тб форум dorofeev

Облачные вычисления: проблемные вопросы технической

защиты информации

Дорофеев Александр, CISA, CISSP

директор по развитию

План выступления

• Почему нам не избежать «облаков»?

• Можно ли защититься только техническими средствами защиты информации?

• Время выстраивать процессы ИБпровайдерам «облачных» сервисов и нам.

Зачем намоблако?

.Экономим на: • аппаратном обеспечении• программном обеспечении• оплате труда ИТ-специалистов• обучении ИТ-специалистов• и др.

Виртуальный офис:сотрудники могут находиться в любой точке России и мира

«Миграцию в облака» останавливают:

• внутренние проблемы • непрозрачность провайдеров• вопросы обеспечения ИБ в «облаке»

Снаружи мышь не проскочит,

хаос внутри…

Зная это, мы хотим от провайдеров идеала…

Порядок нужно навести и нам…

Теперь периметров защиты стало много…

Реакция рынка ИБ:

v +

VPNFirewallIDSIPS…

НО: можно ли защитить данные в «облаке»

одними техническими средствамизащиты информации?

Компания А

Компания Б

клиенты

провайдер

вендоры

До «облака»: В «облаке»:

Люди

Процессы

Технологии

?

?

Люди

Процессы

Технологии

Обучение

ISO 27001,COBIT, etc.

Несколько фактов об ISO 27001-2005

• Определяет модель построения системы управления ИБ

• Около 8 000 сертифицированных компаний

• Больше всего сертификатов выдано в Японии, Великобритании, Индии, Тайване, США, Чехии

• Принят в качестве ГОСТ Р ИСО/МЭК 27001-2006

ISO 27001:2005 разработан, когда облачных вычислений еще не было…

Как же быть?

Процессы

Меры управления рисками(controls)

ISO 27001:2005 задаетправильную идеологию управления ИБ

Новый стандарт на подходе

ISO/IEC WD TS 27017Information technology -- Security techniques --Information security management - Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002

Имеющиеся публикации

• Security Guidance for Critical Areas of Focus inCloud Computing V2.1 (Cloud security alliance)

• DRAFT Cloud Computing Synopsis and Recommendations (NIST SP 800-146)

• Guidelines on Security and Privacy in Public Cloud Computing (NIST SP 800-144)

• Security Considerations for Cloud Computing (ISACA)

Ведущие «облачные» компании уже прошли сертификацию по ISO 27001

Выстроенные процессы управления ИБ повышают готовность компаний к аутсорсингу процессов,

а облачным провайдерам позволяют стать более прозрачными и доверенными.

Нормативно-методическая база, учитывающаяспецифику «облаков», позволит ускоритьпроцесс.

О группе компаний «Эшелон»

• Услуги по внедрению

ISO 27001-2005

• Авторизованное обучение по применению стандарта

Спасибо за внимание!

Александр Дорофеев, CISA, CISSPE-mail: a.dorofeev@npo-echelon.ruМоб: +7 915 056 95 74