cloud services russia 2012, risspa
DESCRIPTION
TRANSCRIPT
Обзор основных тенденций информационной безопасности в облаках
Денис Безкоровайный, CISA, CISSP, CCSKВице-президент RISSPA,Организатор Cloud Security Alliance Russian Chapter
Что останавливает переход в облака?
Источник - The Future of IT Outsourcing and Cloud Computing, 2011, PwC (http://www.pwc.com/ITOcloudstudy)
Опрошены 476 организаций, 1- минимальный риск, 5 – очень серьезный риск
1. Стандартизация
Стандартизация. Кто координирует вопросы облачной безопасности?
Cloud Security Alliance – глобальная некоммерческая организация
Основные инициативы:
• Руководство по безопасности критических областей в сфере облачных вычислений
•Главные угрозы облачных вычислений
•Опросник оценки безопасности облачных провайдеров
•CloudAudit
•Cloud Controls Matrix (CCM)
2. Повышение прозрачности сервис-провайдеров
Вариант 1. Подтверждение третьей стороной
•Независимые аудиторские заключения по SSAE 16 (SAS 70) или ISAE 3402
•Сертификация по стандарту ISO/IEC 27001
Длительные и дорогостоящие процедуры
Повышение прозрачности. Как можно повысить доверие к провайдеру?
Повышение прозрачности. Как можно повысить доверие к провайдеру?
Вариант 2. Предоставление данных провайдером о своей системе защиты аудиторам и подразделениям ИБ компаний-заказчиков.
•Данные используются клиентами для анализа рисков
•Нужна общая терминология и форма
Повышение прозрачности. Что нужно знать заказчикам о провайдере?Используемые технологии (виртуализация, физическая инфраструктура, общая архитектура сервисов и тд)
Наличие или отсутствие процессов ИБ у провайдера (оценка рисков, управление инцидентами, разделение полномочий, непрерывность бизнеса и тд)
Способы защиты данных (гарантированное удаление, разграничения между разными клиентами и тд)
Используемые подсистемы ИБ (защита от вирусов и атак, сбор событий и анализ инцидентов, методы аутентификации, использование шифрования и тд)
Физическая защита и зависимость от внешних поставщиков (надежность и безопасность датацентра, нижележащих провайдеров и тд)
Порядок взаимодействия с органами (в каких случаях может быть выдача данных и остановка сервиса, выемка данных у одного заказчика не должна влиять на данные других и тд)
В какой стране находятся данные клиента
Список далеко не полный
3. Появляются системы защиты, готовые к использованию в облачной среде
Системы защиты для облаков
Шифрование данных перед отправкой к провайдеру
Шифрование данных клиента на стороне провайдера
Защита виртуальных машин клиента на стороне провайдера
Системы аутентификации для облачных сервисов
ЭТО ВСЕ «У НИХ», А ЧТО «У НАС»?
Ситуация с безопасностью облаков в России
Для примера проанализированы данные в открытом доступе о 15 крупных российских публичных облачных провайдерах (SaaS, IaaS)
•Упоминания (!) ИБ на сайте лишь у 7 компаний
•Только у одной компании на сайте есть хотя бы общее описание используемой провайдером системы защиты
•Только у одной компании есть рекомендации по ИБ для клиентов
•Ни у одной компаниии нет описания процессов взаимодействия с клиентами по вопросам ИБ
Ситуация с безопасностью облаков в России
Типичные фразы в описании информационной безопасности у провайдеров:
•«Для защиты используется HTTPS»
•«Мы делаем резервное копирование»
•«Дата-центр круглосуточно охраняется»
Этого недостаточно!
Стандартизация в России. Cloud Security Alliance Russian ChapterЛокализация руководств и результатов исследований CSA
Адаптирование лучших практик CSA к российским условиям и законодательству
Разработка рекомендаций для российских потребителей облачных услуг
Повышение прозрачности для российских провайдеров облачных услуг
Перевод документа от CSA Global:
«Опросник оценки состояния безопасности облачной среды»
www.risspa.ru/csa
Перенос данных в облако