Информационная безопасность облака как конкурентное...
DESCRIPTION
Презентация с CloudsNN 2012TRANSCRIPT
Информационная безопасность облака
как конкурентное преимущество сервис-
провайдеров
Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA,
Сооснователь Cloud Security Alliance Russian Chapter
Технический консультант Trend Micro
CloudsNN
23 августа 2012
Нижний Новгород
О чем пойдет речь
Что останавливает переход в облака?
Как провайдеру сделать свой сервис
безопасным и убедить клиентов в этом?
Как выделиться на фоне остальных
игроков?
Портрет идеального клиента
облачного провайдера
4
Почему клиенты не идут в облака?
5
Источник:
Результаты опроса российских CIO об отношении к Облакам
Почему клиенты не идут в облака?
Безопасность данных
Потеря контроля
Неопределенность
Сложность защиты данных по нормативам
4
Кто отвечает за безопасность в облаке?
6 Security of Cloud Computing Providers Study Sponsored by CA Technologies Independently conducted by Ponemon
InstituteLLC Publication Date: April 2011
О чем думает клиент?
"Где безопаснее - у провайдера или в
моем собственном датацентре?"
3
Что на самом деле важно
"Насколько наш аппетит к риску
соотносится с мерами защиты наших
данных у провайдера?"
3
Целевые клиенты облачных провайдеров
и их отношение к безопасности
Малый и средний бизнес
• Переход в облака - повышение
защищенности данных
Крупные компании
• Переход в облака - риск снизить степень
защиты данных
4
Может ли безопасность увеличить
доходы провайдера?
Безопасность повышает степень доверия к
провайдеру
Обращение новых клиентов
Рост потребления услуг существующими
клиентами засчет более критичных
сервисов
7
Пример: FedRAMP
Мотивация простая – докажи что
соблюдаешь меры безопасности и получи
доступ к госзаказу
8
Какого уровня
прозрачности
средств ИБ
достаточно
для клиентов?
9
Сертификация и аудит облачных
провайдеров
10
FedRAMP
SSAE 16 / ISAE 3402
AICPA/CICA Trust Services
Examination
CSA Open Certification
Framework
ISO 27001
CSA STAR
Cloud Security Alliance
Open Certification Framework
Три ступени сертификации провайдеров
• Самооценка
• Подтверждение аудитом
• Постоянный мониторинг соответствия
11
Самооценка, первый этап
CAIQ - Единая форма для
ИБ-вопросов на основе
лучших мировых практик
Перевод документа от
Cloud Security Alliance:
«Опросник оценки состояния
безопасности облачной
среды»
www.risspa.ru/csa
Подтверждение независимым
аудитом, этап 2
Аккредитация аудиторов
Программа аудита – разрабатывается
Основная методология – ISO 27001 и
CSA Cloud Control Matrix
Скоринговая система оценки
безопасности провайдеров – в баллах
Постоянный мониторинг,
этап 3
Автоматизированный процесс сбора ИБ
метрик с облачной инфраструктуры
провайдера
Интеграция со средствами мониторинга
клиентами облачных провайдеров
С чего начать провайдерам?
Самооценка про CAIQ позволит:
1. Понять текущее состояние ИБ
2. Выявить области для улучшения
3. Результаты можно использовать для CSA
STAR
• Открытость повышает доверие
клиентов
15
Как провайдеру снизить расходы на
безопасность?
Использовать комплексные решения,
закрывающие множество рисков
Использовать схемы оплаты pay-as-you-go
Продавать клиентам дополнительные опции
безопасности и зарабатывать на этом
16
Безопасность и лидеры облачного
рынка
3
Есть возможность отличиться!
На данный момент ни один российский
облачный провайдер не предоставляет
открыто результаты самооценки по
опросникам CSA
Только одна компания-провайдер
сертифицирована по мировым
стандартам (ISO 27001)
16
Cloud Security Alliance
Russian Chapter
Локализация руководств и результатов
исследований CSA
Адаптирование лучших практик CSA к
российским условиям и законодательству
Разработка рекомендаций для российских
потребителей облачных услуг
www.risspa.ru/csa
18
Вопросы?
www.RISSPA.ru
Денис Безкоровайный