Михаил  Козлов  De  Novo  

 Риски  ИБ  до  и  после    облаков:  

что изменилось?

Семинаре  RISSPA  "Облачные  сервисы:  риски  и  

анализ"  

10  июня  2014  

Что  рискованнее?  

Традиционные ИТ или частное облако?

Что  рискованнее?  

Облака  –  это  очень  опасно!  А  что  нет?  

Источник:  Илья  Медведовский,  Digital  Security  

Разберем  подробнее:  Старые  ИТ  vs.  Публичное  Облако  

Источник:  Cloud  Compuhng  Benefits,  risks  and  recommendahons  for  informahon  

security,  Rev  B,  12/2012  

Под  риском  понимается  комбинация  угрозы  и  уязвимости,  влияющая  

на  [бизнес-­‐]актив  

Распределение  рисков  

Топ риски облака •  Потеря  управляемости  •  Привязка  к  поставщику  •  Потеря  изоляции  среды  •  Компрометация  

интерфейсов  управления  •  Защита  данных  •  Неполное  удаление  

данных  

•  Зловредный  инсайдер  •  Ожидание  клиента  от  ИБ  

провайдера  •  Цепь  доступности  услуги  

(единые  точки  отказа)  

Все  эти  риски  есть  и  в  традиционных  ИТ!  

3  категории  рисков:  •  Организационные  •  Технические  •  Юридические  

Организационные  риски  

SaaS PaaS IaaS

Технические риски

Юридические риски

Риски  специфические  для  облака  

2 из 23 Конфликт политик ИБ клиента и провайдера Компрометация платформы провайдера

Персональные  данные  

Источник:  КОНСАЛТИНГОВОЕ  АГЕНТСТВО  «ЕМЕЛЬЯННИКОВ,  ПОПОВА  И  ПАРТНЕРЫ»  

Операторы  данных  

кто,  где,  когда,  с  кем...    

что,  где,  когда    

пульс,  вес,  сахар…    

Наши  данные  уже  у  Операторов!  

Выводы  

Риски  облаков  • Частное  облако  не  более  рискованно  чем  ИТ  

в  старом  добром  периметре  • Публичное  облако  добавляет  8,7%  новых  рисков  (2  из  23)  к  уже  существующим  

• Экономика  победит  страх  :)  

Риски  ИБ  не  самая  больная  тема  ))  

Михаил  Козлов  Michael.Kozloff@de-­‐novo.biz    

(c)2013  Де  Ново.  Информация  в  настоящей  презентации  предоставляется  на  условиях  «КАК  ЕСТЬ»,  без  предоставления  каких-­‐либо  гарантий  и  прав.  Используя  данную  информацию,  Вы  соглашаетесь  с  тем,  что  (i)  автор(ы)  не  несут  ответственности  за  использование  Вами  данной  информации  и  (ii)  Вы  принимаете  на  себя  весь  риск,  связанный  с  использованием  данной  информации».    Упомянутые  торговые  

марки  и  названия  принадлежат  их  законным  владельцам.  This  document  was  created  using  the  official  VMware  icon  and  diagram  library.  Copyright  ©  2012  VMware,  Inc.  All  rights  reserved.  This  product  is  protected  by  U.S.  and  internahonal  copyright  and  intellectual  property  

laws.  VMware  products  are  covered  by  one  or  more  patents  listed  at  h�p://www.vmware.com/go/patents.  VMware  does  not  endorse  or  make  any  representahons  about    third  party  informahon  included  in  this  document,  nor  does  the  inclusion  of  any  VMware  icon  or  diagram  in  this  document  imply  such  an  endorsement.