четверг, 23 октября 2014 г.

Практика безопасного аутсорсинга

    Время от времени у коллег из ИБ или ИТ начинается головная боль - руководство хочет вывести часть корпоративных процессов на аутсорсинг. Несколько лет назад довелось проводить анализ рисков и решать проблему безопасности аутсорсинга, используя как имеющиеся контроли и корпоративные рычаги влияния так и создавая новые. Если конкретно то мы делали так:

1) внедряли требования по уровню сервиса и ИБ в контракт (в т.ч. необходимость оценки рисков, наличие сертификации СМИБ аутсорсера, наше право на аудит аутсорсера и т.п.)
2) проводили аудит системы проверки сотрудников при приеме на работу к аутсорсеру, и выборочную проверку сотрудников аутсорсера собственными силами (параллельно автоматизировали проверку сотрудников)
3) внедряли терминальный доступ и двухфакторную аутентификацию для доступа к нашем серверам с ноутбуков аутсорсера
4) контролировали движение данных DEV\TEST\PROD, доступы внутри ERP и риски доступа c помощью SAP SM + SAP IDM-GRC
5) проводили обучение, сертифицировали и периодически аттестовали сотрудников аутсорсера на знание нашей политики ИБ (кто не знал — не пускали\блокировали в AD)
6) брали расписки с сотрудников аутсорсера о недопущении разглашения коммерческой тайны
7) планировали внедрение системы видеозаписи всех действий администраторов (RDP\SSH etc)
8) прорабатывали внедрение системы контроля изменений на FW (что бы не обходили систему видеозаписи)


    Из списка мер должно быть понятно, что аутсорсилось в той или иной мере почти все - от инфраструктуры до ERP. Увы, не удалось сделать 100% задуманного, но построенная система свое предназначение выполнила.

Комментариев нет:

Отправить комментарий