Безопасность saas. Безкоровайный. risspa. cloudconf

23
Безопасность SaaS – разделение обязанностей между клиентом и провайдером Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA, Сооснователь Cloud Security Alliance Russian Chapter Cloud Conf 15 мая 2012 Москва

Upload: denis-bezkorovayny

Post on 16-Jun-2015

904 views

Category:

Documents


2 download

Tags:

TRANSCRIPT

Page 1: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

разделение обязанностей между

клиентом и провайдером

Денис Безкоровайный, CISA, CISSP, CCSK

Вице-президент RISSPA,

Сооснователь Cloud Security Alliance Russian Chapter

Cloud Conf

15 мая 2012

Москва

Page 2: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность наглядно

2

Page 3: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Поедем?

3

Page 4: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Важна ли SaaS-клиентам

безопасность?

Какой ущерб будет приченен компании если:

1. ее данные станут доступны всему

Интернету?

2. к ее данным получат доступ сотрудники

провайдера?

3. ее бизнес-процессы или данные будут

изменены третьей стороной?

4. данные или процесс будут недоступны?

4

Page 5: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

У кого контроль?

Серверы

Виртуализация

и частные

облака

Публичные

облака

PaaS

Публичные

облака

IaaS

Потребитель

Сервис-провайдер

Публичные

облака

SaaS

Page 6: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

что должен делать провайдер

Защита физической инфраструктуры

(помещения, серверные стойки,

электроэнергия, охлаждение, серверы,

системы хранения)

Резервирование инфраструктуры и

обеспечение доступности, выполнение и

контроль SLA (сеть, системы хранения,

пропускная способность)

6

Page 7: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

что должен делать провайдер

Защита операционных систем и управление

обновлениями/уязвимостями

Настройка и поддержка систем безопасности

(межсетевые экраны, системы

предотвращения атак, антивирус, фильтрация

пакетов, шифрование и тд)

Мониторинг работы систем безопасности и

сбор журналов событий

Непрерывность сервиса и восстановление

Кадровая безопасность 7

Page 8: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность на уровне

приложения

Использует ли

провайдер:

отраслевые стандарты

для безопасного SDLC?

автоматизированные

средства анализа

исходного кода?

как насчет

аутсорсинговой

разработки? 8

Page 9: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

задачи клиента

Управление учетными записями и правами

доступа пользователей

Управление системой аутентификации и

политиками аутентификации

блокировка учетных записей

при ошибках входа

настройка двухфакторной

аутентификации и тд

9

Page 10: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

что часто клиенту недоступно

Настройка политики резервного копирования

Выгрузка резервных копий

Аудит систем обеспечения ИБ, анализ

защищенности

Настройка железа и ОС по своим стандартам

Анализ журналов регистрации и контроль

инцидентов

Применение собственных средств ИБ (кроме

редких исключений) 10

Page 11: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Безопасность SaaS –

общие задачи

Выполнение нормативных требований и

требований законодательства в части

обрабатываемых данных

11

Page 12: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Может ли провайдер убедить

клиентов что «все безопасно»

Подтверждение и

аудит эффективности

ИБ третьей стороной

Открытый диалог с

клиентами на тему ИБ

Page 13: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Как клиенту выбрать

«правильного» SaaS-провайдера

13

Page 14: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Признаки серьезного

SaaS-провайдера

Для него информационная безопасность –

один из ключевых аспектов сервиса

Он предоставляет клиентам сведения об

используемых системах и мерах защиты

Он подтверждает эффективность системы

управления ИБ сторонними аудитами

Он предоставляет рекомендации для клиентов

по информационной безопасности

14

Page 15: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Что еще нужно знать

заказчикам о провайдере?

Способы защиты данных (гарантированное удаление,

разграничения между разными клиентами и тд)

Внутренний анализ рисков, тренинги, проверки персонала

Физическая защита и зависимость от внешних поставщиков

(надежность и безопасность датацентра, нижележащих

провайдеров и тд)

Порядок взаимодействия с органами (в каких случаях может быть

выдача данных и остановка сервиса, выемка данных у одного

заказчика не должна влиять на данные других и тд)

В какой стране находятся данные клиента

Список далеко не полный

Page 16: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Оценка клиентом облачного

провайдера

Единая форма для ИБ-

вопросов на основе

лучших мировых

практик

Перевод документа от

Cloud Security Alliance:

«Опросник оценки

состояния безопасности

облачной среды»

www.risspa.ru/csa

Page 17: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Равнение на лидеров

17

Page 18: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Ситуация с безопасностью

облаков в России

Типичные фразы в описании

информационной безопасности у

провайдеров:

«Для защиты используется HTTPS»

«Мы делаем резервное

копирование»

«Дата-центр круглосуточно

охраняется»

Этого недостаточно!

Page 19: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Текущие приоритеты

SaaS-провайдеров

Эффективность

Удобство

использования

Быстрые

изменения

Стоимость

.....

Безопасность??? 19

Page 20: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Хороший SaaS провайдер

20

Эффективность

Безопасность

Удобство

использования

Быстрые

изменения

.....

Page 21: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

Cloud Security Alliance

Russian Chapter

Локализация руководств и результатов

исследований CSA

Адаптирование лучших практик CSA к

российским условиям и законодательству

Разработка рекомендаций для российских

потребителей облачных услуг

www.risspa.ru/csa

Page 22: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf

22

Повышение уровня знаний специалистов ИБ Обмен опытом

Обсуждение актуальных проблем ИБ Формирование сообщества

профессионалов в области ИБ

Контакты и общение

Продвижение идей ИБ

Членство и участие в семинарах бесплатно

Регулярные очные и онлайн семинары

Что такое RISSPA?

Ассоциация профессионалов в области информационной безопасности

(Russian Information Security Systems Professional Association)Создана в июне 2006 года