Когда-то информационные системы организаций были представлены лишь огромными архивами физически реальных документов. Безопасность таких информационных систем обеспечивалась за счет ограничения доступа к месту хранения важной информации. С появлением информационных технологий многое изменилось, появились новые способы ограничения доступа к информации, упростился и ускорился способ ее обработки и передачи. Однако проблема осталась прежней – информация все еще осталась подвержена различного рода угрозам. Причем угроз стало больше – к пожарам и прочим чрезвычайным ситуациям добавился выход из строя оборудования, сбои в сети, а к проникновению в места хранения информации добавились сетевые атаки через Интернет и перехват электронной почты.

Каждая угроза информационной безопасности неизменно несет за собой определенную вероятность возникновения ущерба (финансового, материального, репутационного), который понесет организация в случае их реального осуществления. Вероятность возникновения ущерба в свою очередь зависит от степени защищенности информации – от количества и качества применяемых мер защиты.

В любой организации огромное внимание уделяют важной для ведения ее деятельности информации. В работу организаций внедряются различные автоматизированные информационные системы, доступ к информации в которых ограничен на уровне программного кода. Повсеместно применяются антивирусные программы и комплексы программ, защищающие каждое рабочее место и локальную сеть в целом от вирусов, попадающих как через Интернет, так и приносимых из дома самими сотрудниками. Используются защищенные интернет–соединения, межсетевые экраны.

Однако чем дальше развиваются современные технологии, тем все больше становится необходимым всесторонне защищать информацию.

За  последние  несколько  лет  концепция  облачных  вычислений  и  виртуализации набрала силу и стала популярной в сфере информационных технологий. Интерес к этой концепции обусловлен следующими преимуществами, присущими ей:

• уменьшение стоимости поддержки и обслуживания серверов;
• большая безопасность данных;
• гибкость в подходе к пользователям и непрерывность бизнеса и т. д.

Считается, что применение облачных технологий позволит бизнесу экономить средства на программном обеспечении, аппаратной части и на электропотреблении. Сэкономленные же средства, которых будет много, так как это довольно затратная часть любой организации (порой сопоставимые с бюджетами отдела маркетинга и рекламы), можно потратить на дальнейшее развитие бизнеса.

Тем не менее, иногда аналитиками приводятся примеры, в которых общая совокупная стоимость владения «облачным» решением может быть на порядок дороже, чем при отказе от использования данной технологии, поэтому необходимо проводить тщательную оценку эффективности использования «облачных» технологий в каждом отдельном случае и анализировать все возможные варианты по ее обеспечению.

Также существует ряд вопросов связанных с безопасностью использования этой технологии, многие компании до сих пор ей не доверяют, предпочитая держать все при себе, в любой момент, имея возможность совершить с имеющейся информацией любые действия.

Поэтому, на наш взгляд, необходимо как можно глубже разобраться во всех вопросах касающихся безопасности использования «облачных» технологий в организациях и разработать некоторые рекомендации касаемо применения данной технологии с точки зрения информационной безопасности.

Именно этим и обуславливается актуальность рассмотрения выбранной темы: «Оценка безопасности ИС организаций при работе с «облачными» продуктами».

Объект исследования - облачные технологии.

Предмет исследования – оценка информационной безопасности организаций, использующих «облачные» технологии.

Целью данной работы является анализ «облачных» технологий, как с современного средства виртуализации бизнеса, оценка их влияния на информационную безопасность организаций, а также предоставление информации, позволяющей принять решение о необходимости использования облачных технологии в организациях.

В результате проведенного исследования мы выполнили следующие задачи:

1) Проанализировали основные характеристики, модели обслуживания и виды «облачных» технологий и их влияние на деятельность организаций.

Основные характеристики «облаков»:

• самообслуживание по требованию;
• универсальный доступ по сети;
• объединение ресурсов;
• эластичность;
• учёт потребления ресурсов и мощностей.

Положительное влияние:

• доступность;
• низкая стоимость (плата за фактическое использование);
• гибкость (неограниченность используемых ресурсов);
• надежность (резервные источники питания, резервные копии, устойчивость к атакам);
• безопасность (при должном обеспечении);
• большие вычислительные мощности.

Отрицательное влияние:

• постоянное соединение с сетью;
• программное обеспечение и его кастомизация (ограничения на используемое в «облаке» ПО);
• конфиденциальность;
• надежность (потеря информации без возможности восстановить);
• безопасность (вирусы, возможность проникновения);
• дороговизна оборудования (при строительстве собственного).

2) Изучили понятие «информационная безопасность», угрозы информационной безопасности и выделили требования к обеспечению информационной безопасности в организации.

Основные задачи информационной безопасности:

• обеспечение целостности;
• обеспечение доступности;
• обеспечение конфиденциальности.

Требования к обеспечению информационной безопасности в организации:

• регулярное проведение оценки рисков и угроз безопасности информационной системы;
• ограничение в использования и установке ПО;
• регулярный мониторинг регуляторов безопасности, применяемых в ИС;
• обеспечение надежности должностных лиц;
• применение санкций к нарушителям безопасности;
• информирование о рисках сотрудников;
• обучение сотрудников;
• отслеживание и документирование инцидентов;
• создание соответствующей структуры для реагирования на инциденты;
• управление доступом к ИС;
• обеспечивать необходимые условия для функционирования ИС;
• защита ИС от вредоносных программ;
• отслеживать сигналы о нарушениях ИБ и пр.

3) Провели оценку безопасности организации при работе с «облачными» продуктами.

Среди основных причин возникновения проблем безопасности в облаках можно выделить следующие:

• понятие периметра безопасности размывается при переходе к облачной инфраструктуре;
• смещение фокуса с обеспечения безопасности к обеспечению доверия;
• совместное использование ресурсов разными потребителями;
• при использовании сервисов облачных вычислений потребитель попадает в существенную зависимость от провайдера.

Выделяют следующие основные риски применения “облачных” технологий в работе организации:

• потеря контроля над данными;
• соответствие требованиям;
• восстановление данных;
• расследование инцидентов;
• вредоносные инсайдеры;
• использование старых технологий;
• утечки и потери данных;
• непрерывность и устойчивость бизнеса;
• безопасность инфраструктуры облака;
• качество коммуникаций.

Прежде, чем доверять третьей стороне конфиденциальную информацию, необходимо ознакомиться со всеми доступными материалами касаемо уровня обеспечения безопасности того или иного провайдера облачной услуги.

Поставщик “облачных” сервисов обязан обеспечить комплексную защиту предоставляемой инфраструктуры.

Требования для обеспечения минимальной безопасности “облаков”:

• физическая защита – защита дата-центров (охрана на объекте, пропускной режим, поддержание требуемых условий эксплуатации оборудования, бесперебойное питание, круглосуточное обслуживание);
• физическое разделение ресурсов – обработка критически важных данных отдельно от общей инфраструктуры, не нуждающейся в усиленной защите;
• антивирусная защита.
• безопасность системы – наличие брандмауэров для виртуальных машин и для ОС;
• защита от уязвимостей – готовность к атакам на распространенные уязвимости;
• безопасность данных – контроль доступа к данным;
• аутентификация – использование логина пароля, шифрование процесса аутентификации. Необходимо разделение пользователей по ролям – авторизация;
• контроль изменений – обе стороны должны быть в курсе изменений в системе;
• шифрование – шифрование данных в облаке;
• соответствие ФЗ-152 – обработка и хранение должны соответствовать закону.

Самое уязвимое звено в этой цепочке  −  это конечные пользователи услуг. Если данные авторизации пользователя будут скомпрометированы, то даже самая мощная защита будет бесполезна.

По результатам проведенного исследования можно сделать вывод о том, что нет единого мнения по поводу безопасности использования облачных продуктов. На настоящий момент времени люди делятся на два «лагеря» – те, кто за, и те, кто категорически против. А единственным доказательством безопасности данной технологии является тот факт, что пока что не произошло ничего более-менее серьезного, что могло бы этому противоречить.

Также присутствует недоверие к самим провайдерам. Многие уверены, что они распоряжаются, попавшей в облачное хранилище конфиденциальной информацией (в том числе персональными данными) по своему усмотрению («слежка»).

При внедрении облаков в деятельность организаций используются обобщенные стандарты,  нормативные акты и законы, регламентирующие обеспечение информационной безопасности в целом. Однако, с учетом специфичности технологии и сложности ее реализации требуются стандарты узконаправленного характера, подробно рассматривающие методы и способы обеспечения информационной безопасности при работе с облачными продуктами.

Сейчас ведется разработка таких документов, как в России, так и за рубежом. С их появлением, на наш взгляд, у потребителей появится больше понимания технологии и того как с ней необходимо работать. Появятся определенные требования и ограничения, предъявляемые к провайдерам и разработчикам ПО, направленные на улучшение качества предоставления сервиса. Из чего вполне логично предположить, что это значительно повысит и уровень безопасности сервиса, и уровень доверия потребителей.

Библиографический список

1. Андрианов, В.В. Обеспечение информационной безопасности бизнеса/ под ред. А. Курило. – 2-е изд., испр. и доп. – М.: Альпина Паблишер, 2011, 392 с.
2. Основы ИБ. Учебное пособие для вузов/ Е. Б. Белов, В. Лось, Р. В. Мещеряков, Д. А. Шелупанов. – М.: Горячая линия – Телеком, 2006. – 544 с.: ил.
3. Информационная безопасность государственных организаций и коммерческих фирм. Монография/ под ред. Реймана Л. Д. – М., 2002.
4. Удо Шнайдер, Безопасность при использовании облачных сервисов. Журнал сетевых решений LAN, №4, 2013

Селиверстова Е.А.¹, Чернова Е.В.²

¹Магнитогорский государственный университет, студентка 51 гр. Факультета информатики

²Магнитогорский государственный университет, к.п.н, доц. кафедры Информационных технологий Факультета информатики

Аннотация

В данной статье рассматривается оценка безопасности информационной системы организации при передаче ее компонентов на аутсорсинг. 

SAFETY ASSESSMENT INFORMATION SYSTEM OF THE TRANSMISSION OF ITS COMPONENTS ON OUTSOURCING

Selivyorstova E.A.¹ Chernova E.V.²

1Magnitogorsky State University student 51 gr. Faculty of Informatics

2Magnitogorsky State University, kpn, Assoc. the Department of Information Technology Faculty of Informatics

Abstract

This article discusses the evaluation of information system security organization during transmission components for outsourcing. 

Современная экономика, которая характеризуется стабильным превышением предложения над спросом, формирует потребность повышения эффективного потребления ресурсов предприятия, что, в последствии, подразумевает рост практики использования в бизнес-процессах результатов деятельности других организаций узкой специализации. Но повышение конкурентоспособности компаний малого и среднего бизнеса, которые не обладают необходимостью для осуществления цикла основных, вспомогательных и управленческих бизнес-процессов ресурсами, невозможно представить без применения аутсорсинговых операций, которые позволяют организациям, с ограниченными ресурсами, улучшить имеющиеся факторы производства и применить их с наибольшей эффективностью. Это утверждение имеет силу главным образом для компаний, услуги, торговли и  деятельность которых организованы на работе с базами данных о клиентах, которые составляют основу информационной системы управления организаций. Обслуживание таких организаций сопровождается значительными расходами, что создает необходимость использования предприятиями аутсорсинговых операций в деятельности информационного обеспечения управления, что даст им возможность развивать устойчивое долгосрочное конкурентное преимущество.

Аутсорсинг информационной системы управления организации позволяет качественно построить бизнес-модели нового уровня, при использовании достижений в сфере информационных технологий, поскольку самостоятельная разработка и обслуживание не представляется возможным по причине дороговизны поддержки собственной информационной системы. Однако большинство отечественных предприятий не пользуются услугами информационного аутсорсерсинга в целях повышения конкурентных преимуществ. Это связанно с тем, что в российской аутсорсинговой практике низкий уровень распространенности о таких компаниях и  отсутствуют методы оценки эффективности ИТ-аутсорсинга, что приводит к увеличению противоречий нововведениям в данной сфере. Так же, аутсорсинг позволяет использовать новые организационные решения, факторы управления и комбинации факторов производства в целом и каждого бизнес-процесса в отдельности на основе применения технико-технологических факторов роста производства и качества продукции.

На сегодняшний день многие организации задумываются над вопросом обеспечения управления ИT-ресурсами за счет выведения этой деятельности на аутсорсинг. При реализации данного подхода возникает такая проблема, как обеспечение информационной безопасности деятельности, передаваемой на аутсорсинг, и в большей степени защиты от несанкционированного доступа к частной информации организации со стороны контрагента.

Наиболее эффективным направлением аутсорсинга является аутсорсинг бизнес-процессов. При предоставлении данной услуги поставщик считается ответственным не только за ИT-решение, но и за эффективное управление бизнес-процессами клиента. В таком случае на аутсорсинг выносится не только сопровождение ИT-решения по заработной плате, но и сам расчет заработка персонала. На сегодняшний день данная концепция в России только начинает находить своих сторонников, одна из причин – это сложность организации информационной безопасности.

 Таким образом, можно сказать, что цель аутсорсинга — получить ИT-услуги требуемого качества, при этом сократить затраты, благодаря использованию не внутренних ресурсов, а сторонних. Понятие аутсорсинга возникает тогда, когда подрядчик выполняет определенные функции для того чтобы получить результаты, необходимые заказчику.

Передача процесса на аутсорсинг имеет следующие преимущества:

 • Повышение уровня услуг;

 • Снижение издержек на ИT-инфраструктуру;

 • передача и уменьшение операционных рисков по процессу;

• привлечение внешних инвестиций под определенные задачи;

 • концентрация на основных бизнес-процессах.

Для того чтобы достигнуть данных преимуществ аутсорсером необходимо управлять на всех стадиях жизненного цикла процесса. Фактически при аутсорсинге вовне отдается процесс, неразрывно встроенный в основной бизнес. И чтобы этот процесс эффективно работал, необходимо создать, регламентировать и контролировать все интерфейсы между процессами, которые происходят в рамках компании, и процессами, переданными на аутсорсинг.

Наиболее важным вопросом при передаче процессов на аутсорсинг является информационная безопасность. Необходимо понимать, что  экономическая эффективность от аутсорсинга может быть утрачена, в случае если произойдет инцидент в части информационной безопасности, по результатам которого организация понесет убытки, несопоставимые с полученной от аутсорсинга экономией. Сохранение режима информационной безопасности потребует выполнения определенных требований, которым должны удовлетворять как процессы обеспечения информационной безопасности, так и другие процессы IT-подразделения. Важным требованием является налаженная система по управлению рисками информационной безопасности для снижения их последствий или их полного предотвращения, а также сформированная технологическая инфраструктура, которая позволяет минимизировать основные технологические риски. Аутсорсинг в России отличается высокими требованиями клиента к конфиденциальности, так как любая утечка информации потенциально опасна. Кроме того если поставщик требует для эффективности обслуживания определенный канал, чтобы решать проблемы заказчика за пределами организации. Это создает опасность того, что прямой доступ к финансовой информации заказчика есть не только у аутсорсера, что является важной проблемой на рынке, из-за  которой компании боятся что-либо передавать на аутсорсинг. Несмотря на то, что сотрудник ИT-компании, привлеченный для работы по контракту аутсорсинга, подписывает соглашение о неразглашении, клиенты часто пытаются «перестраховаться», проверяя всю информацию о компаниях, с которыми придется работать.

В заключение, можно сказать, что обеспечение информационной безопасности при аутсорсинге процессов  является достаточно сложной задачей, но при системном подходе к данной проблеме и регулярном совершенствовании процедур описания и анализа бизнес-процессов с постоянной оценкой рисков можно добиться сокращения затрат на ИT в целом, а так же улучшения качества предоставления ИT-сервисов. При этом важно внимательно подходить к вопросу о принятии решений по аутсорсингу и в связи с этим анализировать вопросы информационной безопасности.

Список использованных источников

1. ITSM online: Безопасный аутсорсинг: http://www.itsmonline.ru
2. Сетевые решения: Вопросы информационной безопасности при аутсорсинге IT-процессов компании: http://www.nestor.minsk.by/sr/2007/08/sr70812.html