Обязательство OCLC по обеспечению безопасности библиотечных услуг
Защита ваших данных при совместном использовании коллекций
OCLC осознает, что конфиденциальность, объективность и доступность сведений наших участников имеет первоочередное значение для их деловых операций и нашего собственного успеха. Мы используем многоуровневый подход к защите ключевой информации, постоянно отслеживая и совершенствуя наши приложения, системы и процессы для соответствия растущим требованиям и трудностям динамических угроз безопасности. В рамках усилий по обеспечению безопасности OCLC успешно прошла регистрацию на стандарты безопасности ISO 27001, сертификацию по схеме Cyber Essentials и регистрацию CSA STAR.
Информационная безопасность и управление рисками предприятия
- Внедрена система управления информационной безопасностью в соответствии с ISO/IEC 27001:2013.
- Привлечен штат сертифицированных профессионалов в области информационной безопасности и информационных технологий, а также особый специалист по аварийному восстановлению на условиях полного рабочего дня.
Контроль пространства и физического доступа.
- Круглосуточная охрана.
- Ограничение доступа с помощью бесконтактных карт.
- Вычислительное оборудование в зонах контроля доступа.
- Видеонаблюдение по всему объекту и периметру.
- Контроль влажности и температуры.
- Фальшпол для непрерывной циркуляции воздуха.
- Подземная сеть электропитания.
- Источники бесперебойного питания (ИБП).
- Резервные распределительные устройства (РРУ).
- Дизельные генераторы с локальным хранилищем дизельного топлива.
- Датчики дыма и огня во всех центрах обработки данных.
- Центр оказания услуг в Дублине (DSDC) защищен противопожарной системой «галон» с достаточными запасами для нескольких разрядов.
- Центр оказания услуг в Колумбусе (CSDC) защищен противопожарной системой DuPont FM-200.
- Центры обработки данных также защищены водяными спринклерными системами.
- На всей территории DSDC и CSDC размещены огнетушители.
Контроль логического доступа
- Идентификация пользователя и управление доступом:
- соединения с данными посетителей через TLS 1.1 и 1.2 с использованием глобальных повышающих сертификатов от Thawte, гарантирующих нашим пользователям безопасное соединение между браузером и нашим сервисом;
- индивидуальные пользовательские сеансы идентифицируются и повторно проверяются с каждой транзакцией, используя зашифрованные по XML утверждения безопасности через SAML 2.0;
- принимаются во внимание конкретные используемые услуги.
Контроль безопасности операций
- Подключение к Интернету через избыточные маршрутизируемые каналы с несколькими поставщиками услуг Интернета, обслуживаемые несколькими поставщиками телекоммуникационных услуг.
- Межсетевые брандмауэры по периметру и пограничные маршрутизаторы блокируют неиспользуемые протоколы.
- Внутренние брандмауэры разделяют трафик между уровнями приложения и базы данных.
- Балансировщики нагрузки предоставляют прокси-серверы для внутреннего трафика.
- OCLC использует различные методы для предотвращения, обнаружения и устранения вредоносных программ.
- Также периодически проводятся сторонние независимые оценки безопасности.
- Все данные копируются на ленту в каждом центре обработки данных.
- Резервные копии клонируются по защищенным ссылкам в надежный архив на магнитной ленте.
- После прекращения использования ленты транспортируются за пределы площадки и уничтожаются.
- Сотрудники службы информационной безопасности OCLC отслеживают уведомления из различных источников и оповещения из внутренних систем для выявления и управления угрозами.
Разработка и обслуживание систем
- OCLC тестирует код на наличие уязвимостей перед выпуском и регулярно сканирует нашу сеть и системы на наличие уязвимостей.
- Проводятся оценки уязвимости сети.
- Выполняется выборочное тестирование на проникновение и проверка кода.
- Осуществляется проверка и тестирование инфраструктуры управления безопасностью.
Непрерывность бизнеса и восстановление после аварий
- Служба OCLC проводит репликацию на диск в реальном времени в каждом центре обработки данных, а также репликацию данных в близком к реальному времени между производственным центром обработки данных и сайтом аварийного восстановления.
- Конфиденциальные данные передаются по выделенным ссылкам.
- Тесты аварийного восстановления служат для проверки предполагаемых сроков восстановления и целостности данных клиентов.
Инциденты: реагирование, уведомление и исправление
- Процесс управления инцидентами для событий безопасности, которые могут повлиять на конфиденциальность, целостность и доступность систем или данных.
- При подготовке к событиям команда информационной безопасности прошла обучение в области криминалистики и обработки доказательств, включая использование сторонних и частных инструментов.
Соблюдение требований
- Третьи лица могут получить информацию только в рамках судебных процессов, таких как ордер на обыск, судебное постановление, повестка в суд, предусмотренное законом освобождение или согласие пользователя.
- OCLC строго следует заявлению о конфиденциальности, чтобы помочь защитить данные заказчиков и посетителей.
Услуги OCLC соответствуют рекомендациям Gartner Group 1 (Таблица 1) и «Руководства по безопасности для критически важных областей облачных вычислений» Cloud Security Alliance или превосходят их.
Таблица 1. Gartner: семь рисков безопасности для облачных вычислений
| Рекомендации Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Контроль доступа привилегированных пользователей | X | X | X |
| Соответствие нормативным требованиям | X | X | X |
| Расположение данных | X | X | Х (без раскрытия) |
| Разделение данных | X | X | X |
| Восстановление | X | X | X |
| Следственная поддержка | X | X | X |
| Долгосрочная жизнеспособность | X | X | X |
1 Джей Хейзер (Jay Heiser) и Марк Николетт (Mark Nicolett). «Оценка рисков безопасности облачных вычислений». Gartner Group. 3 июня 2008 г.