IT NewsФакты и прогнозыАналитика рынка

ИБ в облаках (II часть)

Евгений Курышев | 10.05.2019

ИБ в облаках (II часть)

(Окончание. Начало в IT News №4/2019)

Распределение ответственности

В идеале заказчик заинтересован решить все свои проблемы, в том числе и в области ИБ, с минимальными усилиями, причем желательно, чтобы это сделал кто-то другой и за небольшие деньги. Но при работе с облачными сервисами найти крайнего подчас очень сложно, потому что ответственность за ИБ лежит на всех участниках цепочки. Чтобы избежать конфликтов в будущем, им необходимо заранее определиться, кто и за что отвечает. Вот как решают (или хотели бы решать) эти вопросы участники обзора.

Владимир Лебедев (M1Cloud) рассказывает, что наиболее распространенный вариант распределения ответственности – защита данных на том уровне предоставления сервиса, который потребляет заказчик. Например, если это сервис IaaS, то защита данных на уровне виртуальных машин, их взаимодействие, защита операционных систем и выше – лежит на заказчике. Если это уровень PaaS, то заказчик обеспечивает защиту только внутри своего сервиса, базирующегося на предоставляемой платформе и т. п. Однако на практике часто приходится определять уровень ответственности в зависимости от модели управления ИБ, принятой у заказчика, в частных случаях зоны ответственности определяются отдельно и прописываются в договоре, заключает г-н Лебедев.

Руслан Райкевич (ActiveCloud) подчеркивает, что клиент должен обеспечивать информационную безопасность внутри своей системы: следить за актуальностью учетных записей и уровней их доступа к данным, наличием установленных системных обновлений безопасности, рекомендуемых производителем системы. В то же время защита внешнего периметра системы от различных типов атак, обеспечение изоляции данных, своевременное реагирование на угрозы и атаки – задачи сервис-провайдера, считает он.

Василий Степаненко (DataLine) напоминает, что в отношении распределения ответственности за защиту данных клиента в облаке все индивидуально: от предоставления платформы (IaaS/PaaS), соответствующей требованиям 152-ФЗ/PCI DSS, до администрирования систем клиента, включая СЗИ и СКЗИ. Можно и поручение на обработку персональных данных подписать, добавляет он. Но так как определение «обработка» достаточно объемно описано в 152-ФЗ, нужно обязательно уточнять, о какой именно обработке идет речь: например, в контексте хранения (на оборудовании провайдера в РФ) и уничтожения данных (в случае прекращения оказания услуг), а также для всех других услуг, если они оказываются.

«С заказчика никто не снимает ответственность за обеспечение защиты данных. Однако весь функционал или его часть он может передать сервис-провайдеру», – рассказывает Мурад Мустафаев («Онланта»). Такой подход позволяет заказчику не терять время на погружение в информационную безопасность и снизить расходы на привлечение в свой штат дорогостоящих специалистов по ИБ, заключает г-н Мустафаев.

Геополитические риски

Мировая экономическая и политическая обстановка в настоящее время оставляет желать лучшего. На фоне этого происходят значительные изменения в области законодательства по защите персональных данных и правилах работы в Сети в разных странах мира. Не обошли стороной они и Россию. О том, как на рынок облачных технологий влияют уже принятые законы и как могут повлиять еще не принятые, мы спросили у наших экспертов.

Владимир ЛЕБЕДЕВ (M1Cloud):
Владимир ЛЕБЕДЕВ (M1Cloud):
«Усиление регулирования в области ИБ вынуждает многие компании обращать внимание на системный подход по обеспечению ИБ, что порождает дополнительные требования, в том числе к потребляемым облачным сервисам на стороне провайдера».

Среди основных изменений за последнее время Владимир Лебедев (M1Cloud) особо отмечает признание сервис-провайдеров, предоставляющих услуги по ИБ, в качестве одного из звеньев в цепи обеспечения комплексной защиты информационной системы заказчика. Кроме того, появились возможности для успешной реализации современных ИБ-практик одновременно с динамичным развитием IT-систем в целом.

Василий Степаненко (DataLine) считает, что рано или поздно российские регуляторы обратят внимание на ИБ из облака для российских клиентов и наверняка предпишут провайдерам таких сервисов оказывать услуги из облаков, находящихся на территории РФ. Сегодняшний тренд по локализации Интернета на фоне новостей о кибератаках иностранных разведслужб укрепит спрос на услуги российских сервис-провайдеров, добавляет он.

Алексей Майоров (Bell Integrator) напоминает, что федеральное законодательство уже предписывает хранить персональные данные россиян только на территории РФ, соответственно и их обработка также должна осуществляться в России. Безусловно, это накладывает ограничения на использование зарубежных облачных сервисов, заключает он.

Мурад МУСТАФАЕВ («Онланта»):
Мурад МУСТАФАЕВ («Онланта»):
«Обеспечить должный уровень защищенности хранящейся в облаках информации в соответствии с требованиями по трансграничной передаче, которые предъявляет регулятор, практически невозможно».

Мурад Мустафаев («Онланта») считает, что основная проблема сейчас – вопрос трансграничной передачи данных. Обеспечить выполнение требований регулятора (ФСБ, ФСТЭК) довольно сложно, а облака при этом пользуются все большим спросом.

У нас и за рубежом

Рынок облачных сервисов на Западе развит на порядок лучше, чем в России, и, естественно, существуют различия в том, что касается их работы. Чем именно отличаются подходы к обеспечению ИБ в облаках и может ли это помешать российским облачным компаниям, которые решат попробовать свои силы на зарубежных рынках?

Основным отличием регулирования за рубежом Владимир Лебедев (M1Cloud) считает достаточно рекомендательный характер в части построения систем защиты информации, но очень жесткую реакцию со стороны регуляторов на факт инцидента ИБ, действительно повлекшего негативные последствия. В России, наоборот, достаточно жесткий подход именно к соблюдению требований. Облачная компания, которая предоставляет услуги по ИБ на российском рынке, с одной стороны, должна принять достаточно серьезные меры по обеспечению ИБ и быть готовой отвечать на вопросы зарубежных заказчиков, с другой стороны, методы и средства защиты информации в России имеют свою специфику (с учетом требований по обязательной сертификации у российских регуляторов) и могут быть неприменимы в инфраструктуре зарубежных компаний.

Дмитрий Ключников («Инфосистемы Джет») также уверен, что основное отличие заключается в том, что зарубежное законодательство предусматривает значительно большую ответственность сервис-провайдеров, а это означает гораздо большие риски для компаний в случае нарушений. Кроме того, некоторые требования накладывают серьезные ограничения на выбор СЗИ: в документах четко прописаны модели защиты, для которых подойдут конкретные классы технических средств. Г-н Ключников считает, что предложить за пределами РФ что-то большее, нежели аренду вычислительных мощностей за небольшие деньги, российским компаниям будет затруднительно.

Дмитрий КЛЮЧНИКОВ («Инфосистемы Джет»):
Дмитрий КЛЮЧНИКОВ («Инфосистемы Джет»):
«При выходе на зарубежные рынки российские облачные компании, скорее всего, столкнутся с необходимостью дополнительных инвестиций в инфраструктуру и консалтинг. К тому же мастодонты глобального рынка ушли далеко вперед в уровне развития сервисов».

Обратная сторона медали такова, что на российском рынке разница в законодательстве играет уже в сторону отечественных поставщиков облачных сервисов, а отсутствие локальных ЦОДов серьезных зарубежных сервис-провайдеров на территории нашей страны еще больше укрепляет позиции компаний, способных предоставить защиту данных в соответствии с федеральными законами.

Василий СТЕПАНЕНКО (DataLine):
Василий СТЕПАНЕНКО (DataLine):
«В России нет сформулированных требований к обеспечению ИБ облачных сервисов, у каждого клиента они свои, так же как и у облачных провайдеров».

Василий Степаненко (DataLine) напоминает, что уже появились требования ФСТЭК к защите среды виртуализации, но пока не к облачным услугам. Поэтому в этой сфере все впереди. В то же время на Западе требования к управлению безопасностью поставщика облачных услуг уже сформулированы: например, в Cloud Security Alliance (CSA) есть матрица с требованиями и различные формы подтверждения соответствия. Требования CSA интегрированы с международными стандартами, в том числе наиболее известным ISO/IEC 27001, рассказывает г-н Степаненко. Китай тоже идет этим путем: свои требования они интегрировали с требованиями CSA – получился C-STAR, резюмирует он.

Мурад Мустафаев («Онланта») соглашается с коллегами, что отличия касаются лишь законодательства. Существуют международные стандарты по ИБ, которые могут применяться как лучшие практики в построении облачных услуг во всем мире: например, ISO 27001, GDPR (общий регламент по защите информации в ЕС) и другие, уточняет он.

Автономные облака

Одна из последних новостей, особенно взбудоражившая общественность, – законопроект об автономной работе российского сегмента сети Интернет. В том, что он будет принят, сомнений уже не осталось, однако на данный момент нет ясности, в каком именно виде. Изначально предполагалось, что закон разрабатывается с целью обеспечения устойчивой работы российского сегмента Сети в случае попыток извне нарушить ее. Так это или нет, покажет время. Но в любом из вариантов закон окажет существенное влияние на работу облачных сервисов в России.

Владимир Лебедев (M1Cloud) считает, что влияние будет похожим на реакцию по поводу регулирования в области защиты персональных данных, – то есть рынок услуг ИБ в облаке будет расти. Этот законопроект повлияет и на рост рынка облаков в целом. Также очевидно, что последствия законопроекта коснутся в первую очередь компаний, которые в настоящее время используют зарубежных провайдеров, резюмирует г-н Лебедев.

Руслан Райкевич (ActiveCloud) уточняет, что законопроект в его текущем виде не предусматривает отключения российского сегмента сети Интернет от остального мира, а направлен на обеспечение его автономной работоспособности в случае форс-мажорных обстоятельств, поэтому сразу после его принятия для рынка облачных услуг, фактически, ничего не изменится.

Руслан РАЙКЕВИЧ (ActiveCloud):
Руслан РАЙКЕВИЧ (ActiveCloud):
«Сервис-провайдеры, которые использовали услуги зарубежных центров обработки данных, получат недвусмысленный сигнал к переводу мощностей в Россию».

Большинство серьезных игроков и так предоставляют облачные услуги российским клиентам с использованием инфраструктуры, расположенной на территории РФ, поэтому ожидать серьезных изменений не стоит. А вот клиентам зарубежных сервис-провайдеров будет впору задуматься над обеспечением непрерывности их бизнеса и сохранности данных, считает г-н Райкевич.

Мурад Мустафаев («Онланта») подчеркивает, что мировой Интернет – это не только социальные сети и развлекательные порталы, но еще и инструмент по обмену опытом и развитию технологий. Ограничение загонит всех в определенные рамки, ведь сегодня используются зарубежные серверы, зарубежное сетевое оборудование, системы хранения данных и т. д. Вся эта техника требует обновления и регламентного технического обслуживания со стороны вендора, а в условиях ограничений многие из этих процедур станут невозможными, вследствие чего часть оборудования рискует превратиться в груду железа, считает г-н Мустафаев.

Ключевые слова: информационная безопасность, облака

Журнал: Журнал IT-News [№ 05/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

18.10.2019 — 19.10.2019
РИФ-Воронеж 2019

Воронеж

22.10.2019 — 23.10.2019
RAIF

Москва, Сколково

23.10.2019
BIS-2019

Москва, AZIMUT Отель Олимпик Москва