Построение эффективного взаимодействия с...
TRANSCRIPT
Построение эффективного
взаимодействия с сервис-провайдерами
для повышения защищенности данных в
облачной среде
Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA,
Сооснователь Cloud Security Alliance Russian Chapter
Технический консультант Trend Micro
Облачные технологии – комфортные решения для бизнеса
14 июня 2012
Москва
О чем пойдет речь
Текущее состояние ИБ облаков
Взаимодействие с провайдером
Условия успешного взаимодействия
Безопасность наглядно
3
Поедем?
4
Так ли важна безопасность?
Доверие 6
Что говорят российские
поставщики облаков
«Мы делаем резервное
копирование
ваших данных» «Дата-центр круглосуточно
охраняется»
«Ваши данные надежно
защищены»
«Мы абсолютно уверены в Титанике.
Мы верим, что этот корабль
непотопляем»
Президент компании White Star Line Vice P.A.S. Franklin
Сертификация и аудит
9
FedRAMP
SSAE 16 / ISAE 3402
AICPA/CICA Trust Services
Examination
CSA Open Certification
Framework
ISO 27001
CSA STAR
Реагирование на инциденты
Управление уязвимостями
Аудит
Анализ рисков
Выполнение требований
законодательства
Мониторинг и управление событиями
Непрерывность бизнеса
и восстановление Взаимодействие с
властями
Взаимодействие с провайдером
Анализ рисков
Невозможно провести анализ
рисков без детальных сведений о
провайдере и услуге
Разработайте процесс разовой и
периодической оценки процессов и
мер ИБ облачных провайдеров
(существуют методики)
Запросите всю информацию по
облачной услуге (архитектура,
процессы и тд), результаты внешних
и внутренних аудитов аудитов
11
Аудит
Область аудита расширяется на
провайдера
Добейтесь права на аудит
провайдера, (особенно если нет
результатов других его аудитов)
Согласуйте с провайдером методику
аудита и выбор внешних аудиторов
заранее
Выбирайте аудиторов, знакомых с
облаками
12
Выполнение требований
законодательства Определите нормативные акты и их
влияние на обработку данных в облаке
Занесите разделение обязательств
по выполнению законодательства в
контракт с провайдером
Учитывайте нижележащих провайдеров
(например, SaaS провайдер сам использует
IaaS инфраструктуру)
13
Взаимодействие с властями
Добейтесь включения в контракт следующих
пунктов:
Клиент должен быть уведомлен в случае
получения провайдером запроса на выдачу
данных клиента от властей любого рода
Выдача данных – только на законных
основаниях
Выдача данных одних клиентов провайдера
не должна влиять на других клиентов
(технологически)
14
Управление уязвимостями
Согласуйте с провайдером возможность
анализа защищенности компонентов
облака или доступ к результатам этого
процесса у провайдера
Согласуйте свои внутренние сроки
установки обновлений со сроками
провайдера
15
Реагирование на инциденты
Проверьте план обработки инцидентов
провайдера и SLA – должны быть
описаны разделение обязанностей
между провайдером и клиентом,
определения инцидентов и возможности
провайдера по оказанию помощи
клиентам в обработке инцидентов
(оповещения, расследования и тд)
Заранее согласуйте каналы
коммуникации при инцидентах и
способы обмена информацией
(шифрование, стандарты)
16
Мониторинг
и управление событиями Проверьте возможности для мониторинга
событий от облачной инфраструктуры и
средств защиты данных провайдера на
события:
Перемещение данных клиента (файлы, БД)
Действия пользователей и
администраторов
События нарушения политик защиты и
контроля доступа
Нарушения целостности данных
17
Непрерывность бизнеса
и восстановление Ваша собственная стратегия
непрерывности бизнеса и восстановления
теперь включает облачного провайдера
Не надейтесь только на SLA – этого может
быть недостаточно. Где требуется, имейте
план переключения на другого
провайдера
Запросите и изучите все документы у
провайдера по этой теме
Согласуйте приоритет восстановления
ваших данных в случае сбоя у провайдера 18
Условия успеха
Зрелость облачного провайдера
Предоставление провайдером информации о
мерах защиты данных и процессах управления
ИБ
Регламентирование всех процессов,
требующих участия провайдера и клиента
19
И это только верхушка айсберга
Cloud Security Alliance
Russian Chapter
Локализация руководств и результатов
исследований CSA
Адаптирование лучших практик CSA к
российским условиям и законодательству
Разработка рекомендаций для российских
потребителей облачных услуг
www.risspa.ru/csa