Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Особенности обеспечения информационной безопасности при использовании облачных вычислений
Protectiva Compliance Manager
Навигация
 

Особенности обеспечения информационной безопасности при использовании облачных вычислений

Автор: Александр Астахов опубликовано: 21-12-2012 последнее изменение: 21-12-2012

Какие последствия для информационной безопасности влечет за собой повсеместный переход на облачную модель потребления ИТ-сервисов? Особый интерес представляет использование публичных облаков (Google, Amazon, Salesforce и т.п.), а также гибридных облаков на их основе.

Вопросы экспертного сообщества

  • Каким образом облачные модели предоставления информационных сервисов влияют на подходы к обеспечению информационной безопасности?
  • Как делается виртуализация? Как обеспечить доверие к новым виртуальным машинам, клонируемых на различных серверах? Как контролировать клоны? 
  • Как создать защищенную (доверенную) виртуальную машину? Возможна ли реализация безопасного (точнее доверенного) облака? 
  • Каким образом должна распределяться ответственность за безопасность в облачной архитектуре?
  • Готовящиеся требований регуляторов для облачных инфраструктур и как их реализовать?
  • Нужна ли аккредитация провайдеров облачных сервисов или достаточно ли имеющейся системы лицензирования и аттестации в области защиты информации? 
  • Как обеспечить доверенную среду функционирования криптографических средств в облаке (не имеющем физических границ)? 

Облака - это не новые технологии, а новая модель предоставления сервиса

С технологической точки зрения облачные вычисления (точнее облачный аутсорсинг) не являются какой-то принципиально новой технологией, а лишь продолжают развитие используемых уже на протяжении 20 лет ASP, IT аутсорсинга и виртуализации. Однако все это стало намного сложнее в плане обеспечения ИБ.

Основные источники информации по безопасности облаков

Публикации NIST: 
  • SP 800-145 Определения понятия облачных вычислений 
  • SP 800-146 Краткий обзор и рекомендации по облачным вычислениям. 
Публикации Cloud Security Alliance. CSA занимается в том числе разработкой требований для аккредитации провайдеров облачных сервисов. 
 
Роскомнадзор разрабатывает нормативные документы по использованию персональных данных в облачных инфраструктурах.
 
Мероприятия:

Точка зрения регулятора

С точки зрения официального представителя ФСТЭК"Облако это тот же мейнфрейм с удаленным доступом и протоколом TCP/IP. Поэтому к облакам применимы старые руководящие документы ФСТЭК (Гостехкомиссии). Надо сосредоточится на юридических аспектах заключения договоров с провайдером на предоставление облачных сервисов". 

Законодательные ограничения на использование криптографии

Государственное регулирование криптографии носит жесткий характер во многих странах. Не разрешается использовать симметричную криптографию с длиной ключа более 40 бит (Индия), 56 бит (Россия), 64 бит (США и Великобритания) без специального разрешения (лицензии). В случае использования более длинных ключей, правительства (в интересах национальной безопасности) требуют от разработчиков (поставщиков или пользователей) ПО предоставлять им копии ключей. 

Обеспечение соответствия в области персональных данных и интеллектуальной собственности 

Облачная модель не считается с искусственно установленными физическими государственными границами и предполагает размещение и обработку данных в распределенных по всему миру дата-центрах. Подписываясь на облачные сервисы, пользователи в общем случае не имеют представления о том, в каких юрисдикциях оказывается их информация и что с этим делать, ведь, в каждой стране свои законы. Вряд ли какой-либо иностранец способен разобраться в нормативной базе РФ в области защиты информации и персональных данных. 
 
Развивающиеся страны обычно заимствуют свое законодательство с более развитых стран, привнося в него свой национальный колорит. В одной стране взлом компьютерной системы может караться смертной казнью, а в другой вообще не считаться преступлением. 

Передача рисков ИБ 

Для открытия, например, книжного интернет-магазина в техническом плане делать ничего не надо, т.к. Amazon предоставляет этот сервис в законченном виде, но при этом не гарантирует безопасность. И вообще ни один провайдер не гарантирует безопасность данных.
 
При использовании облаков контроль информационных активов организации передается провайдеру. При этом организация фактически утрачивает контроль за ИБ и отдает его на откуп провайдеру. Страховщики не идут на страхование информационных рисков. 
 
Вопросы передачи рисков:
 
  • Готовы ли провайдеры нести ответственности за ИБ и возмещать соответствующие ущербы? 
  • Как и из какой страны выбирать провайдера? 
  • Как составлять SLA?
  • Как и в какой степени организация может сохранить контроль за ИБ?
  • Как оценить риски ИБ при использовании конкретного облачного сервиса?

Направления деятельности регуляторов и экспертного сообщества

  • создание доверенной среды в облаках 
  • расширение и адаптация существующих требований регуляторов в сторону облаков, разделение требований к частным и публичным облакам
  • создание национальной системы аккредитации операторов облачных сервисов

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex