Защита облаков
Какое-то время назад споры о том, стоит ли использовать облачные сервисы, были довольно актуальны. Аргументы противников и сторонников выглядели убедительно, но людьми и компаниями в значительной степени управляли страх перед неизведанным и банальная лень. Осваивать новое всегда тяжело, а в масштабах средних и крупных IT-инфраструктур к тому же чревато рисками и сложностями. Тем не менее облака прочно и надолго вошли в нашу жизнь и даже обычные пользователи понемногу начинают отличать частные облака от публичных и гибридных.
Сегодня никого не удивишь, что практически любые компании, вне зависимости от размеров, пользуются публичными и частными облачными сервисами. Однако вопросы облачной безопасности остаются в той же степени актуальными, как и пять лет назад. О том, что изменилось за последнее время в сегменте облачной ИБ, каким компаниям стоит использовать облачные сервисы и как именно, мы решили поговорить с ведущими экспертами в этой области.
На что необходимо обратить внимание для обеспечения полноценной защиты критически важных данных, которые хранятся в облаках?
Алексей ЛУКАЦКИЙ,
бизнес-консультант по информационной безопасности Cisco:
Полноценной защиты на чужой платформе обеспечить нельзя, так как есть ряд элементов (например, системы электроснабжения или каналы связи), которые сложно контролировать, не владея ими. Поэтому можно говорить только о повышении доверия к безопасности данных, хранимых в облаках, за счет ряда технических и организационных мер. Особое значение имеет юридическая проработка данных вопросов, заключающаяся в прописывании в договоре множества тем, выходящих за рамки технической защиты данных. Например, что делать, если к облачному провайдеру обратились правоохранительные службы в рамках оперативно-розыскной деятельности? Или как будет решаться вопрос с возвратом данных в случае разрыва или прекращения договора? Или как облачный провайдер выполняет требования по локализации ПДн россиян? А с технико-организационной точки зрения важно понимать, как можно проконтролировать исполнение договора и принятие облачным провайдером защитных мер.
Рустэм ХАЙРЕТДИНОВ,
заместитель генерального директора InfoWatch:
Облачное хранение части корпоративных данных – уже стандарт де-факто, поэтому многие корпоративные системы, в том числе безопасности, обзаводятся средствами контроля облачного доступа. Прозрачное для пользователя шифрование данных в клиентах облачных систем при передаче данных стало уже привычным. На безопасность хранения в облаках стали работать, например, интегрированные с облачным шлюзом или агентом системы управления доступом, а также системы противодействия утечкам (реализация политики разрешения хранения в облаках данных определенного уровня конфиденциальности и запрет отправления в облако документов более высоких уровней). Поэтому парадигма «просто шифровать всё, что отдается в облако» трансформировалась в «перенос на облачное хранение адаптированных политик ИБ корпорации». Таким образом, для корпоративных облачных сервисов важно интересоваться не только тем, насколько надежно зашифрованы данные, но и тем, как реализуются политики доступа для пользователей и сегментирование этих политик по разным уровням конфиденциальности хранимых данных.
Алексей ЗАЛЕЦКИЙ,
начальник отдела ИБ компании «Амтел-Сервис»:
Необходимо уделять внимание как техническим мерам защиты, так и организационно-распорядительным документам. Например, недостаточно просто защитить удаленный доступ пользователей или администраторов к облаку – необходимо прописать регламенты и политики такого доступа. При этом крайне важно реализовать инструменты, позволяющие видеть и реагировать на различные инциденты, а также выявлять слабые места как самого облака, так и системы его безопасности, например с помощью средств анализа защищенности и управления событиями ИБ.
Дмитрий ОГОРОДНИКОВ,
директор центра компетенций по ИБ компании «Техносерв»:
При размещении в облаке своих ИС или данных по модели IaaS или SaaS/PaaS соответственно, как правило, переносятся только те механизмы безопасности, которые реализованы непосредственно в размещаемых ИС, а средства защиты информации, принадлежащие заказчику, остаются у него на площадке. В связи с этим у поставщика облачных услуг нужно запросить проектную документацию подсистемы ИБ, которая должна учитывать вопросы безопасности не только периметра облака, но и, что более важно, внутренней безопасности: сегментацию сети, защиту виртуальной среды, разграничение доступа, мониторинг и аудит событий ИБ, контроль администраторов.
Другим важным аспектом безопасности облака является появление в модели нарушителя принципиально новых субъектов доступа к вашим информационным ресурсам. К первым относятся штатные администраторы инфраструктуры провайдера облачных услуг, которые обладают наивысшими привилегиями и правами доступа, в том числе и к вашим данным. Ко вторым – пользователи и администраторы ИС, которые размещены на той же физической серверной ферме в соседних виртуальных машинах. Если о первой категории иногда вспоминают, то о второй забывают достаточно часто. Но ситуация, при которой пользователь соседней с вами системы может оказаться случайным или преднамеренным нарушителем, вполне жизненна. Поэтому эти категории субъектов доступа нужно обязательно учитывать и в модели угроз нарушителя, которую также необходимо запросить у поставщика облачных услуг.
Олег БАКШИНСКИЙ,
руководитель направления Security Intelligence, «IBM Россия и СНГ»:
Защита данных в облаке не сильно отличается от обычных требований по защите данных, находящихся в инфраструктуре заказчика, однако относиться к ней следует еще более пристально, так как при работе с облачными сервисами возникает намного больше неизвестности в отношении того, как обеспечивается безопасность инфраструктуры, платформ и ПО, используемого самим провайдером услуг. Стандартные понятия безопасности приложений, БД, инфраструктурного периметра должны быть описаны в сервисном контракте с провайдером. Признаком профессионального отношения к вопросам безопасности со стороны провайдера может служить аттестация или сертификация по локальным и общемировым стандартам (например ISO 27K).
Не следует забывать, что полную ответственность за безопасность критически важных данных в любом случае несет сам собственник, и переложить все работы в области ИБ на внешних сервис-провайдеров все равно не получится. Так называемый гибридный подход к использованию облачных технологий, пожалуй, единственный правильный способ получения экономической выгоды наравне с безопасностью от внедрения. Поэтому минимально необходимые меры по реализации обмена информацией между конечными пользователями организации и облачным провайдером должны быть реализованы ответственными сотрудниками заказчика. Вопросы предоставления доступа пользователям и администраторам, построения VPN, шифрования данных при передаче, использовании и хранении должны оставаться под контролем организации.
Юрий СЕРГЕЕВ,
заместитель начальника отдела проектирования защищенных систем, компания «Инфосистемы Джет»:
Передав данные третьей стороне, не удается передать риски несанкционированного доступа к ним, ведь в случае компрометации потери несет именно доверившаяся сторона. Поэтому важно обратить внимание на договор об оказании услуг с облачным провайдером. Указана ли там его ответственность, прописана ли обязанность обеспечивать защиту переданных данных или соответствовать определенным стандартам (например, PCI DSS) или нормативным актам (например, по защите персональных данных). Стоит обратить внимание и на возможность шифрования данных с хранением ключей шифрования в пределах собственной контролируемой зоны. Например, известный провайдер Amazon предоставляет услугу AWS Key Management Service, которая в том числе позволяет осуществлять на стороне заказчика как услуги key management, так и key storage (например, использовать свой HSM). Проще всего обеспечить защиту IaaS-решений, так как на рынке есть много специализированных продуктов по шифрованию данных, а для защиты PaaS/SaaS чаще всего требуется разработка либо интеграция решений, связанных с изменением приложения. К счастью, основной рынок в РФ – это рынок IaaS.
Какие данные и каким компаниям можно хранить и обрабатывать с помощью облачных сервисов?
Алексей ЛУКАЦКИЙ (Cisco):
Я не вижу препятствий для обращения к облачным провайдерам со стороны любых организаций – коммерческих или государственных. Вопрос в целесообразности и экономике такого решения. С точки же зрения того, какие данные можно, а какие нельзя хранить в облаках, каждая компания должна решать самостоятельно. Например, Cisco, взаимодействуя более чем с 500 облачными провайдерами, имеет специальную политику классификации данных, которая определяет, с какого уровня конфиденциальности данные не могут покидать пределов нашей сети и наших ЦОДов. И, конечно же, нельзя забывать про требования законодательства, которые запрещают хранение персональных данных россиян за пределами РФ, а также нормы закона о гостайне.
Евгений БОРОДУЛИН,
главный архитектор компании «Информзащита»:
В первую очередь необходимо обратить внимание на обеспечение безопасности информации, размещаемой в облачной инфраструктуре сервис-провайдеров. При выполнении необходимого с точки зрения законодательства и с точки зрения реальной безопасности комплекса технических мер в облачной инфраструктуре можно размещать государственные ИС, персональные данные, иную информацию ограниченного доступа, не содержащую сведений, относящихся к государственной тайне. В принятии решения о размещении информации ограниченного доступа в облачной инфраструктуре могут помочь аттестаты соответствия облачных инфраструктур требованиям законодательства РФ в области защиты конфиденциальной информации. Однако стоит учесть, что облачная инфраструктура не способна выполнить все требования к защите конфиденциальной информации в автоматизированных системах, так как, наряду с ИС, в предоставляемый контур облачной инфраструктуры потребуется перенести средства защиты информации для конечных устройств – виртуальных серверов, виртуальных рабочих мест и пр.
Рустэм ХАЙРЕТДИНОВ (InfoWatch):
Если требования к данным определяются извне – каким-то регулятором (персональные данные, данные пластиковых карт, информация, составляющая банковскую, медицинскую, адвокатскую и другие виды тайн), то делать это надо в соответствии с такими требованиями. Как хранить свои собственные данные, компания решает сама. Очень важно считать полную экономику любого облачного сервиса, а не только абонентскую плату, перевод капитальных расходов в операционные и т. п. Нужно внимательно читать SLA, оценивать риски полной потери данных, привязки к конкретному провайдеру (он может внезапно повысить цены или обанкротиться).
Алексей ЗАЛЕЦКИЙ («Амтел-Сервис»):
Сегодня в облаке можно хранить любые данные, за исключением гостайны, так как требования по ее защите нереализуемы в облаке, хотя это скорее вопрос стандартов, не успевающих за техническим прогрессом. Однако согласно результатам опроса, проведенного «Амтел-Сервисом», перенести абсолютно любые приложения в облако (частное или публичное) готовы только 10% российских компаний. Такую осторожность мы связываем прежде всего с психологическим фактором, необходимостью проверки временем, поскольку вопрос защиты сегодня полностью решаем как технически, так и организационно. В зависимости от категорий информации и ее критичности будут отличаться требования и подходы к защите.
Дмитрий ОГОРОДНИКОВ («Техносерв»):
Если мы не говорим об информации, отнесенной к государственной тайне, то нет никаких ограничений по размещению в облаках любых ИС, включая государственные ИС и информационные системы персональных данных. Единственное законодательное ограничение содержится в ФЗ № 242 (вносит изменения в ФЗ № 149) и касается физического размещения средств обработки и хранения персональных данных на территории РФ.
Однако, как это часто бывает, дьявол кроется в деталях. Например, вопросы обеспечения ИБ банковских систем легко решаются на площадке заказчика выполнением требований положения № 382-П и комплекса стандартов СТО БР ИББС, которые предъявляют требования ко всему жизненному циклу и стадиям обработки банковской тайны. Но если речь о размещении в облаке, то из положения № 397 и нового – № 552, а также статьи 26 ФЗ № 395-I о банковской тайне следуют некоторые нюансы реализации тех или иных технических и организационных процедур по созданию, например, резервных копий, их хранению, по размещению данных на физических ресурсах, предоставлению физического доступа к средствам обработки, предоставлению прав администраторам и пр.
Понимая это, реализовать весь комплекс мер и соблюсти законодательные требования в облаке становится более сложно. Выходом для банков в этих условиях является решение не только организационно-технических, но и правовых вопросов при переносе своей инфраструктуры на площадку провайдера. Для государственных ИС и систем персональных данных основными вопросами являются использование сертифицированных средств защиты информации и необходимость аттестации ИС, при этом провайдер не может внести изменения в объекты инфраструктуры своего облака без переаттестации размещенных систем заказчиков. Отельная тема – объединение систем персональных данных на физически одной СХД с «различными целями обработки». Все эти вопросы, безусловно, решаются, главное – про них не забыть.
Олег БАКШИНСКИЙ (IBM):
В вопросе выбора облачных сервисов нельзя определить четкие правила без понимания специфики бизнеса компании и типа используемых данных. Классификация самих данных и ИС, работающих с ними, накладывает определенные ограничения в рамках законодательства и регулятивных правил. Кроме того, мы не должны забывать про разнообразие самих облачных сервисов (IaaS, PaaS, SaaS и пр.) и специфику их работы с заказчиками (аттестация и сертификация в рамках стандартов). Определенная комбинация вышеизложенных параметров может привести как к ответу «всё можно», так и к ответу «ничего нельзя».
Юрий СЕРГЕЕВ («Инфосистемы Джет»):
В зависимости от оценки рисков любым компаниям допустимо хранить любые данные в облаках. Естественно, это очень ответственное решение. Экспертная группа в организации может занять позицию «как бы чего не вышло» и прийти к выводу, что риск передачи данных в облако неприемлем. При этом часто такие решения имеют обоснованные причины, ведь стоимость некоторых российских организаций, оказывающих такие услуги, может быть существенно ниже потенциальных потерь крупной компании, а серьезным иностранным игрокам сложно, например, обеспечивать соответствие российскому законодательству. В целом тенденция такова, что чем меньше организация, тем легче она принимает для себя решение об использовании облачных сервисов, так как выгода от этого превышает потенциальные проблемы.
Что нового в области ИБ предложили сервис-провайдеры и облачные компании за последние несколько лет?
Алексей ЛУКАЦКИЙ (Cisco):
Сложно говорить о чем-то новом – практически все механизмы защиты облаков известны уже не первый год. Единственное, на что я мог бы обратить внимание, это активное применение технологий мониторинга аномалий на чужих площадках (в облаках), активное внедрение в организациях систем класса CASB (Cloud Access Security Broker) и переход к федеративным системам идентификации и аутентификации, позволяющим использовать при доступе к чужим облакам единую базу пользователей, применяемую внутри организации.
Евгений БОРОДУЛИН («Информзащита»):
Отдельным стимулом для развития защищенных облачных инфраструктур стал ФЗ № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», вступивший в силу 01.09.2015 года и определяющий размещение персональных данных клиентов зарубежных компаний, осуществляющих предпринимательскую деятельность в РФ. Одни сервис-провайдеры создают выделенные инфраструктуры, внедряют сертифицированные средства, обеспечивающие соответствие инфраструктуры требованиям законодательства РФ в области защиты конфиденциальной информации, проводят аттестацию на соответствие этим требованиям и предлагают защищенную в соответствии с требованиями законодательства виртуальную инфраструктуру, а другие внедряют средства защиты информации, но предлагают их заказчикам как сервис.
Рустэм ХАЙРЕТДИНОВ (InfoWatch):
Появились облачные коннекторы для многих корпоративных платформ – сегодня большинство корпоративных систем имеют возможность использования облачной компоненты для хранения и/или обработки данных. Безопасность также активно использует облачные сервисы для мощных вычислений и накопления данных: антивирусы, IPS, WAF, antiDDoS уже просто немыслимы без весомой, а то и основной облачной части. Соответственно и защита данных при хранении и обработке в облаках сделала видимый скачок, предлагая разнообразные компоненты защиты от различных видов атак как снаружи, так и изнутри.
Алексей ЗАЛЕЦКИЙ («Амтел-Сервис»):
В первую очередь это сервисы по защите от DDoS-атак, Web Application Firewall и антивирусная защита. Кроме того, некоторые облачные провайдеры сегодня обеспечивают выполнение требований ФЗ-152 при использовании их облачных сервисов. Но нужно понимать: поскольку зачастую компании переводят в облако только часть своих сервисов, вопрос безопасности должен решаться в комплексе – как для облачных, так и для локальных систем организации.
Дмитрий ОГОРОДНИКОВ («Техносерв»):
Сейчас можно выделить два основных типа облачных услуг безопасности. В первом случае заказчик предоставляет облачному провайдеру свои данные или трафик для анализа и выявления вредоносного ПО, признаков зловредных действий, наличия закладок или уязвимостей в ПО и др. При этом поставщики таких услуг стараются специализироваться на их ограниченном наборе, не распыляясь по всем возможным вариантам, тем самым гарантируя максимальное качество и полноту выбранной ими услуги. Другой тип облачных услуг по безопасности – это мониторинг, анализ, расследование инцидентов и предоставление отчетов о состоянии ИБ вашей системы в круглосуточном режиме. К таким услугам можно отнести мониторинг отдельных объектов, например сетевого оборудования периметра сети, сервера в DMZ-зоне, внутренних сегментов и событий ИБ на серверах и рабочих станциях, точек подключения к технологическим сетям и др. Для оказания подобного рода услуг, как правило, создаются Security Operation Center (SOC) или Cyber Security Emergency and Response Team (CSERT). Это отдельный тренд: такие центры создаются не только у поставщиков услуг, но и на уровне отдельных организаций и ведомств.
Олег БАКШИНСКИЙ (IBM):
За последние два-три года на рынке появились комплексные решения по автоматизации процессов безопасной работы корпоративных пользователей с общедоступными облачными сервисами. Данный класс продуктов представляет собой централизованный шлюз обработки внутренних запросов к любым внешним (публичным) облакам с целью мониторинга, контроля и применения политик ИБ к такого рода коммуникациям.
На какие аспекты шифрования стоит обратить внимание при работе с облаками?
Евгений БОРОДУЛИН («Информзащита»):
Безопасность информации, передаваемой по открытым каналам связи, необходимо обеспечивать с помощью сертифицированных ФСБ средств криптографической защиты. Так как использование облачных сервисов подразумевает подключение к ним по сетям связи общего пользования, необходимо удостовериться, какими средствами криптозащиты располагает сервис-провайдер, в каком порядке обеспечивается передача клиентских компонентов СКЗИ заказчику, какую производительность шифрования трафика имеют серверные компоненты, развернутые в облачной инфраструктуре, допустимое количество конкурентных подключений. Помимо криптографической защиты канала связи, шифрование может быть использовано непосредственно в размещаемых ИС для сокрытия данных от сервис-провайдера, в этом случае необходимо исключить хранение ключей шифрования в облачной инфраструктуре.
Алексей ЗАЛЕЦКИЙ («Амтел-Сервис»):
Неоспорима сама необходимость использования шифрования, так как взаимодействие с облаком как пользователей, так и администраторов производится через недоверенную среду – Интернет. И это касается использования не только SSL/TLS при взаимодействии с облаком, но и средств криптографической защиты информации в соответствии с требованиями ФСБ России в тех случаях, когда в облаке обрабатывается информация ограниченного доступа той или иной категории. Не менее важно обеспечить шифрование информации в самом облаке. К сожалению, исходя из нашего опыта, к данной мере защиты прибегает лишь небольшой процент компаний, воспринимая ее как дополнительную, но не обязательную.
Дмитрий ОГОРОДНИКОВ («Техносерв»):
В первую очередь необходимо обеспечить защиту передаваемых данных в канале связи между площадкой заказчика и провайдером облачных услуг. При этом необязательно использовать собственные средства криптографической защиты – можно обратиться к телеком-провайдеру, который может предоставить канал связи с включенной защитой. Однако в этом случае необходимо обратить внимание на используемые СКЗИ и наличие аттестата по требованиям безопасности. В случае использования средств шифрования в ИС, размещенных в облаке, важным моментом является использование ключей шифрования и их хранения. Нужно ограничить доступ к этим ключам со стороны администраторов провайдера, для чего могут использоваться специализированные устройства HSM, которые должны находиться в зоне ответственности заказчика.
Олег БАКШИНСКИЙ (IBM):
Стандартный подход к защите данных через шифрование привносит несколько практических трудностей для повседневной работы. Например, для быстрого поиска по большому объему данных нам потребуется их расшифровать. Для увеличения производительности и скорости при обработке данных возникнет необходимость хранить значительные объемы данных, кешируя их в памяти или даже храня ключи шифрования в открытом текстовом виде. При организации VPN силами провайдера не лишним будет определить заранее, какие технологии и каких производителей будут использоваться, насколько они отвечают вашим задачам, современным тенденциям, требованиям регуляторов. Стоит ли игра свеч – решать заказчику, но в любом случае оценка рисков должна быть произведена заранее.
Юрий СЕРГЕЕВ («Инфосистемы Джет»):
На российском рынке важно обратить внимание на возможность использования российских криптоалгоритмов при взаимодействии с облачными ресурсами, а также на наличие актуальных сертификатов ФСБ России на данные средства криптографической защиты у поставщика облачных услуг и лицензии на осуществление деятельности в этой области. С технической точки зрения важно уточнить данные о процессах управления и хранения ключевой информации на стороне провайдера и возможности выноса этих процессов на сторону клиента.
Как обстоят дела на рынке облачных услуг для госорганов, где предъявляются повышенные требования к безопасности данных?
Алексей ЛУКАЦКИЙ (Cisco):
Сегодня в России это пока неразвитый рынок. Связано это с тем, что законодательно ни госорганы, ни регуляторы, ни провайдеры услуг не готовы к активному переходу на такую модель. Но ситуация уже сдвинулась с мертвой точки: та же ФСТЭК в своих новых требованиях к защите ГИС уже учитывает использование облачных вычислений и предъявляет к ним определенные требования по безопасности.
Евгений БОРОДУЛИН («Информзащита»):
У госорганов не наблюдается энтузиазма в вопросе использования облачных инфраструктур для размещения ГИС и другой информации ограниченного доступа. Связано это с несколькими факторами:
• требования для защиты ГИС накладывают значительные ограничения на возможности облачных инфраструктур, скорость и удобство взаимодействия с данными, размещенными в облачной инфраструктуре;
• уровень доверия к облачным инфраструктурам за последние годы заметно подрос, однако по-прежнему недостаточен для консервативно настроенных госорганов;
• в 2015 году была принята концепция перевода информационных ресурсов госорганов власти в единую систему ЦОД к 2021 году, оператором которой выступит ООО «Национальные дата-центры».
Таким образом, время размещения конфиденциальных данных госорганов в облаках еще не наступило.
Алексей ЗАЛЕЦКИЙ («Амтел-Сервис»):
Госорганы используют частные облака, и требования к защите информации ГИС предъявляются более высокие, чем, например, к системам, обрабатывающим персональные данные. Методы и способы защиты определяются «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных ИС», утвержденными приказом ФСТЭК России от 11.02.2013 г. При этом требуется обязательная аттестация ГИС.
Кроме того, в скором времени ИС российских органов власти, а также компаний с госучастием постепенно перейдут к использованию единой инфраструктуры, так называемого гособлака. При этом управление данной инфраструктурой будет поручено единому оператору, в ведении которого и будут находиться вопросы защиты информации в гособлаке, в том числе выполнение планируемой к выпуску новой редакции требований 17-го приказа ФСТЭК России.
Дмитрий ОГОРОДНИКОВ («Техносерв»):
Законодательных ограничений по размещению государственных ИС в облаках не существует. И в течение 2015-2016 гг. многие государственные ведомства начали рассматривать вопрос о «переезде» в облака. Государство, в свою очередь, отреагировало планами создания специализированных государственных облачных инфраструктур на площадках «Ростелекома», ФНС и МВД, и работы по созданию этих облаков уже ведутся. Но ГИС могут также размещаться и на площадках коммерческих провайдеров облачных услуг при выполнении требований приказа ФСТЭК № 17 для соответствующих классов защищенности, использовании сертифицированных средств защиты и последующей аттестации систем. Поскольку речь идет о переносе только ИС, коммерческий провайдер сам вправе решать, какую платформу виртуализации использовать, главное – чтобы она удовлетворяла нормативным требованиям. Лучшим решением в этих условиях является использование специализированных ОС с уже сертифицированными механизмами защиты информации в виртуальной среде и защиты от несанкционированного доступа. Таких, например, как ASTRA Linux и ALT Linux.
Олег БАКШИНСКИЙ (IBM):
Рынок облачных услуг стоит разделить на известный-понятный-открытый и неявный, но используемый. Многие сотрудники госорганов в своей повседневной жизни и зачастую в работе используют неявные облачные услуги, не зная об этом. В этой области необходим пристальный контроль со стороны сотрудников отделов ИБ соответствующих организаций. В сфере известных в мире облачных услуг госорганами вполне резонно используются доверительные облачные провайдеры. Они должны обеспечивать и соответствующий уровень безопасности в зависимости от типа ИС и данных, с которыми им приходится работать.
Что касается коммерческого, открытого рынка облачных услуг, крайне маловероятно ожидать на нем каких-либо существенных контрактов со стороны госорганов без выделенных строго регламентированных ресурсов со стороны провайдеров. Даже в сфере таких инновационных облачных услуг, как аналитика и искусственный интеллект, понимая всю выгоду их применения в медицине, экономике и безопасности, трудно себе представить, что госорганы станут использовать эти облачные сервисы напрямую.
Какие нерешенные проблемы на стыке облачных технологий, защиты данных и законодательства можно считать сегодняшней повесткой дня?
Алексей ЛУКАЦКИЙ (Cisco):
Нерешенная проблема, на мой взгляд, одна – изоляционистские требования российского законодательства, запрещающие использовать зарубежные облака для хранения персональных данных россиян, а также использовать госорганам зарубежные облачные площадки, даже если ими владеют российские юридические лица. В условиях глобализации и необходимости резервирования и масштабирования облачных площадок такая локализация только мешает.
Евгений БОРОДУЛИН («Информзащита»):
Облачные технологии, независимо от использования средств защиты, до сих пор ассоциируются с IT-сферой, развитие которой традиционно опережает ИБ. В свою очередь технические решения, обеспечивающие безопасность информации, также идут впереди сертифицированных средств защиты. Таким образом, возникает разрыв между развивающимися облачными технологиями и средствами обеспечения ИБ, применимыми для облачных инфраструктур во исполнение требований законодательства, не приемлющего компромиссы. Технологически с помощью имеющихся возможностей можно обеспечить комплексную безопасность облачной инфраструктуры, соответствующую нормам законодательства, однако большое количество требуемых для этого средств, во-первых, повлечет удорожание сервиса предоставления защищенной облачной инфраструктуры и, во-вторых, усложнит взаимодействие с данными, расположенными в облаке, по сравнению с классическим размещением в собственной инфраструктуре. Для сервис-провайдеров защита облачной инфраструктуры влечет ограничение производительности и, соответственно, качества предоставления сервиса, а также количества обслуживаемых клиентов. Рынку не хватает комплексных сертифицированных платформ виртуализации и комплексных средств защиты среды виртуализации, в том числе виртуальной сети передачи данных.
Алексей ЗАЛЕЦКИЙ («Амтел-Сервис»):
Ключевая проблема – отсутствие национальных стандартов в области безопасности облаков. Летом 2016 года появился ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». Кроме того, есть несколько отраслевых стандартов (например, Банка России), также касающихся вопросов защиты информации при использовании средств виртуализации. Очевидно, что данные меры не закрывают большинства вопросов защиты информации в облаках. Например, указанный стандарт не содержит информации о методах защиты в зависимости от типа используемых облачных сервисов (IaaS, PaaS или SaaS) и ряда других аспектов, в том числе защиты клиентского уровня. Думаю, все это найдет отражение в стандартах, которые мы ожидаем в ближайшие годы.
Дмитрий ОГОРОДНИКОВ («Техносерв»):
К сожалению, наши нормативные требования по защите информации в настоящий момент не учитывают возможность размещения ИС в частных облаках. Отсутствие запрета на размещение ИС в облаках следует из отсутствия какой-либо нормативной базы по этому вопросу. А требования по защите информации в действующих нормативных документах никак не предполагают совместного использования различными ИС одной физической серверной фермы и среды виртуализации. Однако 01.07.2016 года был принят ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации», положения которого, скорее всего, будут учитываться нашими органами, регулирующими вопросы обеспечения безопасности, в том числе в облаках. Кроме того, в настоящий момент ФСТЭК готовит документ по регулированию деятельности провайдеров облачных услуг по защите информации.
Олег БАКШИНСКИЙ (IBM):
Законодательство в силу своей инертности не может идти в ногу с быстро развивающимися технологиями. Отсутствие регулирования несет с собой в одних случаях недозволенное небезопасное использование технологий, а в других – полный отказ от них. В нашей стране до сих пор нет четкого определения облачных услуг и ответственности сторон в процессе их оказания. Однако большинство других стран развивают свои внутренние законодательные акты, следуя общемировым практикам и стандартам. С другой стороны, коммерческий рынок, ориентированный на извлечение прибыли, тоже должен нести ответственность перед заказчиками облачных технологий и инвестировать в их безопасность. А чтобы заставить провайдеров делать это, государство должно выступать не только регулятором, но и примером.
Опубликовано 13.02.2017