Защита ПДн в «облаке»
Максим Захаренко
Руководитель направления Parking.ru
www.inoventica.ru 2011
Требования к защите ИСПДн
Необходимо защищать ИСПДн по методикам и требованиям ФСТЭК
● –Технические мероприятия ● –Сертифицированные средства защиты и межсетевые экраны● –Сканеры безопасности● –Антивирусы● –Контроль целостности● –…
● –Административные мероприятия● –Разработка модели угроз, политики информационной безопасности● –Организационные мероприятия (комиссия, ответственные, сроки, планы…)● –Разработка и оформление «Согласия субъекта»● –…
www.inoventica.ru 2011
Рынок ИБ (было)
● •Крупные проекты (корпоративный и госсектор). ● •1-10-100 млн рублей/проект● •Окончательные сроки ввода 152-ФЗ в действие 1
июля 2011● •Уникальность каждой ИСПДн (аудит,
консалтинг, …)● •Интеграторов на рынке ИБ - ~100● •У каждого до 100-200 клиентов
www.inoventica.ru 2011
Рынок ИБ (сейчас)
● •Добавлено требование защиты ИСПДн для SMB
● •Должны быть защищены миллионы! ИСПДн
● •SMB не может платить миллионы рублей● •Сложно для понимания SMB● •Оказать комплексную услугу консалтинга,
аудита, «приведения в соответствие» фактически некому!
www.inoventica.ru 2011
Что делать
● •Уменьшить стоимость ● •Упростить административные мероприятия
МОЖНО ЗА СЧЕТ● •разделяемого режима использования
средств защиты● •унификации мероприятий для
«одинаковых» систем
www.inoventica.ru 2011
Выход есть
Хостинг ИСПДн у сервис-провайдера
www.inoventica.ru 2011
Схема хостинга ИСПДн К4-К2
www.inoventica.ru 2011
Оптимизация за счет
● •Готовая и до 152-ФЗ физическая и сетевая инфраструктура провайдера
● •Одна сертифицированная копия○ –Threat Management Gateway○ –Windows Server 2008○ –SQL Server
● •Общий межсетевой экран● •Одинаковые технические мероприятия
по защите● •Как следствие практически идентичные
наборы документов
www.inoventica.ru 2011
Оформление
● •Договор на хостинг (аренду ПО по модели SaaS) ● •SLA на защиту ИСПДн● •Соглашение о конфиденциальности● •Разработанный набор шаблонных нормативных
документов оператора ПДнСистемы К2-К3
55000р разово
+5000р./мес.
www.inoventica.ru 2011
Много плюсов
● •Нет необходимости самостоятельно обеспечивать работоспособность прикладной системы
● •Отсутствие существенных разовых платежей● •Не нужно думать об апгрейдах● •Всё в себестоимость без амортизации, зачёт НДС
www.inoventica.ru 2011
Вместо заключения
«Облачные сервисы», SaaS-модель традиционно критикуют за проблемы безопасности. Ситуация ровно обратнаяОдним из плюсов 152-ФЗ является импульс к развитию таких сервисов