Построение эффективного взаимодействия с...

Построение эффективного

взаимодействия с сервис-провайдерами

для повышения защищенности данных в

облачной среде

Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA,

Сооснователь Cloud Security Alliance Russian Chapter

Технический консультант Trend Micro

Облачные технологии – комфортные решения для бизнеса

14 июня 2012

Москва

О чем пойдет речь

Текущее состояние ИБ облаков

Взаимодействие с провайдером

Условия успешного взаимодействия

Безопасность наглядно

3

Поедем?

4

Так ли важна безопасность?

Доверие 6

Что говорят российские

поставщики облаков

«Мы делаем резервное

копирование

ваших данных» «Дата-центр круглосуточно

охраняется»

«Ваши данные надежно

защищены»

«Мы абсолютно уверены в Титанике.

Мы верим, что этот корабль

непотопляем»

Президент компании White Star Line Vice P.A.S. Franklin

Сертификация и аудит

9

FedRAMP

SSAE 16 / ISAE 3402

AICPA/CICA Trust Services

Examination

CSA Open Certification

Framework

ISO 27001

CSA STAR

Реагирование на инциденты

Управление уязвимостями

Аудит

Анализ рисков

Выполнение требований

законодательства

Мониторинг и управление событиями

Непрерывность бизнеса

и восстановление Взаимодействие с

властями

Взаимодействие с провайдером

Анализ рисков

Невозможно провести анализ

рисков без детальных сведений о

провайдере и услуге

Разработайте процесс разовой и

периодической оценки процессов и

мер ИБ облачных провайдеров

(существуют методики)

Запросите всю информацию по

облачной услуге (архитектура,

процессы и тд), результаты внешних

и внутренних аудитов аудитов

11

Аудит

Область аудита расширяется на

провайдера

Добейтесь права на аудит

провайдера, (особенно если нет

результатов других его аудитов)

Согласуйте с провайдером методику

аудита и выбор внешних аудиторов

заранее

Выбирайте аудиторов, знакомых с

облаками

12

Выполнение требований

законодательства Определите нормативные акты и их

влияние на обработку данных в облаке

Занесите разделение обязательств

по выполнению законодательства в

контракт с провайдером

Учитывайте нижележащих провайдеров

(например, SaaS провайдер сам использует

IaaS инфраструктуру)

13

Взаимодействие с властями

Добейтесь включения в контракт следующих

пунктов:

Клиент должен быть уведомлен в случае

получения провайдером запроса на выдачу

данных клиента от властей любого рода

Выдача данных – только на законных

основаниях

Выдача данных одних клиентов провайдера

не должна влиять на других клиентов

(технологически)

14

Управление уязвимостями

Согласуйте с провайдером возможность

анализа защищенности компонентов

облака или доступ к результатам этого

процесса у провайдера

Согласуйте свои внутренние сроки

установки обновлений со сроками

провайдера

15

Реагирование на инциденты

Проверьте план обработки инцидентов

провайдера и SLA – должны быть

описаны разделение обязанностей

между провайдером и клиентом,

определения инцидентов и возможности

провайдера по оказанию помощи

клиентам в обработке инцидентов

(оповещения, расследования и тд)

Заранее согласуйте каналы

коммуникации при инцидентах и

способы обмена информацией

(шифрование, стандарты)

16

Мониторинг

и управление событиями Проверьте возможности для мониторинга

событий от облачной инфраструктуры и

средств защиты данных провайдера на

события:

Перемещение данных клиента (файлы, БД)

Действия пользователей и

администраторов

События нарушения политик защиты и

контроля доступа

Нарушения целостности данных

17

Непрерывность бизнеса

и восстановление Ваша собственная стратегия

непрерывности бизнеса и восстановления

теперь включает облачного провайдера

Не надейтесь только на SLA – этого может

быть недостаточно. Где требуется, имейте

план переключения на другого

провайдера

Запросите и изучите все документы у

провайдера по этой теме

Согласуйте приоритет восстановления

ваших данных в случае сбоя у провайдера 18

Условия успеха

Зрелость облачного провайдера

Предоставление провайдером информации о

мерах защиты данных и процессах управления

ИБ

Регламентирование всех процессов,

требующих участия провайдера и клиента

19

И это только верхушка айсберга

Cloud Security Alliance

Russian Chapter

Локализация руководств и результатов

исследований CSA

Адаптирование лучших практик CSA к

российским условиям и законодательству

Разработка рекомендаций для российских

потребителей облачных услуг

www.risspa.ru/csa

21

Вопросы?

www.RISSPA.ru

bezkod@RISSPA.ru

Денис Безкоровайный