Сегодня многие компании переходят к использованию как частных, так и публичных облаков благодаря их неоспоримым преимуществам: масштабируемости, эластичности, оптимизации расходов и пр. В тоже время, при переходе к использованию облаков наиболее критичным является вопрос безопасности облака (облачной ИБ), обеспечивавшей защиту на всех уровнях: клиентском, приложения, платформы/инфраструктуры. Все еще существует миф о небезопасности хранения данных в облаках.
На самом деле, сегодня вполне реально обеспечить не только надежный уровень защиты облака, но и выполнить все требования регуляторов к защите персональных данных в облаке. Безусловно, есть ряд сложностей технического и организационного характера по обеспечению безопасности облака, но они решаемы при грамотном комплексном подходе.
Актуальные стандарты и рекомендации по безопасности облака:
- ISO/IEC 27017:2015
- ISO/IEC 27018:2014
- CSA Cloud Controls Matrix
- CSA Security Guidance for Critical Areas of Focus in Cloud Computing
- NIST SP 800-146. Cloud Computing Synopsis and Recommendations
- ENISA. Cloud Computing: Benefits, Risks and Recommendations for Information Security
- ISACA. IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud
- ГОСТ Р 56938-2016.
Помимо следования стандартам, при переносе в облака информационных систем, обрабатывающих персональные данные, необходимо обеспечить соответствие требованиям ФЗ-152, ПП-1119, 21 приказу ФСТЭК и иным документам в области защиты персональных данных.
Комплексный подход к защите облака
Рынок безопасности облаков в России относительно молодой: у организаций недостаточно наработанного опыта, не хватает отечественных стандартов. Наиболее частыми ошибками обеспечения безопасности облака являются:
- Продуктовый подход к облачной ИБ, когда поэтапно внедряются различные технические средства, а общую картину безопасности в облаке не видят. Так, зачастую заказчик делает большой упор на один из уровней защиты: клиентский уровень, приложения, платформы/инфраструктуры, а некоторые вопросы безопасности остаются без должного внимания, например, не решены вопросы с обеспечением безопасности при получении доступа с мобильных устройств к облаку
- Недостаточное внимание к внутренним организационно-распорядительным документам, непродуманность всех аспектов взаимодействия пользователей и администраторов с облаком
- Отсутствие шифрования информации в самом облаке, помимо шифрования канала связи.
Все это приводит к крайне низкому общему уровню защищенности данных в облаке. Всестороннюю безопасность облака можно обеспечить только в рамках комплексного проекта. АМТЕЛ-СЕРВИС применяет наработанную и проверенную методологию, ключевым этапом которой является детальное обследование с анализом угроз для каждого уровня защиты.
Результат реализации проекта по защите облака с АМТЕЛ-СЕРВИС:
- Обеспечение конфиденциальности обрабатываемых в облаках данных, разграничение доступа, защиты от вредоносного кода и различных типов атак, а также управления системой и событиями безопасности облака
- Система, позволяющая получать полную информацию о состоянии безопасности облака, отслеживать уязвимости и превентивно их устранять, оперативно получать информацию о всех видах инцидентов, реагирование на инциденты и возможность их расследования
- Полное соответствие стандартам и рекомендациям по защите облачных сред
- Выполнение требований регуляторов при обработке в облаке информации ограниченного доступа.
Подход к обеспечению безопасности облака включает следующие этапы работ:
Сбор, систематизация и анализ информации об ИТ-инфраструктуре и ИБ-системах, а также технологических и бизнес- процессах заказчика.
Оформление технического задания согласно ГОСТ 34.602-89, при необходимости – в соответствии с ведомственными стандартами или пожеланиями заказчика.
Проектная документация оформляется в соответствии с ГОСТ 34.601-90, ГОСТ 34.201-89, РД 50-34.698-90, программа и методика испытаний в соответствии с ГОСТ 34.603-92.
Поставка необходимых программных и технических средств, проведение монтажных и пусконаладочных работ, комплекс испытаний СОИБ.
Сбор, систематизация и анализ информации об ИТ-инфраструктуре и ИБ-системах, а также технологических и бизнес- процессах заказчика.
Оформление технического задания согласно ГОСТ 34.602-89, при необходимости – в соответствии с ведомственными стандартами или пожеланиями заказчика.
Проектная документация оформляется в соответствии с ГОСТ 34.601-90, ГОСТ 34.201-89, РД 50-34.698-90, программа и методика испытаний в соответствии с ГОСТ 34.603-92.
Поставка необходимых программных и технических средств, проведение монтажных и пусконаладочных работ, комплекс испытаний систем ИБ.
При создании систем обеспечения безопасности облачных сред специалисты АМТЕЛ-СЕРВИС применяют лучшие мировые и отечественные практики, используют передовые технологии и средства защиты информации. Качество наших услуг подтверждено многолетним опытом команды специалистов по ИБ.
