Андрей Бешков: Безопасность в «облаке»

Андрей Бешков, руководитель программы информационной безопасности Microsoft Россия.

Кто участвует в проработке вопросов ИБ в «облаке»? Чья эта сфера ответственности: ИТ-сотрудники компании-клиента или прерогатива сервис-провайдера?

Андрей Бешков, Microsoft РоссияПервоначально стандарты безопасности разрабатывает сам владелец «облака». Он может прибегать как к общепринятым критериям обеспечения защиты, так и предлагать свои собственные. В случае применения последних, ему предстоит сначала убедить клиентов, что это действительно безопасно. С этой целью провайдер обычно проходит аудит и сертификацию по ISO/IEC 27001:2005 и SAS 70 Type II и Type I. Если же клиент хочет чего-то особенного в плане ИБ и достаточно крупен, как в случае с правительством США, то провайдер может пойти на дополнительную сертификацию по выполнению стандартов ИТ-безопасности на федеральном уровне в соответствии с актом FISMA (Federal Information Security Management Act).

В большинстве случаев специалисты ИБ со стороны клиента понимают, что самостоятельно достигнуть подобных уровней защиты и сертификации для своих ЦОД им будет гораздо более затратно. Поэтому предпочитает получать гарантии безопасности по наличию соответствующих сертификаций по ИБ у сервис-провайдера. Для получения таких сертификаций провайдеру облачных услуг необходимо периодически проходить аудит с помощью внешних экспертов. В то же время клиент может использовать дополнительные степени защиты своих данных в «облаках». Например, шифровать данные в инфраструктуре своего предприятия и только затем передавать их провайдеру на хранение в «облако». Использовать эти дополнительные меры безопасности или нет – это выбор ИТ-специалистов компании-клиента.

Дополнительные вопросы ИБ возникают, когда речь заходит о географическом расположении «облачных» ЦОД. Как данные перемещаются из одного ЦОД в другой? Есть ли способы сделать так, чтобы информация не покидала пределов того или иного государства? В этих случаях традиционно встает вопрос доверия «облачным» сервис-провайдерам. Постоянно обсуждается тема того, кто и как может получать доступ к вашим данным. Могут ли правоохранительные органы той или иной страны получить данные? Каков уровень доступа к данным клиента есть у сотрудников «облачного» сервис-провайдера? Что делать, если произойдет катастрофа? Ответы на эти вопросы – тема отдельного поста.

  • Дата публикации: 22 декабря 2011 г. 23:43:07 MSK
  • Поделиться материалом:
  • Опубликовать ссылку на статью в Вконтакте
  • Опубликовать ссылку на публикацию в FaceBook
  • Опубликовать ссылку на публикацию в Twitter
  • Записать в LiveJournal

Комментарии (0)

Нет комментариев

Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации.