорсинг – это не
услуги, оказываемые предприятию
внешними подрядчиками
• это
передача сторонней компании
полномочий по исполнению
(не)критичных для бизнеса функций
• В зависимости от типа бизнеса обращение
к внешнему подрядчику может называться
аутсорсингом, а может и нет…
Но так ли это важно?!...

3. © 2020 Cisco and/or its affiliates. All rights reserved.
Вы не можете реализовать практически
никаких защитных мер
У вас смещается фокус с обеспечение ИБ
в сторону мониторинга и контроля
Это в меньшей степени технические меры,
больше юридические
Длительный процесс due diligence
Большое внимание договору с аутсорсером
Информационная безопасность
аутсорсинга

4. © 2020 Cisco and/or its affiliates. All rights reserved.
Выбор аутсорсера с точки зрения ИБ
• Защита данных и
обеспечение privacy
• Управление
уязвимостями
• Управление identity
• Объектовая охрана и
персонал
• Доступность и
производительность
• Безопасность
приложений
• Управление инцидентами
• Непрерывность бизнеса
и восстановление после
катастроф
• Ведение журналов
регистрации (eDiscovery)
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная
собственность

5. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
q Как мои данные отделены от данных других
клиентов?
q Где хранятся мои данные?
q Как обеспечивается конфиденциальность и
целостность моих данных?
q Как осуществляется контроль доступа к моим
данным?
q Как данные защищаются при передаче от
меня к облачному провайдеру?
q Как данные защищаются при передаче от
одной площадки облачного провайдера до
другой?
q Реализованы ли меры по контролю утечек
данных?
q Может ли третья сторона получить доступ к
моим данным? Как?
q Оператор связи, аутсорсер облачного
провайдера, силовики
q Все ли мои данные удаляются по завершении
предоставления сервиса?
Защита данных
Основной вопрос при ИБ
аутсорсинга

6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
q Обезличивание критичных данных
и предоставление к ним доступа
только авторизованному персоналу
q Какие данные собираются о
заказчике?
q Где хранятся? Как? Как долго?
q Какие условия передачи данных
клиента третьим лицам?
q Законодательство о
правоохранительных органах,
адвокатские запросы и т.п.
q Гарантии нераскрытия информации
третьим лицам и третьими лицами?
Privacy
В том случае, если для вас
критична тема персональных
данных или вы «ходите» под GDPR

7. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Доступность
Это второй по важности
параметр, на который надо
обращать внимание
q Обеспечиваемый уровень
доступности в SLA (сколько
девяток)
q Какие меры обеспечения
доступности используются для
защиты от угроз и ошибок?
q Резервный оператор связи
q Защита от DDoS
q Доказательства высокой
доступности аутсорсера
q План действия во время простоя
q Пиковые нагрузки и
возможность аутсорсера
справляться с ними
q Уровень сертификации ЦОД
аутсорсера

8. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
q Как часто сканируется сеть и
приложения?
q Попадает ли облачный
провайдер под требования
PCI DSS и ежеквартального
сканирования со стороны
ASV?
q Может ли заказчик
осуществить внешнее
сканирование сети
аутсорсера с целью контроля
его защищенности? На каких
условиях?
q Каков процесс устранения
уязвимостей?
Управление
уязвимостями
Уязвимости бывают не только на
уровне ПО, но и на уровне
конфигурации, железа и даже
людей

9. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
q Возможна ли интеграция с моим
каталогом учетных записей?
Каким образом?
q Если у аутсорсера собственная
база учетных записей, то
q Как она защищается?
q Как осуществляется
управление учетными
записями?
q Поддерживается ли SSO/MFA?
Какой стандарт?
q Поддерживается ли
федеративная система
аутентификации? Какой
стандарт?
Управление
идентификацией
Хочется подключаться к чужой
системе также, как и к своим
ресурсам

10. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Объектовая охрана и
чужой персонал
У вас есть охранники на входе и
видеокамеры?
q Контроль доступа на
территорию аутсорсера
осуществляется в режиме
24х7?
q Выделенная инфраструктура
или разделяемая с другими
компаниями?
q Регистрируется ли доступ
персонала к данным
клиентов?
q Есть ли результаты оценки
внешнего аудита?
q Какова процедура набора
персонала?

11. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Безопасность
приложений
Разумеется, если вы отдали на
аутсорсинг еще и приложения
(например, CRM, АБС или
электронную почту)
q Исполнение рекомендаций
OWASP при разработке
приложений
q Процедура тестирования для
внешних приложений и
исходного кода
q Существуют ли приложения
третьих фирм при оказании
сервиса?
q Используемые меры защиты
приложений
q Web Application Firewall
q Database Firewall
q Аудит БД

12. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Управление
инцидентами
Что будет делать аутсорсер, если
все пойдет хуже некуда?
q План реагирования на
инциденты
q Включая метрики оценки
эффективности
q Взаимосвязь вашей политики
управления инцидентами и
аутсорсера
q Особенно для зарубежных
аутсорсеров, находящихся в
другом часовом поясе
q Сотрудники аутсорсера говорят
на вашем родном языке?
q При оперативном
реагировании на инциденты
времени искать переводчика
не будет

13. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Журналы
регистрации
В том числе и на физическом
уровне
qКак аутсорсер
обеспечивает сбор
доказательств
несанкционированной
деятельности?
qКак долго аутсорсер
хранит логи? Возможно
ли увеличение этого
срока?
qМожно ли организовать
хранение логов во
внешнем хранилище?
Как?

14. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Непрерывность
бизнеса
Business Continuity >
информационная безопасность
q План обеспечения
непрерывности бизнеса и
восстановления после
катастроф
q Есть ли у вас резервный ЦОД,
если аутсорсер уйдет в
небытие?
q Или вы решите не продлевать
с ним договор на оказание
услуг
q Проходил ли аутсорсер внешний
аудит по непрерывности
бизнеса?
q Есть ли сертифицированные
сотрудники по непрерывности
бизнеса?

15. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Ответственность
и гарантии
Это то, чего нет при обеспечении
ИБ своими силами – в этом
случае обычно никто не виноват
q Что делать, если по вине аутсорсера
произошел инцидент?
q Где грань между инцидентом и
штатной ситуацией? Чем отвечает
аутсорсер? Каковы гарантии работы
аутсорсера?
q Гарантия качества сервиса
q Самое главное в аутсорсинге – ответ
на вопрос, что делать, а что нет
q Качество сервиса описывается в SLA
(требуйте его!)
q Критически обдумайте
предложенные вам KRI, KPI, PI
q Чем отвечает аутсорсер?
q Готов ли он возместить вам ущерб?
Как его посчитать?
q Страхование информационных
рисков в России не работает

16. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Финансовые
гарантии
Мало кто готов отвечать рублем
по своим обязательствам
qКакая компенсация
подразумевается в случае
инцидента безопасности
или нарушения SLA?
qПроцент от упущенной
выгоды
qПроцент от заработка за
время простоя
qПроцент от стоимости
утекшей информации
qПроцент от суммы
договора на оказание
облачных услуг

17. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Интеллектуальная
собственность
Разумеется, если вы ее
соответствующим образом
оформили
qКому принадлежат права
на информацию,
переданную аутсорсеру?
qА на резервные копии?
qА на реплицированные
данные?
qА на логи?
qА на приложения?
qУдостоверьтесь, что ваш
контракт не приводит к
потере прав на
информацию и иные
ресурсы, переданные
аутсорсеру

18. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2020 Cisco and/or its affiliates. All rights reserved.
Завершение
контракта
Думать о завершении контракта
до его заключения странно, но
иначе никак
qПроцедура завершения
контракта?
qВозврат данных? В каком
формате?
qКак скоро я получу мои
данные обратно?
qКак будут уничтожены
все резервные и иные
копии моих данных? Как
скоро? Какие гарантии?
qКакие дополнительные
затраты на завершение
контракта?

19. © 2020 Cisco and/or its affiliates. All rights reserved.
В России пока мало кто
всерьез задумывается об ИБ
аутсорсинга!