Обязательство OCLC по обеспечению безопасности библиотечных услуг

Защита ваших данных при совместном использовании коллекций

OCLC осознает, что конфиденциальность, объективность и доступность сведений наших участников имеет первоочередное значение для их деловых операций и нашего собственного успеха. Мы используем многоуровневый подход к защите ключевой информации, постоянно отслеживая и совершенствуя наши приложения, системы и процессы для соответствия растущим требованиям и трудностям динамических угроз безопасности. В рамках усилий по обеспечению безопасности OCLC успешно прошла регистрацию на стандарты безопасности ISO 27001, сертификацию по схеме Cyber Essentials и регистрацию CSA STAR.

Информационная безопасность и управление рисками предприятия

  • Внедрена система управления информационной безопасностью в соответствии с ISO/IEC 27001:2013.
  • Привлечен штат сертифицированных профессионалов в области информационной безопасности и информационных технологий, а также особый специалист по аварийному восстановлению на условиях полного рабочего дня.

Контроль пространства и физического доступа.

  • Круглосуточная охрана.
  • Ограничение доступа с помощью бесконтактных карт.
  • Вычислительное оборудование в зонах контроля доступа.
  • Видеонаблюдение по всему объекту и периметру.
  • Контроль влажности и температуры.
  • Фальшпол для непрерывной циркуляции воздуха.
  • Подземная сеть электропитания.
  • Источники бесперебойного питания (ИБП).
  • Резервные распределительные устройства (РРУ).
  • Дизельные генераторы с локальным хранилищем дизельного топлива.
  • Датчики дыма и огня во всех центрах обработки данных.
  • Центр оказания услуг в Дублине (DSDC) защищен противопожарной системой «галон» с достаточными запасами для нескольких разрядов.
  • Центр оказания услуг в Колумбусе (CSDC) защищен противопожарной системой DuPont FM-200.
  • Центры обработки данных также защищены водяными спринклерными системами.
  • На всей территории DSDC и CSDC размещены огнетушители.

Контроль логического доступа

  • Идентификация пользователя и управление доступом:
    • соединения с данными посетителей через TLS 1.1 и 1.2 с использованием глобальных повышающих сертификатов от Thawte, гарантирующих нашим пользователям безопасное соединение между браузером и нашим сервисом;
    • индивидуальные пользовательские сеансы идентифицируются и повторно проверяются с каждой транзакцией, используя зашифрованные по XML утверждения безопасности через SAML 2.0;
    • принимаются во внимание конкретные используемые услуги.

Контроль безопасности операций

  • Подключение к Интернету через избыточные маршрутизируемые каналы с несколькими поставщиками услуг Интернета, обслуживаемые несколькими поставщиками телекоммуникационных услуг.
  • Межсетевые брандмауэры по периметру и пограничные маршрутизаторы блокируют неиспользуемые протоколы.
  • Внутренние брандмауэры разделяют трафик между уровнями приложения и базы данных.
  • Балансировщики нагрузки предоставляют прокси-серверы для внутреннего трафика.
  • OCLC использует различные методы для предотвращения, обнаружения и устранения вредоносных программ.
  • Также периодически проводятся сторонние независимые оценки безопасности.
  • Все данные копируются на ленту в каждом центре обработки данных.
  • Резервные копии клонируются по защищенным ссылкам в надежный архив на магнитной ленте.
  • После прекращения использования ленты транспортируются за пределы площадки и уничтожаются.
  • Сотрудники службы информационной безопасности OCLC отслеживают уведомления из различных источников и оповещения из внутренних систем для выявления и управления угрозами.

Разработка и обслуживание систем

  • OCLC тестирует код на наличие уязвимостей перед выпуском и регулярно сканирует нашу сеть и системы на наличие уязвимостей.
  • Проводятся оценки уязвимости сети.
  • Выполняется выборочное тестирование на проникновение и проверка кода.
  • Осуществляется проверка и тестирование инфраструктуры управления безопасностью.

Непрерывность бизнеса и восстановление после аварий

  • Служба OCLC проводит репликацию на диск в реальном времени в каждом центре обработки данных, а также репликацию данных в близком к реальному времени между производственным центром обработки данных и сайтом аварийного восстановления.
  • Конфиденциальные данные передаются по выделенным ссылкам.
  • Тесты аварийного восстановления служат для проверки предполагаемых сроков восстановления и целостности данных клиентов.

Инциденты: реагирование, уведомление и исправление

  • Процесс управления инцидентами для событий безопасности, которые могут повлиять на конфиденциальность, целостность и доступность систем или данных.
  • При подготовке к событиям команда информационной безопасности прошла обучение в области криминалистики и обработки доказательств, включая использование сторонних и частных инструментов.

Соблюдение требований

  • Третьи лица могут получить информацию только в рамках судебных процессов, таких как ордер на обыск, судебное постановление, повестка в суд, предусмотренное законом освобождение или согласие пользователя.
  • OCLC строго следует заявлению о конфиденциальности, чтобы помочь защитить данные заказчиков и посетителей.

Услуги OCLC соответствуют рекомендациям Gartner Group 1 (Таблица 1) и «Руководства по безопасности для критически важных областей облачных вычислений» Cloud Security Alliance или превосходят их.

Таблица 1. Gartner: семь рисков безопасности для облачных вычислений

Рекомендации Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Контроль доступа привилегированных пользователей X X X
Соответствие нормативным требованиям X X X
Расположение данных X X Х (без раскрытия)
Разделение данных X X X
Восстановление X X X
Следственная поддержка X X X
Долгосрочная жизнеспособность X X X

1 Джей Хейзер (Jay Heiser) и Марк Николетт (Mark Nicolett). «Оценка рисков безопасности облачных вычислений». Gartner Group. 3 июня 2008 г.