На рынке уже присутствуют следующие облачные сервисы ИБ (раньше подумать об этом было даже страшно): антивирус/антиспам, DLP, оценка рисков/самооценка, управление инцидентами, DDoS и даже ант ифрод ! Их количество продолжает расти, поэтому необходимость такой политики существенно возрастает.
1. Общее
1.1. Виды облаков:
- корпоративное (собственное)
- коммерческое (чужая компания)
- общественное (социальные сети)
1.2. Виды инфраструктур
- инфраструктура как услуга;
- платформа как услуга;
- ПО как услуга.
2. Поставщики услуг
2.1. Проведение анализа рисков
2.2. Виды рисков
- операционный;
- правовой;
- репутационный;
- стратегический;
- риск ликвидности.
2.3. Выбор поставщика услуг
3. Передаваемые сервисы
3.1. Критерии по типам информации:
- общедоступная;
- внутренняя;
- конфиденциальная;
3.2. Критерии по уровням ущербов:
- потеря конфиденциальности;
- потеря доступности;
- потеря целостности.
3.3. По экономике процесса:
- стоимость развертывания;
- стоимость эксплуатации;
- стоимость модернизации;
- стоимость уничтожения.
3.4. Выбор подходящего вида сервиса и облака.
4. Информационная безопасность
4.1. «Обычные» меры:
- аутентификация;
- группы доступа;
- шифрование канала;
- логирование;
4.2. Непрерывность бизнеса
- резервное копирование;
- резервирование канала;
- резервирование сервиса.
5. Заключение договора
5.1. Сроки
5.2. Конфиденциальность
5.3. Информационная безопасность
5.4. Ответственность
6. Контроль работы сервиса
6.1. Метрики
- доступность;
- загрузка канала.
6.2. Ответственность.
