Download - Uisg itgov 19_cloud
5/17/2011 1
Afenida Sec ITОблачная безопасность
Оя ДенисГлава IT подразделения
Декабрь 2010 - исследование Microsoft + Edge Strategies:
-Основной тренд в SMB секторе в ближайшие 3 года;
-39% компаний будут использовать SaaS в течение 3-х лет;
-Объем рынка облачных сервисов США для SMB ~ 21 млрд .$;
- Одна из трех SMB организаций уже использует SaaS решения;
-Доля SaaS в сегменте достигла 42;%
Уже разработаны методики оценки готовности организации ко внедрению облачных технологий.
Представленный подход основан на передовых разработках проведенных ENISA, NIST, CSA в соответствии с ведущими международными стандартами (ISO 27001/2) и лучшими практиками.
Оценка производится по 12 областям, разделенным на 3 категории:
Корпоративная безопасность
Процессы и технологии
Соответствие
Предисловие
April 11, 2023
Перенос данных и услуг в облачную среду - это серьезное решение для любой организации.
Оно подразумевает значительные изменения в подходах организации к заботе об информационной безопасности.
12 областей готовности
Мобильность ЖЦ данных
Управление Непрерывн.
Бизнеса(BCM/DR )
Управление Инцидентами
Корпорат. БезопасностьСоответствие
Соответствие Стандартам
Правовые нормы
(Законность)
Идентификация и доступ
Процессы и Технологии
Шифрование
Инфра-структураПриложения
Физическая безопасность
Корпоративная Безопасность
Процессы и Технологии
Соответствие
1
2
3
April 11, 2023
Стратегия Корп. Безопасности
• Готовность организации оценивать риски и управлять корпоративными рисками возникающими при переходе на облачные технологии
Управление
• Готовность существующей внутренней политики и процедур для работы в облачной среде.
Непрерывность бизнеса и восстановление после сбоев
• Готовность организации для управления данными на протяжении всего жизненного цикла (создание, хранение, использование, обмен, архив, уничтожение) в облачной среде.
Управление жизненным циклом данных
• Готовность организации адаптировать внутренние процессы к смене реагирования на инциденты / запросы при работе внутри облака.
Управление Инцидентами
• Оценка готовности организации к переносу данных и услуг в облачную среду и от одного провайдера к другому.
Мобильность Данных
1
April 11, 2023
Процессы и технологии
• Оценка готовности средств шифрования и процессов управления ключами шифрования безопасно передавать и получать данные из облачной среды.
Шифрование
• Оценка готовности организации для защиты ресурсов, взаимодействующих с облачной средой.
Физическая безопасность
• Оценка готовности внутренней инфраструктуры безопасности (FWS , IPD) для работы в облачной модели.
Инфраструктура безопасности
• Оценка безопасности приложений, которые будут развернуты на облаке с точки зрения дизайна и надежности для работы в облачной/Интернет-среде.
Безопасность приложений
• Оценка готовности организации к осуществлению управления идентификацией и доступом (IAM) в облачной среде и защищенности от возможных источников угрозы.
Идентификация и Управление доступом
2
April 11, 2023
Соответствие
• Готовность обеспечивать соответствие и требования аудита при работе в облачной среде
Соответствие и Аудит
• Готовность разрешать и реагировать на правовые и договорные последствия при работе в облачной среде.
Правовые нормы
3
April 11, 2023
Области контроля:Стратегия корп. безопасности
Управление
Определение и внедрение соответствующих организационных структур, процессов, и контроля.
Создание совместных структур управления и процессов с облаком поставщика.
Создание метрики и стандартов для измерения производительности и эффективности управления информационной безопасностью.
BCM/DR
Обновление внутренней политики и процедур в соответствии с моделью облачной доставки.
Исследование возможностей и процедур поставщиковДизайн и испытания процесса восстановления данных.
Понимание воздействия времени восстановления
ЖЦ Данных
Оценка воздействия на организационное управление данными в ходе их жизненного цикла.
Понимание сложностей, связанных с общими арендой, резервированием и доступом к данным.
Оценка способности обеспечивать соблюдение правил и внутренней политики.
Управление Инцидентами
Оценка воздействия на существующий процесс управления инцидентами и способности поддерживать адекватный уровень обнаружения инцидентов, оповещений и реабилитации.
Понимание готовности внутренних процессов к управлению на уровне пользователей, решению инцидентов и
форензику .
Мобильность данных
Оценка способности переноса данных для первоначальной миграции в облака и от одного поставщика услуг к другому.
Отсутствие препятствий со стороны облачного сервиса для перемещения данных или услуг.
April 11, 2023
Области контроля:Процессы и технологии
Шифрование
Необходимо определить соответствующие решения шифрования для передачи данных.
Соответствующее управление ключами является жизненно важным, чтобы избежать раскрытия ключей, повреждения данных и несанкционированного использования для проверки подлинности.
Физическая безопасность
Должны оценить способность обезопасить ресурсы, взаимодействующие с облаком.
Вредоносное использование ресурсов облака клиента может вызвать серьезные потери.
Безопасность инфраструктуры
Оценка готовности внутренней инфраструктуры безопасности (FWS, ITD) для работы в облачной модели.
Безопасность приложений
В зависимости от модели доставки, поставщик может не нести ответственности за приложения.Приложения, развернутые на облаке, должны быть разработаны для модели угроз Интернета.Приложения должны быть экранированы от вредоносных программ и хакеров, и проверяться на наличие уязвимостей, которые позволяют несанкционированный доступа к данным.
Идентификация и управление доступом
Оценка готовности для проведения облачных управления идентификацией и доступом (IAM)Облачные вычисления, имея распределенную архитектуру, передают больше данных по сравнению с обычными системами.
Сниффинг, спуфинг, социальная инженерия, сторонние каналы и «шарманка» являются потенциальными угрозами.
April 11, 2023
Области контроля:Соответствие
Соответствие и аудит
Некоторые организации уже вложили значительные средства в обеспечение сертификации (PCI, ISO).Эти инвестиции могут быть в опасности, если облако Поставщик не соответствуют требованиям, или не разрешает аудит.
Необходимо понять, какие услуги могут быть перенесены в облака при сохранении соответствия.
Правовые вопросы
Готовность для управления и реагирования на правовые и договорные последствия при работе в облачной среде.
Влияние различий в законодательстве, при работе в разных странах.
Способность поддерживать желаемый уровень безопасности путем заключения договорных SLA.
Требования по соблюдению правил и законов о защите данных.
April 11, 2023
Оценка готовности
Существующие методики позволяют оценить уровень готовности организации к переходу на облачные технологии.
При этом учитываются допустимые уровни принятия рисков.
Уровень допустимого риска является производной от вероятности и воздействия потенциальных уязвимостей. Это зависит от ряда факторов:
Выбранной модели разворачивания облака (Общественное, Частное, Гибридное, Сообщество)
Сервисной модели (SaaS, PaaS, IaaS)
Ценности активов (важность данных/сервисов переносимых в облако)
Отраслевые/географические соображения (правила, соответствие, нормы)
April 11, 2023
Методология
Текущий Уровень Готовности
Требуемый Уровень
ГотовностиДефицит Готовности
Рассчитывается по 12 областям
Производные от вероятности и
воздействия каждой уязвимости определяют Допустимый
Уровень Принятия Риска
Текущий Уровень Готовности Баллы готовности
Очень высокая готовность 10Высокая готовность 8Средняя готовность 6Низкая готовность 4
Очень низкая готовность 2Требуемый
уровень готовности
Допустимый Уровень Принятия Риска
2 Очень высокая допустимость
4 Высокая допустимость
6 Средняя допустимость
8 Низкая допустимость
10 Очень низкая допустимость
Уровень ГотовностиНеобходимо
оценить баллы готовности для каждой из 12
областей, вместе с детальной
оценкой готовности и
выработать пути снижения рисков.
April 11, 2023
Пример: Управление
Область Управление
Требуемый уровень Средний уровень готовности
Потенциальные риски • Отсутствие готовности организации к оценке и управлению корпоративными при переходе к облачным технологиям.
Рычаги воздействия • Разработка процессы управления информационной безопасностью.• Создание масштабируемой, повторяемой, измеримой, устойчивой,
защищенной, постоянно улучающейся, экономически эффективной СУИБ. • Выявление и внедрение надлежащих организационных структур,
процессов и средств контроля для обеспечения эффективного управления информационной безопасностью и управления рисками.
• Создание совместной структуры управления и процессов с поставщиком облачных сервисов.
• Оценка договорных обязательств и подключение отдела ИБ при согласовании SLA.
• Создание метрики и стандарты для измерения результативности и эффективности управления информационной безопасностью (документирование текущих метрик и их изменений).
• Передача управления рисками на аутсогсинг.
Текущий уровень Очень низкий уровень готовности
April 11, 2023
Пример: Безопасность ПО
Область Безопасность приложений
Требуемый уровень Высокий уровень готовности
Потенциальные риски • Облачные/интернет-среды создают новые угрозы для ПО. • В зависимости от модели доставки, поставщик может не нести
ответственности за эксплуатацию и управление приложениями.
Рычаги воздействия • Внедрение лучших практик Контрольных списков для безопасной разработки и управления приложениями.
• Облачные приложения должны быть разработаны с учетом модели Интернет-угроз, включая защиту от наиболее распространенных Web уязвимостей (OWASP десятка).
• Приложения должны быть обновлены до последних версий с помощью эффективной стратегии управления обновлениями
• Приложения должны быть скрыты от вредоносных программ и хакеров и проверяться на наличие уязвимостей, которые дают несанкционированный доступ к данным внутри облака.
• Следует избегать произвольного применения стандартных практик аутентификации, авторизации и учета.
Текущий уровень Средний уровень готовности
April 11, 2023
Оценка готовностиPortability of Data & Services
Data Encryption readiness
Infrastructure readiness
Physical Security readiness
Application Security
Impact on Compliance & Auditing requirements
Legal implications
Identity and Access Management
Data Lifecycle Management
Governance
Business Continuity/Disaster Recovery
Incident Management
0
5
10
Current Readiness Score
Target Readiness Score
April 11, 2023
Оценка готовности
Portabilit
y of D
ata &
Servi
ces
Data En
cryption re
adiness
Infrastr
ucture
readiness
Physical
Secu
rity r
eadiness
Application Se
curit
y
Impact
on Compliance
& Auditing req
uiremen
ts
Legal
implica
tions
Identity
and Acce
ss Man
agem
ent
Data Lif
ecycle
Man
agem
ent
Govern
ance
Business
Continuity/D
isaste
r Reco
very
Inciden
t Man
agem
ent
0
2
4
6
8
10
12
Current Readiness ScoreTarget Readiness Score
April 11, 2023
April 11, 2023
Afenida SEC IT c 2009 года является официальным филиалом Comsec Consulting на территории СНГ.
Comsec Consulting - основана в 1987 году, котируется на Тель- Авивской Фондовой бирже (TASE:CMSC).
В данный момент в штате компании находятся 140 высококвалифицированных специалистов (консультантов и инженеров) в области информационных технологий и защиты информации.
Мы являемся самой большой компанией в Европе, предоставляющей комплексные консультационные услуги в сфере Информационной Безопасности.
Предоставляем услуги в сфере Информационной Безопасности, отвечающие последним мировым стандартам.
Мы осуществяем свою деятельность на международном рынке через сеть представительств в Нидерландах, Великобритании, Германии, Турции, Японии, Польше, Израиле и Украине.
О компании