Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

понедельник, 6 сентября 2010 г.

Облака, белогривые лошадки...

ISACA провела web-based семинар, посвященный информационной безопасности и безопасности персональных данных при использовании облачных вычислений.
Материалы в основном базировались на ноябрьской  публикации ENISA (Eropean Network and Information Security Agency), посвященной вопросам безопасности при использовании облачных вычислений.
В документе приводятся выгоды (для безопасности) от использования облачных вычислений, основные риски (для нее же) и рекомендации что с эти всем делать.
Основные риски, приведенные в публикации:
  • Утрата конроля. При использовании облачных вычислений, клиенты неизбежно передают контроль за средой провайдеру услуги. Разумеется это - большой риск для безопасности, ибо провайдер может и не организовать у себя все необходимые меры защиты.
  • Закрытость систем.   На текущий момент мигрировать с одного провайдера на  другого или перевести данные назад в собственную систему - задача не тривиальная, часто не реализуемая. Причем  тут безопасность? - Вопросы доступности информации.
  • Нарушение изоляции (isolation failure). Мда, на русском не звучит. В общем, это класс рисков связанных с нарушением механизма изоляции хранения, памяти, маршрутизации и даже репутации между различными владельцами (так называемая guest-hoping атака). Если на пальцах, то зловредные действия у одного владельца в облаке наносят ущерб репутации другому. В результате риски утечки информации, ущерба репутации или нарушения сервиса для сервис-провайдера и его клиентов.
  • Комплайенс-риски. Опять по-русски нормально не переводится, но все уже к слову комплайенс привыкли.  В общем, кто не привык - это риски не соответствия каким-либо требованиям.  Например, проинвестировала компания в получение сертификата по информационной безопасности, например ISO 27001... мда, редкое явление PCI DSS. А потом с какого-то перепугу перенесла часть данных в облако. 
  •  Компрометация административного интерфейса. Интерфейс, с помощью которого  "облачный провайдер" управляет своими ресурсами, доступен через интернет. И получить через него доступ можно к огромному количеству данных от самых разных компаний. А постоянно появляющиеся уязвимости браузеров только усугубляют риск.
  • Защита данных. Вот уж неожиданный риск. Честно говоря, не представляю, что авторов сподвигло выделить этот риск как отдельный класс, но к нему можно свести все остальные. Ибо проблема защиты возникает как при передаче данных в облако, так и при хранении, так и при уничтожении и т.д.
  •  Небезопасное / неполное уничтожение данных. Обеспечить полное уничтожение данных без возможности их восстановить - достаточно хлопотное мероприятие для информационной безопасности. Например, в Нацбанке использование электро-магнитного импульса (вроде того, что создает "Лавина") для уничтожения данных на жестких дисках первый отдел не считает безопасным. Приходится брать старую добрую дрель и делать из дисков дуршлаг... В облаке же, где трудно понять вообще где что физически хранится, организация безопасного и полного уничтожения данных по запросу клиента кажется сизифовым трудом.
  • Внутренний злоумышленник. Ну, тут все просто - та же проблема, как и везде, только возможностей у него не в пример больше, т.к. доступ есть к данным сразу многих компаний.
 И это только основные риски.

Какой же выход из данной ситуации? Как говорит народная мудрость: "даже если тебя съели, у тебя остается еще два выхода" Выходов как минимум два:
  1.  можно использовать традиционный метод кнута - вводим очередную обязательную сертификацию, какой-нибудь CPSS (Cloud Provider Security Standard) и понеслась....
  2. Можно конечно и пряничный метод - провайдеры сами заказывают аудит по ISAE 3402 Assurance Reports on Controls at a Service Organization. Добровольно прошли, опубликовали отчет, показали что безопасность есть, завлекаем этим клиентов.
При любом подходе результат одинаков: деньги - консультантам, расходы - провайдерам, счастье безопасность - потребителям.



    2 комментария:

    1. мм, это прошлогодний который? http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

      ОтветитьУдалить
    2. Да, историческая неточность. Спасибо. Поправил

      ОтветитьУдалить