Embed Size (px)
Citation preview
Облачные вычисления: проблемные вопросы технической
защиты информации
Дорофеев Александр, CISA, CISSP
директор по развитию
План выступления
• Почему нам не избежать «облаков»?
• Можно ли защититься только техническими средствами защиты информации?
• Время выстраивать процессы ИБпровайдерам «облачных» сервисов и нам.
Зачем намоблако?
.Экономим на: • аппаратном обеспечении• программном обеспечении• оплате труда ИТ-специалистов• обучении ИТ-специалистов• и др.
Виртуальный офис:сотрудники могут находиться в любой точке России и мира
«Миграцию в облака» останавливают:
• внутренние проблемы • непрозрачность провайдеров• вопросы обеспечения ИБ в «облаке»
Снаружи мышь не проскочит,
хаос внутри…
Зная это, мы хотим от провайдеров идеала…
Порядок нужно навести и нам…
Теперь периметров защиты стало много…
Реакция рынка ИБ:
v +
VPNFirewallIDSIPS…
НО: можно ли защитить данные в «облаке»
одними техническими средствамизащиты информации?
Компания А
Компания Б
клиенты
провайдер
вендоры
До «облака»: В «облаке»:
Люди
Процессы
Технологии
?
?
Люди
Процессы
Технологии
Обучение
ISO 27001,COBIT, etc.
Несколько фактов об ISO 27001-2005
• Определяет модель построения системы управления ИБ
• Около 8 000 сертифицированных компаний
• Больше всего сертификатов выдано в Японии, Великобритании, Индии, Тайване, США, Чехии
• Принят в качестве ГОСТ Р ИСО/МЭК 27001-2006
ISO 27001:2005 разработан, когда облачных вычислений еще не было…
Как же быть?
Процессы
Меры управления рисками(controls)
ISO 27001:2005 задаетправильную идеологию управления ИБ
Новый стандарт на подходе
ISO/IEC WD TS 27017Information technology -- Security techniques --Information security management - Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002
Имеющиеся публикации
• Security Guidance for Critical Areas of Focus inCloud Computing V2.1 (Cloud security alliance)
• DRAFT Cloud Computing Synopsis and Recommendations (NIST SP 800-146)
• Guidelines on Security and Privacy in Public Cloud Computing (NIST SP 800-144)
• Security Considerations for Cloud Computing (ISACA)
Ведущие «облачные» компании уже прошли сертификацию по ISO 27001
Выстроенные процессы управления ИБ повышают готовность компаний к аутсорсингу процессов,
а облачным провайдерам позволяют стать более прозрачными и доверенными.
Нормативно-методическая база, учитывающаяспецифику «облаков», позволит ускоритьпроцесс.
О группе компаний «Эшелон»
• Услуги по внедрению
ISO 27001-2005
• Авторизованное обучение по применению стандарта
