Rambler's Top100
Статьи ИКС № 09 2012
Дмитрий КОСТРОВ  18 сентября 2012

Движение на трех уровнях

Основой для облачной инфобезопасности должны стать документы трех уровней: международные стандарты, национальные нормативно-правовые акты, низкоуровневые рекомендации для компаний. В какой стадии их разработка?

Дмитрий КОСТРОВ, главный эксперт КЦ компании МТС, ассоциированный репортер ИК 17 МСЭ-ТДорога открыта

Все решения по безопасности облачных вычислений опираются в основном на международный опыт – специальной группы ИК 17 МСЭ-Т, американского института стандартов NIST, объединения Cloud Security Alliance. В этих организациях схожий подход к разработке стандартов и рекомендаций – открытость, привлечение широкого круга специалистов. NIST выложил драфт документов на сайт – и любой специалист может ознакомиться с проектом, внести свои предложения.

В Cloud Security Alliance эксперты со всего мира на добровольных началах работают над проектами рекомендаций по обеспечению безопасности при использовании облачных вычислений – и более того, по использованию облачных вычислений при обеспечении безопасности. Каждая отдельная классическая система защиты (управление устройствами, шифрование, IDPS, межсетевое экранирование, антивирус) разворачивается под облачную проблематику, и над каждой системой работают эксперты.

МСЭ активно работает с ISO с целью расширения более общих стандартов управления безопасностью серии 2700x и включения в них вопросов, касающихся безопасности в облаке, а также отраслевой специфики. В этом процессе участвуют все члены союза. К примеру, опираясь на ISO 2700х, Япония разработала специальный стандарт для телекоммуникационных компаний – на мой взгляд, очень адекватный документ.

Видимость нулевая

Нормативно-техническая база облачной безопасности создается с привлечением широких кругов профессиональной общественности, чего не скажешь о базе нормативно-правовой. Сейчас российские регуляторы в области информационной безопасности разрабатывают документ для облачных вычислений. Но проект его закрыт для обсуждения профессиональным сообществом. Если есть драфт – почему бы не разослать его министерствам, научным институтам, различным компаниям отрасли безопасности и тем, кто будет эти облака создавать (ИТ-компаниям, телеком-операторам), почему бы не собрать и не проанализировать предложения, чтобы принять работающий документ? Но этого нет. Зато есть опасение, что результат окажется «для галочки» – слишком общим, который нельзя будет применять в работе. К слову, у нас и так очень много документов, которые либо мешают работать, либо существуют «для галочки». Я не верю, что замкнутая группа даже хороших специалистов может подготовить документ, пригодный для работы всех участников рынка. Даже если дельные предложения от них не были бы приняты (как произошло с поправками в ФЗ-152), участники рынка хотя бы понимали, к чему им готовиться. Сейчас можно лишь предполагать, что документ разрабатывается под облако «Ростелекома».

ПДД пишем сами

Что касается провайдеров облачных услуг, то, поскольку они работают непосредственно с клиентами, им требуются низкоуровневые рекомендации по процедурам, которые необходимо внедрять в компании. МТС пока не предоставляет облачные услуги безопасности, однако наработки в рамках подхода МSSP ведутся и в этом направлении. К слову, например вышла рекомендация Банка России, по которому банковский сектор начал предъявлять новые требования к операторам связи, начиная с представления документов о внешнем и внутреннем аудите безопасности при заключении договора на предоставление доступа в сеть для ДБО. Мы продумали наши риски и готовы предложить банкам не только наши линии защиты, но даже услуги безопасности. Раньше банки воспринимали оператора исключительно как «трубу». Теперь мы должны защищать их от фишинга, от DDoS-атак, от взломов, вирусов и спама при ДБО. Это для нас совершенно новый тренд, новые риски. Совмещение этого тренда с облаками потребует проработать еще целый ряд сложных вопросов – от составления SLA с участием трех сторон «цепочки стоимости» до сложнореализуемых задач, связанных с выполнением требований ФЗ-152, нового закона о «черных списках», с защитой от DDoS-атак и др.

Если говорить о телеком-специфике безопасности для частного пользователя, то здесь можно выделить два направления. Во-первых, это BYOD, «продвинутость» сотрудников, их присутствие в социальных сетях (а это ведь всё облака). Это явление можно патронировать, но запретить нельзя (в отличие, скажем, от банковской сферы). Поэтому для защиты корпоративных данных в новые устройства сотрудников встраивается «песочница безопасности», в корпоративном магазине приложений размещены только проверенные программы. Сейчас рассматриваются и планируются к внедрению специализированные продукты, в рамках MDM, и это новая услуга внутри корпорации. В случае потери устройства корпоративные данные не будут утеряны, а само устройство можно без труда найти, даже если оно будет перепродано.

Второе направление – услуги безопасности для сторонних пользователей. Защиту данных на устройстве и контроль устройства как услугу внедрили компании Vodafon, Orange, T-Mobile, и она хорошо востребована предприятиями SMB, которые не имеют возможности, в отличие от Enterprise, обеспечить такое управление самостоятельно. 
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!