Безопасность saas. Безкоровайный. risspa. cloudconf

Безопасность SaaS –

разделение обязанностей между

клиентом и провайдером

Денис Безкоровайный, CISA, CISSP, CCSK

Вице-президент RISSPA,

Сооснователь Cloud Security Alliance Russian Chapter

Cloud Conf

15 мая 2012

Москва

Безопасность наглядно

2

Поедем?

3

Важна ли SaaS-клиентам

безопасность?

Какой ущерб будет приченен компании если:

1. ее данные станут доступны всему

Интернету?

2. к ее данным получат доступ сотрудники

провайдера?

3. ее бизнес-процессы или данные будут

изменены третьей стороной?

4. данные или процесс будут недоступны?

4

У кого контроль?

Серверы

Виртуализация

и частные

облака

Публичные

облака

PaaS

Публичные

облака

IaaS

Потребитель

Сервис-провайдер

Публичные

облака

SaaS

Безопасность SaaS –

что должен делать провайдер

Защита физической инфраструктуры

(помещения, серверные стойки,

электроэнергия, охлаждение, серверы,

системы хранения)

Резервирование инфраструктуры и

обеспечение доступности, выполнение и

контроль SLA (сеть, системы хранения,

пропускная способность)

6

Безопасность SaaS –

что должен делать провайдер

Защита операционных систем и управление

обновлениями/уязвимостями

Настройка и поддержка систем безопасности

(межсетевые экраны, системы

предотвращения атак, антивирус, фильтрация

пакетов, шифрование и тд)

Мониторинг работы систем безопасности и

сбор журналов событий

Непрерывность сервиса и восстановление

Кадровая безопасность 7

Безопасность на уровне

приложения

Использует ли

провайдер:

отраслевые стандарты

для безопасного SDLC?

автоматизированные

средства анализа

исходного кода?

как насчет

аутсорсинговой

разработки? 8

Безопасность SaaS –

задачи клиента

Управление учетными записями и правами

доступа пользователей

Управление системой аутентификации и

политиками аутентификации

блокировка учетных записей

при ошибках входа

настройка двухфакторной

аутентификации и тд

9

Безопасность SaaS –

что часто клиенту недоступно

Настройка политики резервного копирования

Выгрузка резервных копий

Аудит систем обеспечения ИБ, анализ

защищенности

Настройка железа и ОС по своим стандартам

Анализ журналов регистрации и контроль

инцидентов

Применение собственных средств ИБ (кроме

редких исключений) 10

Безопасность SaaS –

общие задачи

Выполнение нормативных требований и

требований законодательства в части

обрабатываемых данных

11

Может ли провайдер убедить

клиентов что «все безопасно»

Подтверждение и

аудит эффективности

ИБ третьей стороной

Открытый диалог с

клиентами на тему ИБ

Как клиенту выбрать

«правильного» SaaS-провайдера

13

Признаки серьезного

SaaS-провайдера

Для него информационная безопасность –

один из ключевых аспектов сервиса

Он предоставляет клиентам сведения об

используемых системах и мерах защиты

Он подтверждает эффективность системы

управления ИБ сторонними аудитами

Он предоставляет рекомендации для клиентов

по информационной безопасности

14

Что еще нужно знать

заказчикам о провайдере?

Способы защиты данных (гарантированное удаление,

разграничения между разными клиентами и тд)

Внутренний анализ рисков, тренинги, проверки персонала

Физическая защита и зависимость от внешних поставщиков

(надежность и безопасность датацентра, нижележащих

провайдеров и тд)

Порядок взаимодействия с органами (в каких случаях может быть

выдача данных и остановка сервиса, выемка данных у одного

заказчика не должна влиять на данные других и тд)

В какой стране находятся данные клиента

Список далеко не полный

Оценка клиентом облачного

провайдера

Единая форма для ИБ-

вопросов на основе

лучших мировых

практик

Перевод документа от

Cloud Security Alliance:

«Опросник оценки

состояния безопасности

облачной среды»

www.risspa.ru/csa

Равнение на лидеров

17

Ситуация с безопасностью

облаков в России

Типичные фразы в описании

информационной безопасности у

провайдеров:

«Для защиты используется HTTPS»

«Мы делаем резервное

копирование»

«Дата-центр круглосуточно

охраняется»

Этого недостаточно!

Текущие приоритеты

SaaS-провайдеров

Эффективность

Удобство

использования

Быстрые

изменения

Стоимость

.....

Безопасность??? 19

Хороший SaaS провайдер

20

Эффективность

Безопасность

Удобство

использования

Быстрые

изменения

.....

Cloud Security Alliance

Russian Chapter

Локализация руководств и результатов

исследований CSA

Адаптирование лучших практик CSA к

российским условиям и законодательству

Разработка рекомендаций для российских

потребителей облачных услуг

www.risspa.ru/csa

22

Повышение уровня знаний специалистов ИБ Обмен опытом

Обсуждение актуальных проблем ИБ Формирование сообщества

профессионалов в области ИБ

Контакты и общение

Продвижение идей ИБ

Членство и участие в семинарах бесплатно

Регулярные очные и онлайн семинары

Что такое RISSPA?

Ассоциация профессионалов в области информационной безопасности

(Russian Information Security Systems Professional Association)Создана в июне 2006 года

23

Вопросы?

www.RISSPA.ru

bezkod@RISSPA.ru

Денис Безкоровайный