Обеспечение защищенного информационного пространства в корпоративной облачной среде международного нефтегазового консорциума

Сугурова М.Ж.
Выпускница группы МВА CIO-35
Школы IT-Менеджмента
РАНХиГС при Президенте РФ

В аттестационной работе рассмотрены  механизмы обеспечения должного уровня безопасности при создании  гибридного облачного ресурса как корпоративной информационной среды крупного нефтегазового консорциума.

Сегодня. все чаще говорят об облачных технологиях, как о новом методе построения качественно иной бизнес - инфраструктуры. Однако, многие компании опасаются, что при подобном переходе будет создана прямая угроза безопасности конфиденциальной информации, как с точки зрения ее целостности, так и с точки зрения защищенности (утечки) данных. Такое недоверие особенно чувствуется среди организаций нефтегазовой отрасли.

В работе определены особенности и возможность применения облачных технологий в нефтегазовой индустрии. Растущее давление на нефтегазовую промышленность, как со стороны конкурентов, так и нормативно регулирующих органов, увеличение объема геофизических, операционных и финансовых данных, усложнение аналитических инструментов для их обработки - все это значительно влияет на проблемы обеспечения безопасности данных и становится критически важной задачей не только IT, но и бизнеса.

В работе сделана попытка ответить на вопросы, учитывая эти особенности, связанные с обеспечением безопасности информационного пространства компании.

Первая глава посвящена введению, где обосновывается актуальность использования облачных технологий в организациях нефтегазовой промышленности и ее практическая значимость для компании North Caspian Operating Company (NCOC) для улучшения системы обмена данными с компаниями-акционерами. Предлагается создать защищенную корпоративную облачную среду и  обосновывается целесообразность использование Информационного Каталога Консорциума как основы этой среды.

Целью работы является рассмотрение механизмов обеспечения должного уровня безопасности, надежной аутентификации и установки контроля над пользователями, не являющимися сотрудниками компании.

В главах 2 и 3 рассказывается информация  об объекте исследования и об информационной системе обмена данными с компаниями-акционерами. Описываются вызовы и проблемы, связанные с изменениями в структуре компании и   внедрением единого канала обмена информацией.

В качестве крупного нефтегазового консорциума рассматривается оператор Cеверо- Каспийского Консорциума компания North Caspian Operating Company (далее NCOC).

NCOC, является оператором проекта освоения гигантского нефтяного месторождения «Кашаган» на севере Каспийского моря и действует от имени Северо-Каспийского Консорциума. Участниками Северо-Каспийского консорциума являются семь крупнейших международных нефтяных компаний: Royal Dutch Shell (Великобритания-Голландия), ExxonMobil (США), ENI (Италия), Тотаl (Франция), Inpex (Япония), CNPC (Китайская национальная нефтяная корпорация) и КазМунайГаз (Казахстан).

В настоящий момент происходит трансформация структуры операционной модели, включая  организационную реорганизацию.
Основная цель, -  интеграция в одну единую компанию-оператор.

В рамках выполнения своей роли NCOC должен предоставлять бизнес-информацию акционерам,  которые применяют ее для осуществления инвестиций, принятия производственных и политических решений на требуемом безопасном уровне.

С началом коммерческой добычи нефти ожидается увеличение объема информации.

Текущая система обмена информации с компаниями-акционерами состоит из комплекса каналов передачи данных. Такая сегментированная система приводит к возникновению ряда проблем:

• Высокая стоимость эксплуатации, включая аутсорсинг;
• Трудности  централизованной координации всей документации и потоков обмена информации;
• Дублирование операций внутри NCOC, а также между ней и акционерами;
• Повышение риска безопасности данных (утечка данных, несанкционированный доступ, репутационный риск);
• Трудность масштабирования;

Основной проблемой является отсутствие единого механизма обмена информацией, который бы обладал необходимым уровнем информационной безопасности

В главах 4 и 5 рассматривается актуальность и цели внедрения облачной среды в компании NCOC в расширенном виде и описываются существующие проблемы с обеспечением защищенности Информационного Каталога Консорциума. Также, обосновывается то, как внедрение гибридной облачной корпоративной среды (на основе) ИКК решило бы эти проблемы..

Системы, основанные на облачной технологии, должны быстро перестраиваться и обеспечить гибкость бизнеса, экономическую эффективность с положительной окупаемостью инвестиций. Проанализированы виды и модели облачных технологий, их характеристики, преимущества и недостатки.

В главах 6, 7, 8 рассматриваются главные вопросы аттестационной работы – обеспечение защищенного информационного пространства в корпоративной облачной среде. Описаны основные положения, такие как стратегия безопасности корпоративной облачной среды, управление рисками и поставщиками, распределение ответственности.

Определение механизмов обеспечения безопасности должно основываться на оценке рисков. По результатам оценки рисков определяется, какие ресурсы или сервисы могут быть перемещены в облачную среду. Что мы должны предпринять для устранения этих рисков?

Мероприятия по обеспечению безопасности информационной среды условно можно разделить на три части: организационные, административные и технические.

Ниже, в таблице 1 указаны основные положения каждой части мероприятия.
Таблица 1. Список мер по обеспечению безопасности информационного пространства в корпоративной облачной среде

Рассмотрены существующие проблемы в управлении безопасностью системы обмена и передачи данных с внешними пользователями и то, как эти проблемы решаются при  внедрении гибридной  облачной технологии.

Глава 9 рассказывает о портфеле проектов (Таблица 2.) внедрения гибридной облачной среды и обеспечения безопасности.  Эти проекты тесно связаны друг с другом, так как очень многое зависит от правильно выбранного поставщика.

Составлен примерный календарь проектов, и описание каждой части. Основными проектами являются

В этой главе также рассмотрен современный рынок поставщиков облачных услуг, их характеристики, успехи по магическому квадранту аналитической компании Gartner. И описаны их предложения по развертыванию корпоративной гибридной облачной среды.

Таблица 2. Портфель проектов

Примеры развертывания безопасного информационного пространства корпоративной облачной среды, предложенные в аттестационной работе как решения поставленной задачи, основаны на технологиях компании Microsoft.. Выбор был основан на двух критериях

• Магический квадрант компаний Gartner по поставщикам облачных услуг за 2014 год
• Технологии и решения компании Microsoft уже составляет однородную IT инфраструктуру компании NCOC.

Из этих примеров было выбрано наиболее подходящее решение, и составлен бюджет проекта внедрения этого решения.

Выводы
Рассмотрев вопрос о необходимости внедрения и безопасного использования облачных технологий в нефтегазовой компании, показано,  что наиболее выгодной и перспективной выглядит идея гибридных облаков, которые могли бы сочетать в себе безопасность и надежность частных облаков с универсальностью и гибкостью общедоступных.

Однако главными критериями принятия решения должны стать:

• Выводы по  оценке рисков
• Предложения и возможности поставщиков услуг

Как рассмотрено в аттестационной работе, предлагаемое решение защищенного информационного пространства с развертывание корпоративной облачной среды решает главную задачу,  определенную компанией,- использования Информационного Каталога Консорциума (ИКК), как единую и безопасную платформу централизованного хранения электронных документов.

Выгода от использования гибридных облаков, как безопасного информационного пространства в NCOC (СКК):

• Экономическая эффективность
• Гибкость ведения бизнеса между 7ми партнерами-акционерами
• Эффективное управление рисками
• Улучшение имиджа компании

Выбранное в процессе написания работы модель внедрения информационного пространства на  основе гибридной облачной технологии было предложено Директорам профильных Дирекций, как решение существующих проблем  и находиться в процессе рассмотрения.