• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

В. Медведев (Доктор Веб): "Не хватает не стандарта, а методик и процедур работы, специалистов на местах и сертифицирующего органа"

Отсутствие стандарта информационной безопасности для облачных вычислений — одна из нерешенных проблем молодого рынка. На какие существующие нормы опираться – SAS 70? рекомендации сообщества Cloud Security Alliance? ISO 27001? ISO 27002? Читайте полную версию Дискуссионного клуба темы номера "ИКС" №9'2012 "Дорожная карта облачной безопасности". Часть 8.

"ИКС": Ваше мнение относительно необходимости разработки специального стандарта для облачных вычислений?

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems:  Таких стандартов и рекомендаций не так уж и мало. Одним из самых респектабельных является набор документов Cloud Security Alliance. В частности, их руководство по безопасности уже переживает третью редакцию. И это помимо результатов множества рабочих групп, созданных при CSA. А вообще рекомендаций по безопасности облаков сегодня немало и выбрать есть из чего. Это и руководства ISACA, и документы европейского агентства по ИБ ENISA, и рекомендации по ИБ немецкой федеральной службы по ИБ BSI, и готовящийся стандарт ISO, и стандарты NIST, и австралийские документы, и т.д.

Дмитрий Митрофанов, заместитель директора СЦ по производству компании "Ай-Теко": Попытки создания собственных стандартов уже есть, но пока они верхнеуровневые, это инициватива, которая пока не получила детальной проработки. Появление стандартов помогло бы развитию рынка, так как позволило бы определить пути развития, общие требования, сделать рынок более прозрачным и понятным для заказчиков, гармонизировать взаимоотношения провайдеров и клиентов. Разрабатывать стандарты должны крупные и авторитетные объединения компаний, центры компетенций, отраслевое лобби. Его задачи - консолидация рынка, разработка стандартов, учитывающих и российскую специфику, и лучшие мировые практики, и требования законодательства.

Развитие стандартов будет идти по двум направлениям: для технологий - предписывающие стандарты, например, самого верхнего уровня - обеспечивающие интеграцию для SOA; для провайдеров - оценочные стандарты деятельности организации.

Вячеслав Медведев, аналитик компании "Доктор Веб": Не хватает не стандарта по обеспечению безопасности — стандартов по обеспечению безопасности в распределенных структурах существует достаточно. Не хватает другого. Не хватает общедоступных методик и процедур работы — некого аналога процедур ITIL. Не хватает специалистов на местах — специалистов, имеющих высокую квалификацию, достаточную для обеспечения безопасности клиентов услуг. Качество подготовки специалистов в данный момент вызывает очень много вопросов. Не хватает, наконец, некого сертифицирующего органа — добровольной организации, сертификат которой гарантировал бы клиенту качество услуги.

Александр Бондаренко, технический директор компании LETA: Я бы рекомендовал обратить внимание на рекомендации Cloud Security Alliance, ENISA (Европейское Агенство по сетевой и информационной безопасности) и NIST как наиболее передовые в этой области. Безусловно, технологии облачных вычислений имеют свою специфику, которую необходимо учитывать, но сообществу еще только предстоит наработать практику прежде, чем она переродится в какой-либо общепринятый стандарт. Я бы не ожидал его появления в ближайшее время.  

Неманья Никитович, управляющий директор OptimaInfosecurity (Группа Optima): Россия на рынке услуг информационной безопасности –как шахматный игрок, играющий черными и имеющий вследствие этого соответствующие преимущества. Ни один из существующих стандартов не является совершенным, лучшие из них будут постоянно обновляться, так что в качестве отправных точек можно упомянуть все существующие стандарты.

 Александр Трошин, технический директор «Манго Телеком»: Заказчику «облачных» сервисов навязанные стандарты ИБ в «облаке» ни к чему. Если предоставляемые провайдером параметры ИБ ниже его требований, это, естественно, заказчику не подходит. Если выше – пусть даже и в десятки раз – это именно то, что нужно.

Избыточность вообще должна стать — и, я думаю, станет, для сервис–провайдера единственным стандартом по обеспечению ИБ. В жизнеспособном «облаке» должно находиться максимальное количество инструментов и сервисов, которые могут пригодиться клиенту.

Заказчику лучше думать в категориях не стандартов, а модели угроз. Только так можно понять, от чего защищаться и как распределить ресурсы. «Облако», конечно влияет на эту модель, но многое будет общим для этой и традиционной архитектур. 

Александр Санин, коммерческий директор компании Avanpost: В период становления всегда сложно. Мы наблюдаем поступательный процесс, в начале пути проблемы выявлялись, потом анализировались, и теперь уже начали появляться и решения. Все это работает как огромная база знаний. И если эту базу знаний не структурировать, никакого развития не будет. Стандартизация нужна, все уже готовы к разработке первых базовых документов. И они появляются… пока только на Западе, но такова уж наша российская специфика. Хотя уже сейчас слышны выступления представителей регуляторов, что работы по созданию нормативной базы по «облакам» ведутся. Остается лишь надеяться, что эти документы не заставят себя ждать несколько лет.

Александр Колыбельников, эксперт по информационной безопасности «Микротест»: Документ, регулирующий безопасность облака, нужен, но нужно понимать, что подобные документы разрабатываются после того, как была внедрена новая технология. К сожалению, мировая практика такова, что невозможно действовать на опережение, причина в специфике бизнеса. SAS 70 – стандарт, регулирующий аудит сервисных компаний. Да, безусловно, аудит облаков провайдеров, как сервис компаний, вещь нужная и важная, но, кроме аудита, необходим документ, в котором бы рассматривались вопросы оценки уровня безопасности, оценки выбора средств защиты информации, внедрения, оценки внедренных решений. Подобные стандарты сформулированы в ISO 27001, ISO 27002, но они подходят лишь для классических решений. Необходимо проводить экспертизу, в какой степени они применимы к облаку.

Денис Безкоровайный, технический консультант Trend Micro в России и СНГ: В мире лучшие практики от Cloud Security Alliance уже используются как отправная точка для клиентов и облачных провайдеров, задумывающихся об обеспечении ИБ. Региональные стандарты зачастую регламентируют лишь особые случаи использования облачных вычислений, например для нужд государственных органов (FedRAMP). Также Cloud Security Alliance ведет активную работу с ISO для расширения более общих ISO 2700x и включения в них вопросов, касающихся безопасности в облаке. Опираясь на стандарты серии ISO 27000, можно уже сейчас построить полноценную систему информационной безопасности и ее управления, как для провайдеров облачных услуг так и для их клиентов. Лучшие практики, такие как от Cloud Security Alliance, дополняют эти усилия специфичными для облаков вопросами, но во многом они пересекаются. Разработка единого стандарта ИБ для всех сфер применения облачных вычислений лично мне представляется нецелесообразной, ведь задачи и обрабатываемые данные в облаках могут существенно отличаться, клиенты и провайдеры сами должны выбирать необходимые требования по защите данных, исходя из критичности данных, требований по обеспечению их целостности и доступности. С другой стороны, на примере FedRAMP видно, что стандарт может быть эффективным методом воздействия на провайдеров, устанавливающим минимальные необходимые требования по ИБ, если это сулит провайдерам определенные прибыли, например, от возможности заключения крупных государственных контрактов.

Джабраил Матиев, руководитель группы информационной безопасности IBS Platformix: Рекомендаций и стандартов по обеспечению информационной безопасности облачных технологий очень много, и все они актуальны. Применимы и учитывают все современные тенденции и риски. Проблема здесь в другом – на локальных рынках отсутствуют требования по защите облачных технологий, при этом у многих компаний взят курс на инновации, а это естественно и облачные технологии, и виртуализация. Регулятор обещает разработать нормативные требования, но когда они появятся, и будут ли они отвечать современному уровню развития? Вот в чем вопрос. Тут хочется только пожелать, чтобы учитывались международные рекомендации экспертов, а требования разрабатывались совместно с участниками рынка.

Владимир Алеев, главный архитектор бизнес-решений: центры обработки данных, ОАО «СИТРОНИКС»: Международные стандарты информационной безопасности для облачных вычислений и модели SaaS сейчас разрабатываются. Первые версии ожидаются в 2013 году, а пока каждый SaaS-оператор может следовать тем рекомендациям, которые с его точки зрения наилучшим образом удовлетворят пожелания по безопасности большинства его клиентов. 

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК: На данный момент имеет смысл опираться на те стандарты, которые наиболее близки к задаче, решаемой с использованием облака. В любом случае, при построении системы защиты облака провайдеру имеет смысл ориентироваться на лучшие мировые практики по обеспечению информационной  безопасности. Появление специализированного стандарта было бы несомненным плюсом, поскольку позволило бы стандартизировать принципы и подходы по защите облаков, а также устранило бы терминологическую путаницу в понятиях, которая, к сожалению, всегда имеет место при появлении новых технологий.

Илья Трифаленков, начальник отдела информационной безопасности ОАО «Ростелеком»: Вообще-то облака изначально отличаются стремлением опираться на стандарты. И сегодня есть вполне солидный набор рекомендаций начиная с NIST и кончая рекомендациями Cloud Security Alliance. Применение этих стандартов, наряду с общими, такими как ISO 27001, вполне оправдано. Конечно, все эти стандарты будут еще эволюционировать, но начальная база уже существует.