Спросите поставщика информационной безопасности: что нужно знать при выборе решений

Без тени сарказма стоит отметить, что безопасность, прописанная на бумаге, является одной из основ обеспечения информационной безопасности в организациях. Незадокументированные процессы в конечном счете перестанут быть эффективными, а отсутствие прописанных на бумаге правил приведет к хаосу среди работников.

У подрядчика проверяется не только наличие политики информационной безопасности, которая является основополагающим документом, но и другие положения, регулирующие защиту конфиденциальной информации: управление доступом, антивирусная защита, правила работы с корпоративными ресурсами.

Помимо наличия такого документа неплохо проверить содержимое данных политик, а также частоту их обновления. Часто встречается такое, что документы были разработаны несколько лет назад и с тех пор не открывались.

Информационная безопасность давно перестала существовать в контексте какого-либо другого подразделения (например службы ИТ), и наличие отдельных сотрудников, ответственных за вопросы защиты, стало необходимостью (ввиду огромного количества задач и ответственности).

Следует проверить, есть ли у поставщика персона или подразделение, ответственное за обеспечение информационной безопасности. Кроме того, хорошей практикой будет запрос уровня квалификации этих сотрудников – высшее образование в области информационной безопасности или профессиональная переподготовка в области ИБ, профессиональные сертификаты. Если в компании-подрядчике есть программы обучения и повышения квалификации сотрудников, которые занимаются защитой информации, это будет несомненным плюсом.

Этот шаг в основном зависит от того, какие данные будет обрабатывать подрядчик. В ряде случаев его можно объединить с первым пунктом. Понятно, что для каждого случая есть свои готовые чек-листы для проверки, однако есть пункты, которые стоит проверить. Есть ли у заказчика классификация данных в соответствии с принятым законодательством? Есть ли отдельные требования для каждой категории? Проводятся ли оценки соответствия требованиям законодательства?

Кроме того, если поставщик предоставляет программное обеспечение или услуги в особо зарегулированных областях (например государственные организации), к нему должны предъявляться дополнительные требования.

Очень важный пункт, если на услугах и продуктах поставщика завязаны ваши бизнес-процессы. Например, если это облачный сервис, на котором базируются сервисы, важно понимать, есть ли у поставщика разработанный процесс на случай активации BCP (business continuity plan). Более того, стоит уточнить, учитываются ли в SLA (Service Level Agreement) обстоятельства непреодолимой силы. Также необходимо выяснить вопрос, касающийся резервного копирования.

Стоит уточнить, где находятся дата-центры поставщика, существует ли задокументированный процесс физической защиты офисных помещений. Физическую кражу данных никто не отменял, и компаниям не хотелось бы, чтобы были скомпрометированы их данные, которые обрабатываются на неконтролируемой для них территории.

Если у сторонней компании не реализован процесс защиты от утечек, то стоит задуматься, можно ли доверять ему обработку конфиденциальной информации. Есть ли у поставщика средства предотвращения утечек конфиденциальных данных? Есть ли политика допустимого использования ресурсов? И как контролируется выполнение ее требований? Тут же необходимо уточнить вопрос о разграничении доступа к данным (по сути, в части политик данный пункт пересекается с первым).

Очень важный пункт, если мы говорим об обработке некоторых категорий данных, например ПДн, где требования к шифрованию предъявляются на законодательном уровне. Готов ли поставщик реализовать шифрование данных при их передаче? Шифруются ли конфиденциальные данные при их хранении?

Первое, что следует уточнить — случались ли у поставщика инциденты, связанные с утечками клиентских данных. Кроме того, необходимо проверить, выстроен ли у организации процесс реагирования на инциденты, учитываются ли их типы (есть ли инструкции по реагированию на каждый тип инцидента), а также осуществляется ли непрерывный мониторинг событий. Помимо систем безопасности, происходит ли проверка журналов доступа к базе данных логов событий?

Важным является вопрос: если инцидент происходит с клиентскими данными, готов ли будет поставщик предоставить все материалы по событию.

Технические меры обеспечения ИБ являются не менее важными, чем организационные. Вопрос подрядчику: какие средства используются для защиты инфраструктуры компании как от внешних, так и от внутренних угроз?

Существенный фактор при выборе поставщика - проведение со стороны подрядчика регулярного обследования достаточности внедренных мер обеспечения защиты информации. Стоит уточнить, проводятся ли технические аудиты (пентесты), а также существует ли регламент устранения уязвимостей и недостатков, выявленных в процессе аудита.

Вышеперечисленные пункты не являются исчерпывающими. Все зависит от того, какие продукты и услуги предоставляет подрядчик. Количество внедряемых систем и сервисов в бизнес-процессы постоянно растет, и такой уровень автоматизации неизбежно несет угрозы информационной безопасности, и одной из главных причин для этого является как раз незащищенность продуктов, внедряемых в инфраструктуру. Следовательно, если компания внедряет у себя какое-то программное обеспечение, необходим отдельный список пунктов, требующих проверки перед внедрением.

Мы постарались рассказать о базовых аспектах при выборе поставщика ИБ. Однако эта тема заслуживает более детального рассмотрения и подготовки практического руководства, способного помочь специалистам по информационной безопасности наладить процесс проверки достаточности обеспечиваемой защиты подрядчиками.

Материал подготовлен ГК InfoWatch