Докладчик: Дубровин Иван Сергеевич Начальник отдела ТОиЗИ департамента информатизации Тюменской области. - презентация

1 Докладчик: Дубровин Иван Сергеевич Начальник отдела ТОиЗИ департамента информатизации Тюменской области

2 Чего ждать? Что делать? Нормативка 2

3 Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных Иметь возможность работы с Вашими ИС, имея лишь защищенное подключение к сети, какие бы подключения и устройства Вы не использовали Платить за ИТ-сервисы как за коммунальные услуги и не разворачивать свою инфраструктуру Все кто не поднял руки – будут рады уйти в облака! =)) 3

4 IaaS (Amazon EC2, co-location, ЦОД Прометей) PaaS (MS Azure, Google App Engine, ЦОД Прометей) SaaS (Google Apps, MS Office 365, региональный сегмент РТК, ЕМСЭД ТО в ОМСУ) …другие aaS И даже Secaas =)) 4

5 5 Источник: Forrester Research

6 Своя ИТ- служба Хостинг- Провайдер IaaSPaaSSaaS Данные Приложения VM Сервер Хранение Сеть 6 - Контроль у заказчика - Контроль распределяется между заказчиком и аутсорсером - Контроль у аутсорсера

7 Стратегия безопасности аутсорсинга – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля аутсорсера – Юридическая проработка взаимодействия с аутсорсером Стратегия выбора аутсорсера – Чеклист оценки ИБ аутсорсера 7

8 8 Финансовая устойчивость аутсорсера Схема аутсорсинга – SaaS, hosted service, MSS Клиентская база Архитектура Безопасность и privacy Отказоустойчивость и резервирование Планы развития новых функций

9 9 Защита данных Управление уязвимостями Управление identity Объектовая охрана и персонал Доступность и производительность Безопасность приложений Управление инцидентами Privacy

10 10 Непрерывность бизнеса и восстановление после катастроф Журналы регистрации Сompliance Финансовые гарантии Завершение контракта Интеллектуальная собственность

11 11 «Мы не можем себе позволить работать над этими проблемами через год или два, потому что с учетом начала предоставления государственных услуг в электронном виде, которые в любом случае скоро перейдут в облака, время бросает нам вызов. Поэтому работа ведется, и мы планируем к концу года, как и сказал Массух, предложить свои варианты» заместитель руководителя Роскомнадзора Роман Шередин г. «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать» замминистра связи и массовых коммуникаций Илья Массух г.

12 12 Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC (Проект, 2013г.) – Британский институт стандартов Security Recommendations for Cloud Computing Providers - немецкая федеральная служба по ИБ Cloud Computing Synopsis and Recommendations - Национальный институт стандартов США Security & Resilience in Governmental Clouds. Making an informed decision - Европейское агентство по информационной безопасности по облакам

13 Дубровин Иван Сергеевич