rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Игорь Корчагин, специалист по ИБ компании ИВК: «ИБ «облачных» технологий меняет классические взгляды на безопасность в целом»

Одним из основных сдерживающих факторов массового распространения «облаков» в России считается проблема информационной безопасности (ИБ). Так ли это, насколько надежной может быть сегодня защита «облачной»/виртуальной среды, и как разграничить ответственность за сохранность информации между провайдером «облачных» услуг и заказчиком, нам рассказал Игорь Корчагин, специалист по ИБ компании ИВК.

Игорь, какие основные тенденции на рынке «облачных» технологий Вы видите сегодня? 

В последнее время на рынке «облачных» технологий одна из ключевых тенденций – это рост числа различных решений, направленных на повышение уровня защищенности «облачных» и виртуальных инфраструктур, а также на предоставление различных «облачных» сервисов безопасности (Security as a service). В связи с тем, что спрос на «облачные» технологии за последний год значительно вырос, многие разработчики «классических» средств защиты представили свои технические решения, ориентированные на защиту информации в «облаке» и виртуальной среде. Сегодня можно с уверенностью сказать, что тенденция осваивания существующими поставщиками и разработчиками средств и систем защиты «облачных» технологий сохраняется и носит долгосрочный характер, что делает соответствующий рынок весьма перспективным. 

Каков уровень готовности компаний к переходу в «облака»? Это только СМБ или все-таки крупный бизнес тоже? 

В плане готовности к переходу в публичные «облака», в настоящее время доминирует  средний и малый бизнес. В особенности это относится к переносу в «облако» не всей инфраструктуры организации, а именно некоторых сервисов (SaaS), в частности,  бухгалтерии, электронной почты, управления проектами и т.п.

Крупный бизнес, зачастую, пока рассматривает частные «облака» для переноса некритичных ресурсов и сервисов. Но при этом заметен рост его заинтересованности в реализации на своих площадках частного «облака» и последующим переносом туда всех сервисов компании, в том числе, даже реализация IaaS (Infrastructure as a service) и DaaS (Desktops as a service). В масштабах крупных предприятий это приведет к существенному пересмотру ИТ-бюджета предприятия, в частности, позволит снизить расходы на оборудование, количество необходимых лицензий на ПО, а также обслуживающий персонал. 

Действительно ли основным препятствием развития «облаков» являются проблемы ИБ? Какие еще проблемы мешают развитию «облачных» технологий в России? 

Ключевыми препятствиями в развитии «облаков» являются вопросы обеспечения ИБ, а также отсутствие однозначных юридических механизмов, связанных с ответственностью поставщика соответствующих услуг. Все это приводит к развитию недоверия со стороны заказчика к новым подходам построения ИТ-инфраструктур и опасений возникновения финансовых убытков – как в связи с угрозами нарушения доступности и целостности собственных ресурсов, так и с их возможной «утечкой» к конкурентам.

Еще одна проблема – сосредоточенность вычислительных ресурсов, обеспечивающих предоставление «облачных» услуг, в крупных мегаполисах, таких как Москва и Санкт-Петербург, а также недостаточно развитый по России высокоскоростной стабильный доступ к глобальной сети Интернет. Такие условия уже, с технической точки зрения, не позволяют компаниям в регионах принять решение о переносе своих ресурсов и инфраструктуры в «облачную» среду. 

Есть ли сейчас на рынке продукты/методики, обеспечивающие надежную защиту «облачных» сред? 

Рынок «облачных» средств ИБ только начинает развиваться и набирать обороты, поэтому на данный момент говорить об уже существующей надежной защите соответствующих инфраструктур, думаю, преждевременно. Причем это актуально и для отечественного, и для зарубежного рынка ИБ.

Для достижения реального прогресса исключительно важны организационная и методическая составляющая задачи обеспечения ИБ. Ведь ИБ «облачных» технологий во многом меняет классические взгляды на безопасность в целом. Нельзя сказать, что в этом направлении ничего не делается. Так, впервые внимание вопросам безопасности информации в виртуальной инфраструктуре было уделено в новых документах ФСТЭК России по обеспечению безопасности информации в ИСПДн (Приказ №21 от 18.02.2013) и ГИС (Приказ №17 от 11.02.2013). Имеется целый ряд инициатив по пересмотру отечественной нормативной базы, например, сейчас готовятся проекты ГОСТ по безопасности «облаков» и виртуальной инфраструктуры. Однако мировой опыт разработок соответствующих стандартов безопасности значительно опережает наш, о чем свидетельствует, например, наличие уже далеко не первых версий таких стандартов у организаций NIST, CSA, ISACA и ENISA. 

Какие проблемы в этой области еще предстоит решить? Насколько это долгосрочная перспектива? 

Как я уже говорил, одной из первоочередных и важнейших проблем в сфере «облачных» технологий, которую необходимо решить, – это адаптация и гармонизация соответствующих разделов отечественного законодательства. Скорее всего, одним из этапов будет введение требований по лицензированию деятельности в области предоставления «облачных» услуг.

По заявлению Ассоциации Облачных Вычислений, ее специалисты, при поддержке экспертов Министерства связи и массовых коммуникаций РФ, разрабатывают закон об «облачных» технологиях. Однако пока довольно сложно сделать вывод о возможности принятия этого закона Государственной Думой. Скорее всего, этого не произойдет раньше 2015-2016 годов.

Нужно отметить отсутствие четкой позиции ФСБ России по вопросам «облачных» технологий, в особенности, в отношении криптографической защиты. Например, в то время как ФСТЭК России в своих новых документах по защите информации в ИСДПн и ГИС уже отметила вопросы, связанные с использованием виртуальных инфраструктур, ФСБ России новых нормативных документов не представила. А это вызывает обеспокоенность пользователей таких инфраструктур относительно необходимости криптографической защиты и применения тех или иных методов и технологий. 

Какие Вы можете дать рекомендации заказчику, выбирающему «облачного» провайдера с точки зрения обеспечения ИБ? Как он может проверить, насколько соответствует предлагаемый уровень ИБ заявленному? 

При выборе «облачного» провайдера необходимо, в первую очередь, сформировать перечень вопросов, учитывающих критичность для заказчика тех ресурсов, которые он решил передать в «облачную» среду. Такие вопросы могут охватывать достаточно широкий круг тем: расположение ЦОД и то, кому он принадлежит; SLA (особенно важен уровень доступности); уровень cертификации: Uptime institute, TIA-942; соответствие требованиям отечественных нормативно-распорядительных документов в области ИБ; защита данных при передаче от заказчика к «облачному» провайдеру; политика безопасности поставщика услуг; способы подключения к «облаку» и интеграция с собственной инфраструктурой заказчика; условия передачи данных заказчика третьим лицам; процедуры реагирования на инциденты ИБ, а также технология уведомления заказчика о таких событиях; предлагаемые сервисы защиты (от DDoS, антивирус, VPN, МЭ, СОВ и др.); резервное копирование и резервные площадки и т. п. Провести проверку соответствия представленного описания услуг провайдера реальной ситуации можно только тестированием сервисов. Хорошо, когда провайдер позволяет это сделать еще до начала эксплуатации. 

Как регламентировать взаимодействие (по вопросам ИБ) между заказчиком и провайдером? 

В настоящее время единственным документом, регламентирующим взаимодействие заказчика и поставщика услуг является заключаемый между сторонами договор.

В договоре стоит прописать все аспекты, которые будут гарантировать права заказчика, методы контроля провайдера, а также условия возмещения ущерба при условии нарушения безопасности ресурсов заказчика (нарушении конфиденциальности, доступности, целостности). 

Влияет ли государство на «облачную» ситуацию на рынке?  Каковы, на Ваш взгляд, перспективы использования «облачных» технологий в госсекторе? 

Без участия государства полноценного перехода на «облачные» технологии не будет, так как именно оно является гарантом соблюдения прав и свобод граждан. Пока не будет проведена гармонизация законодательства и не определены национальные стандарты в области «облачных» технологий, заказчик данных услуг будет испытывать на себе тяжесть ответственности принятых решений и возможных рисков.

Что касается «облачных» технологий в государственном секторе, то тут можно отметить, что данная сфера, с учетом активной информатизации общества, является весьма перспективной. Новые подходы позволят осуществлять быстрое предоставление услуг гражданам за счет оперативного межведомственного взаимодействия, а также оперативного доступа к необходимой информации. Внедрение частных «облаков» и предоставление различных сервисов со стороны государства позволит подключать негосударственные организации, что существенно расширит создаваемое единое информационное пространство различных услуг и сервисов. 

Способствует ли распространение «облаков» развитию других отраслей, в частности ИБ? 

Развитие любого нового масштабного и инновационного ИТ-направления стимулирует развитие отрасли ИБ, как неотъемлемой части комплексного подхода к внедрению новых технологий во все сферы деятельности человека. Распространение «облаков» и средств виртуализации породило целый новый сегмент рынка технических средств ИБ, а также соответствующих консалтинговых услуг интеграторов. И этот сегмент будет развиваться.

Редактор раздела: Юрий Мальцев (maltsev@mskit.ru)

Рубрики: Интеграция, Безопасность

Ключевые слова: облака, облачные сервисы, информационная безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

MSKIT.RU: последние новости Москвы и Центра

ITSZ.RU: последние новости Петербурга