Message
AK
AKTIV.CONSULTING
1 384
subscribers
🗣Меры по управлению рисками реализации информационных угроз и технологической зависимости
В прошлом году ЦБ РФ представил Методические рекомендации №7-МР, которые предписывают на протяжении нескольких лет осуществить внедрение требований ГОСТ Р 57580.4 по обеспечению операционной надежности (ОН).
В данном документе есть важный раздел «Процесс 4. Взаимодействие с поставщиками услуг», где описываются меры по управлению различными рисками ОН: рисками реализации информационных угроз и рисками технологической зависимости. Рассмотрим каждую из данных мер подробнее.
Меры по управлению рисками реализации информационных угроз направлены на предотвращение вторжений и компьютерных атак на ИТ-инфраструктуру заказчика из ИТ-инфраструктуры поставщика.
Тезисно данные требования можно описать следующим образом:
1️⃣ Организация защиты от компьютерных атак.
2️⃣ Меры по обеспечению безопасности цепочки поставок:
• оценка репутации и благонадежности поставщиков;
• обеспечение транспарентности и оценки уровня зрелости процессов поставщиков;
• проведение независимого аудита;
• оценка программ безопасности на этапах жизненного цикла объектов информационной инфраструктуры.
3️⃣ Обеспечение опернадежности технологических процессов, переданных на аутсорсинг:
• заключение соглашений о конфиденциальности (NDA) и уровне сервиса (SLA);
• заблаговременная проработка альтернативных поставщиков и гарантий технической поддержки.
Меры по управлению рисками технологической зависимости направлены прежде всего на диверсификацию рисков между несколькими поставщиками. Среди основных требований:
1️⃣ Диверсификация риска по государственной принадлежности.
2️⃣ Обеспечение гарантийной технической поддержки (ТП) на весь срок эксплуатации объектов информационной инфраструктуры (ОИИ).
3️⃣ Установление требований защиты информации и операционной надежности к приобретаемым ОИИ.
4️⃣Выявление ОИИ с близким сроком завершения жизненного цикла (т.н. «end-of-life»).
5️⃣Организация самостоятельной ТП применяемых ОИИ.
6️⃣ Организация технического обслуживания ОИИ прикладного и инфраструктурного уровней, а именно:
• регистрация всех событий безопасности при ТО;
• проведение ТО в соответствии с техническими требованиями;
• тестирование работоспособности ОИИ после завершения ТО.
7️⃣ Контроль удаленной ТП:
• применение многофакторной аутентификации;
• регистрация всех событий безопасности при ТП;
• гарантированное завершение сессий по завершении ТП;
• подключение через VPN с ОИИ с аналогичным уровнем защиты, что и у ОИИ заказчика.
8️⃣ Определение квалификационных требований к ТП.
❗️ Данная работа должна выстраиваться системно, начиная от установки требований по защите информации и ОН в явном виде, требований к квалификации персонала, и заканчивая усиленным контролем за действиями конкретного инженера ТП поставщика, регистрацией всех событий безопасности, контролем за его действиями.
💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст
В прошлом году ЦБ РФ представил Методические рекомендации №7-МР, которые предписывают на протяжении нескольких лет осуществить внедрение требований ГОСТ Р 57580.4 по обеспечению операционной надежности (ОН).
В данном документе есть важный раздел «Процесс 4. Взаимодействие с поставщиками услуг», где описываются меры по управлению различными рисками ОН: рисками реализации информационных угроз и рисками технологической зависимости. Рассмотрим каждую из данных мер подробнее.
Меры по управлению рисками реализации информационных угроз направлены на предотвращение вторжений и компьютерных атак на ИТ-инфраструктуру заказчика из ИТ-инфраструктуры поставщика.
Тезисно данные требования можно описать следующим образом:
1️⃣ Организация защиты от компьютерных атак.
2️⃣ Меры по обеспечению безопасности цепочки поставок:
• оценка репутации и благонадежности поставщиков;
• обеспечение транспарентности и оценки уровня зрелости процессов поставщиков;
• проведение независимого аудита;
• оценка программ безопасности на этапах жизненного цикла объектов информационной инфраструктуры.
3️⃣ Обеспечение опернадежности технологических процессов, переданных на аутсорсинг:
• заключение соглашений о конфиденциальности (NDA) и уровне сервиса (SLA);
• заблаговременная проработка альтернативных поставщиков и гарантий технической поддержки.
Меры по управлению рисками технологической зависимости направлены прежде всего на диверсификацию рисков между несколькими поставщиками. Среди основных требований:
1️⃣ Диверсификация риска по государственной принадлежности.
2️⃣ Обеспечение гарантийной технической поддержки (ТП) на весь срок эксплуатации объектов информационной инфраструктуры (ОИИ).
3️⃣ Установление требований защиты информации и операционной надежности к приобретаемым ОИИ.
4️⃣Выявление ОИИ с близким сроком завершения жизненного цикла (т.н. «end-of-life»).
5️⃣Организация самостоятельной ТП применяемых ОИИ.
6️⃣ Организация технического обслуживания ОИИ прикладного и инфраструктурного уровней, а именно:
• регистрация всех событий безопасности при ТО;
• проведение ТО в соответствии с техническими требованиями;
• тестирование работоспособности ОИИ после завершения ТО.
7️⃣ Контроль удаленной ТП:
• применение многофакторной аутентификации;
• регистрация всех событий безопасности при ТП;
• гарантированное завершение сессий по завершении ТП;
• подключение через VPN с ОИИ с аналогичным уровнем защиты, что и у ОИИ заказчика.
8️⃣ Определение квалификационных требований к ТП.
❗️ Данная работа должна выстраиваться системно, начиная от установки требований по защите информации и ОН в явном виде, требований к квалификации персонала, и заканчивая усиленным контролем за действиями конкретного инженера ТП поставщика, регистрацией всех событий безопасности, контролем за его действиями.
💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст
04/15/2025, 14:30
t.me/aktivcons/1723
Similar message chronology:
Newest first
Similar messages not found