Облачные вычисления: оценка рисков

Уже не первый год активно обсуждается тема использования «облаков» в бизнес-процессах компаний. Проводилось множество исследований, результатами которых явились разного рода оценки рисков – как с технической точки зрения, так и с экономической. Столь бурное обсуждение и, как следствие, наличие на текущий момент совершенно различных мнений по возможности и необходимости использования «облаков» в крайней степени запутали представителей бизнеса. Это один из факторов осторожного отношения к данной технологии предоставления ИТ инфраструктуры, платформы, ПО.

Не будем сейчас обсуждать преимущества и недостатки облачных технологий, думаю, многие из Вас уже знают не понаслышке о них. Однако, даже зная во всех тонкостях о рисках, не все готовы ответить на вопрос о возможности и необходимости использования «облака», и, тем более, как выбрать вендора. Помочь в этой непростой ситуации могут «Соображения безопасности облачных вычислений», разработанные департаментом защиты информации и безопасности Австралии.

Австралийские специалисты предлагают ответить на ряд вопросов, которые помогут оценить риски использования «облаков» конкретного вендора. При этом, несмотря на специализацию на защиту информации, вопросы затрагивают и другие аспекты указанной технологии.

Вам необходимо оценить следующие факторы и ответить на вопросы.

Группа вопросов для оценки доступности и функциональности.

1. Насколько критична для бизнеса информация и функциональность, переносимая в облако.

2. Стабильность бизнеса вендора и его план восстановления работ при форс-мажорных обстоятельствах, в том числе при катастрофах. В случае приостановления деятельности вендора каким образом, в каком виде и в какой срок Вы получите Ваши данные?

3. Вашу возможность управления резервными копиями данных. Есть ли у Вас возможность переносить резервные копии в свое хранилище или в хранилище другого вендора?

4. Возможность использования репликация с другим вендором? Можете ли Вы использовать сервисы различных вендоров для работы над одним бизнес-процессом?

5. Надежность и ширину канала передачи данных между Вами и вендором на минимальное соответствие требованиям.

6. Гарантию минимально необходимой степени доступности сервиса, указанной в договоре. Тут стоит обратить внимание на то, что уровень в 99,9% может означать отсутствие доступа к сервису в течение 9 часов в год.

7. Приемлемость длительности и времени суток плановых отключений сервиса.

8. Гарантию заявленного уровня доступности сервиса при проведении плановых работ.

9. Соизмеримость компенсации за нарушение условий договора. Часто компенсация предоставляется в виде бесплатного использования сервиса на определенный срок. Этот факт не стоит упускать из вида.

10. Уровень обеспечения целостности и сохранности данных с использованием механизма избыточности и резервного копирования.

11. Вероятность ситуации случайного удаления данных и возможности вендора по их быстрому восстановлению.

12. Возможность вендора быстро увеличить используемые Вами вычислительные ресурсы.

13. Возможность и простоту переноса данных и стандартных приложений к другому вендору или на собственные ресурсы.

Группа вопросов для оценки защищенности Ваших данных от несанкционированного доступа третьих лиц.

1. Оценить соответствие выбранной модели доступа «облака» уровню допустимых рисков. Модели доступа – частное «облако», публичное «облако», гибридное «облако».

2. Оценить степень конфиденциальности данных и процессов для их переноса в «облако».

3. Оценить соответствие методов защиты и управления данными законодательству тех стран, где хранятся и обрабатываются данные, а также через которые они передаются. Необходимо учитывать тот факт, что оборудование вендора физически может располагаться в другой стране и, соответственно, к ней могут быть применены ограничения, предусмотренные законодательными актами.

4. Оценить соответствие требованиям законодательства средств криптозащиты (в России подтверждается сертификатом ФСБ).

5. Оценить соответствие методов и средств уничтожения носителей с Вашими данными при их выходе из строя Вашим требованиям. Например, требование гарантированного удаления данных посредством заполнения носителя нулевыми данными.

6. Вендор отслеживает безопасность компьютеров, хранящих и обрабатывающих Ваши данные? Какие средства мониторинга информационной безопасности использует вендор? Вы имеете возможность их использовать?

7. Оценить возможность использования имеющихся у Вас инструментов мониторинга Вашей загрузки сервисов вендора.

8. Сохраняется Ваше право собственности данных?

9. Вендор использует сертифицированное сетевое оборудование для обеспечения информационной безопасности?

10. Вендор использует политики безопасности и процессный подход для защиты информации? Использует технические средства контроля информационной безопасности?

11. Имеется возможность проведения аудита безопасности и доступности сервисов вендора сторонними компетентными компаниями?

12. Вендор поддерживает работу системы идентификации и аутентификации, используемую Вами?

13. Доступ пользователей к конфиденциальной информации и ее хранение осуществляется в доверенном окружении? Например, используется VPN при доступе к ресурсам?

14. Вендор использует средства физической защиты?

15. Процесс поставки программного и аппаратного обеспечения вендора заслуживает доверия?

Группа вопросов оценки защищенности Ваших данных от несанкционированного доступа других потребителей услуг.

1. Вендор разграничивает Вас и Ваши данные от других потребителей услуг должным образом?

2. Использование «облака» вендора не ослабляет уровень сетевой безопасности?

3. Имеется возможность использования отдельных компьютеров для хранения и обработки только Ваших данных?

4. Вендор уничтожает данные на носителях перед их использованием другими потребителями услуг должным образом?

Группа вопросов оценки защищенности Ваших данных от несанкционированного доступа сотрудников вендора.

1. Вендор может узнать пароль или ключ для дешифровки Ваших данных?

2. Вендор должным образом оценивает персонал?

3. Имеется возможность просмотра действий персонала вендора?

4. Посетители датацентра идентифицируются и сопровождаются?

5. Датацентры вендора имеют возможность определения фальсификации данных?

6. Политика безопасности вендора и его субподрядчика совпадает?

Группа вопросов оценки работы вендора с инцидентами.

1. Оценить доступность вендора и своевременность его ответов и поддержки.

2. Оценить полноту плана действий вендора при инцидентах, связанных с информационной безопасностью.

3. Персонал вендора имеет опыт обнаружения и предотвращения инцидентов, связанных с информационной безопасностью?

4. Вендор будет информировать Вас об инцидентах?

5. Вендор будет Вам оказывать помощь в исследованиях в области информационной безопасности и понимании законодательства?

6. Вендор предоставляет доступ к лог-файлам и другим доказательствам с целью предоставления в суд?

7. Вендор предоставляет соизмеримую компенсацию за его нарушения политики безопасности?

Данный перечень вопросов необходимо дополнять в каждом конкретном случае в зависимости от специфики требований и бизнес-процессов, а также вопросами экономической составляющей. Только тогда можно получить полную картину и делать выводы о применимости «облачных» вычислений и отдельно взятого вендора. И не стоит забывать, что вендор заинтересован в обеспечении надежности и безопасности своей IT-инфраструктуры, так как от этого зависят его позиции на рынке, репутация и конкурентные преимущества - любой случай утечки или потери информации клиента может скомпрометировать весь его бизнес.