Особенности защищенного документооборота при использовании облаков ИНФОФОРУМ 19 апреля 2011 Владимир Мамыкин Директор по информационной безопасности ООО «Майкрософт Рус» блог:
эластичность и масштабируемость Время ИТ мощности Реальная загрузка Простой Дефицит мощностей классический ЦОД Реальная загрузка Время ИТ мощности облачный ЦОД
организация защищенное федерирование внутренние ИТ ресурсы
Облака: что выбрать? Цена Безопасность Общее облако Общее облако Облако сообщества Собственное облако
Облака: новые возможности и новые проблемы Информация под контролем провайдера Нет ограничений пространства и географии Изменения в ИТ процессах Провайдер может иметь лучше налаженные процессы обеспечения ИБ Физическая безопасность будет обеспечиваться провайдером Юридическая независимость провайдера Централизованное хранение данных Экономия за счет масштаба Привлекательность для киберпреступников Проблемы хранения персональных данных Проблемы проведения расследования киберпреступлений
Облака: задачи безопасности при использовании систем электронного документооборота (СЭД) 1.Соответствие законодательству и управление рисками 2.Идентификация и контроль доступа 3.Целостность сервиса 4.Защита информации
1. Соответствие законодательству и управление рисками Соответствие законодательству продолжает оставаться ответственностью Заказчика Для российских государственных организаций это, в том числе, использование сертифицированных по требованиям ФСБ и ФСТЭК продуктов Необходимость управлять рисками – ответственность Заказчика Необходима сильная внутренняя команда у Заказчика Для взамодействия по контрактам Для определения уровней контроля и метрик Для интегрирования контроля во внутренние процессы Заказчика
2. Идентификация и контроль доступа Кросс-доменное взаимодействие требует идентификации людей и устройств в СЭД Аутентификация должна проводится хотя бы для людей Идентификация\аутентификация должна быть зависимой от целей Процессы аутентификации в СЭД должны позволять работать с различными Провайдерами
3. Целостность сервиса Провайдер должен обеспечить прозрачность процессов использования СЭД с учетом Обеспечения информационной безопасности Защиты персональных данных Разработанной и принятой Заказчиком Модели угроз Заказчик должен обеспечить процессы использования СЭД с учетом многих Провайдеров, которые должны включать Мониторинг ИБ Провайдера Аудит Проведение расследований Обработку инцидентов безопасности Требования должны зависеть от используемых в СЭД приложений и используемой ими информации
4. Защита информации Классификация данных – основа их защиты в облаке Определите какие данные могут быть размещены в СЭД в облаке В соответствии с вашими требованиями С требованиями законодательства С какими последствиями При каком уровне контроля с вашей стороны Используйте технологии для непрерывной защиты данных в СЭД Шифрование\ЭЦП Определите, как будете решать новые задачи, связанные с Обособленностью данных Доступом к информации С получением данных порциями С новыми процессами обработки данных
общий подход к Общему и Собственному облаку СОБСТВЕННОЕ ОБЛАКО ОБЩЕЕ ОБЛАКО Бизнес-приложения Коллективная работа КоммуникацииПрикладное ПОХранилищаПлатформаИдентификация Продукты, используемые в собственных облаках - сертифицированы ФСТЭК (все) - сертифицированы ФСБ (основные платформенные)
12 СПАСИБО !!! Владимир Мамыкин Добро пожаловать в облака с защищенным документооборотом для органов государственной власти!