Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Трансформация управления информационной безопасностью организации при использовании модели Security-as-a-Service

Степаненко В.С.

Выпускник группы MBA CSO-29

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Введение

Облачные вычисления (cloud computing) оказались привлекательны для бизнеса ввиду быстрого старта начала использования, надежности и экономической эффективности. При переходе компании в «облако» изменяется периметр защиты и классическими средствами обеспечить необходимый уровень безопасности становится практически невозможно.

Мотивация инженерного состава не может выражаться только величиной оплаты труда, рано или поздно квалификация будет утеряна при отсутствии развития, потому многие ищут интересных и сложных задач, работы с разными классами решений. Инженеры постепенно переходят в интеграторы, вендоров и провайдеров услуг. Все сложнее средним и малым компаниям в эпоху цифровой трансформации опираться на экспертизу только собственной команды, нужны дополнительные внешние ресурсы.

Безопасность как услуга (Security-as-a-Service) представляет из себя средства защиты информации и услуги, предоставляемые из облака провайдера по арендной схеме нескольким клиентам на базе единой платформы. Перейдя в «облако», достаточно разумным выглядит потребление ряда услуг безопасности так же из «облака», но это требует изменения системы управления информационной безопасностью, а также изменения компетенций лиц, ответственных за обеспечение информационной безопасности компании.

Основная часть

Основной целью данной работы является определение необходимых изменений в системе управления информационной безопасностью при использовании облачных вычислений и потреблении услуг безопасности из облака, в частности. Так же определены необходимые изменения в компетенциях и работе ответственных лиц за обеспечение информационной безопасности (CISO - Chief Information Security Officer).

В работе обозначены новые риски, которые необходимо учитывать при использовании услуг облачных провайдеров. Рассмотрены отчёты по рискам облачных вычислений европейского агентства ENISA (European Network and information Security Agency).

Доказана экономическая эффективность использования модели «безопасность как услуга» на примере межсетевого экрана прикладного уровня Web Application Firewall-as-a-Service.

Проведен разбор международных стандартов (ISO/IEC 27001:2013, PCI DSS) и законодательства Российской Федерации (152-ФЗ, 98-ФЗ, ГОСТ Р 57580.1-2017) на предмет возможности обеспечения соответствия при использовании услуг безопасности из облака. Обозначены дополнительные требования Cloud Security Alliance в части расширения требований ISO/IEC 27001:2013 для облачных провайдеров с возможностью сертификации по программе STAR, и сертификация по ISO/IEC 27017.

Проанализированы имеющиеся на момент написания работы услуги безопасности международных и российских облачных провайдеров.

Предложены новые подходы управления услугами обеспечения безопасности из облака:

  • составления соглашений об уровне сервиса - SLA (Service Level Agreement) и соглашений о неразглашении конфиденциальной информации - NDA (Non-Disclosure Agreement);
  • измерения уровня (метрики) обеспечения информационной безопасности;
  • страхования киберрисков;
  • вовлечения персонала компании в процесс обеспечения информационной безопасности путем развития Security Champions.


Заключение

Облачные вычисления требуют эволюции систем управления информационной безопасностью, изменения подходов управленцев. Маркетологи решили не придумывать новые классы, а добавлять слова «Next Generation» к более функциональным средствам защиты, таким образом показывая соответствие новым вызовам. Аналогично и с системами управления информационной безопасностью компаний – основополагающие принципы остаются неизменными, но добавляются специфичные риски, требования и подходы в работе. Нужны руководители нового поколения (next generation CISO) в среде информационной безопасности, способные эффективно управлять в эпоху новых технологий и подходов.

РАНХиГС подходящая площадка для создания руководителей нового поколения, но требуется добавить в программы обучения соответствующие темы и скорректировать имеющиеся с учетом облачных вычислений для групп CIO и «безопасность как услуга» для групп CSO.

Голосов пока нет
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009