Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Правительство Российской Федерации

Федеральное государственное автономное образовательное учреждение

высшего профессионального образования

Национальный исследовательский университет

Высшая школа экономики

Нижегородский филиал

Факультет бизнес-информатики и прикладной математики

Кафедра информационных систем и технологий

КУРСОВАЯ РАБОТА

На тему:

Сравнительный анализ рисков при использовании облачных сервисов в России и ЕС

Нижний Новгород - 2014



СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. Понятие облака

2. Преимущества и недостатки облачных вычислений

2.1 Преимущества облачных вычислений

2.2 Недостатки облачных вычислений

3. Ситуация в России

3.1 Регуляторы в области Информационной безопасности

3.2 Система сертификации по требованиям безопасности

4. Ситуация в Европе

4.1 Европейские законодательные инициативы

4.2 Общеевропейская стратегия

5. Риски

5.1 Оценка «облачных» рисков

5.2 Информационные активы и риски

5.3 Секретность и конфиденциальность

5.4 Управление данными

5.5 Метрика безопасности

ЗАКЛЮЧЕНИЕ

СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЕ



ВВЕДЕНИЕ

В последние годы популярность облачных архитектур резко возросла.

Например, у популярного сервиса Dropbox количество зарегистрированных пользователей превысило 100 миллионовhttps://www.dropbox.com/press/20110418. Эти услуги используются для хранения огромного количества цифровых данных, которые нужны для частного и коммерческого пользования.

Большинство бизнес-процессов стало существовать в цифровом виде, т. е. счета, договоры, рекламные материалы или бизнес-планы стали электронными. Эти данные часто представляют собой большую ценность и их безвозвратная утрата или повреждение может стать полной катастрофой для их владельца.

Для компании потеря данных может разрушить основу для бизнеса. Кроме того, компании по закону обязаны сохранять налоговые отчеты за определенный период и обеспечивать доступ к ним властям.

Главная цель моей работы - составление сравнительного анализа рисков использования облачных сервисов в России и ЕС.

Для достижения данной цели я поставила для себя следующие задачи:

1. дать определение облака;

2. рассмотреть существующие виды облаков;

3. описать существующие риски использования облачных архитектур;

4. найти отличия между рисками России и Евросоюза.

Объект исследования - риски использования облачных сервисов в России и ЕС. Предметом исследования является сравнительный анализ рисков использования облачных сервисов в России и ЕС.



1. Понятие облака

Облачное хранилище данных (англ. cloud storage) -- онлайн-хранилище, в котором данные хранятся на многочисленных распределённых в сети серверах, предоставляемых в пользование клиентам, в основном, третьей стороной. В противовес модели хранения данных на собственных выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна.

В зависимости от модели развертывания облака бывают:

· private cloud

· public cloud

· hybrid cloud

Частное облако (англ. private cloud) -- инфраструктура, предназначенная для использования одной организацией, включающей несколько потребителей (например, подразделений одной организации), возможно также клиентами и подрядчиками данной организации. Частное облако может находиться в собственности, управлении и эксплуатации как самой организации, так и третьей стороны (или какой-либо их комбинации), и оно может физически существовать как внутри, так и вне юрисдикции владельца.

Публичное облако (англ. public cloud) -- инфраструктура, предназначенная для свободного использования широкой публикой. Публичное облако может находиться в собственности, управлении и эксплуатации коммерческих, научных и правительственных организаций (или какой-либо их комбинации). Публичное облако физически существует в юрисдикции владельца -- поставщика услуг.

Гибридное облако (англ. hybrid cloud) -- это комбинация из двух или более различных облачных инфраструктур (частных, публичных или общественных), остающихся уникальными объектами, но связанных между собой стандартизованными или частными технологиями передачи данных и приложений (например, кратковременное использование ресурсов публичных облаков для балансировки нагрузки между облаками).

В зависимости от модели обслуживания выделяют:

· SaaS

· PaaS

· IaaS

Программное обеспечение как услуга (SaaS, англ. Software-as-a-Service) -- модель, в которой потребителю предоставляется возможность использования прикладного программного обеспечения провайдера, работающего в облачной инфраструктуре и доступного из различных клиентских устройств или посредством тонкого клиента, например, из браузера (например, веб-почта) или интерфейс программы. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения, или даже индивидуальных возможностей приложения (за исключением ограниченного набора пользовательских настроек конфигурации приложения) осуществляется облачным провайдером.

Платформа как услуга (PaaS, англ. Platform-as-a-Service) -- модель, когда потребителю предоставляется возможность использования облачной инфраструктуры для размещения базового программного обеспечения для последующего размещения на нём новых или существующих приложений (собственных, разработанных на заказ или приобретённых тиражируемых приложений). В состав таких платформ входят инструментальные средства создания, тестирования и выполнения прикладного программного обеспечения -- системы управления базами данных, связующее программное обеспечение, среды исполнения языков программирования -- предоставляемые облачным провайдером. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения осуществляется облачным провайдером, за исключением разработанных или установленных приложений, а также, по возможности, параметров конфигурации среды (платформы).

Инфраструктура как услуга (IaaS, англ. IaaS or Infrastructure-as-a-Service) предоставляется как возможность использования облачной инфраструктуры для самостоятельного управления ресурсами обработки, хранения, сетей и другими фундаментальными вычислительными ресурсами, например, потребитель может устанавливать и запускать произвольное программное обеспечение, которое может включать в себя операционные системы, платформенное и прикладное программное обеспечение. Потребитель может контролировать операционные системы, виртуальные системы хранения данных и установленные приложения, а также ограниченный контроль набора доступных сервисов (например, межсетевой экран, DNS). Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, типов используемых операционных систем, систем хранения осуществляется облачным провайдером.



2. Преимущества и недостатки облачных вычислений

Облачные вычисления в настоящее время развиваются как никогда раньше, и предприятиями всех форм и размеров адаптируются к этой новой технологии. Отраслевые эксперты считают, что эта тенденция будет только продолжать расти и развиваться дальше в ближайшие несколько лет. В то время как облачные вычисления, несомненно, полезны для средних и крупных компаний, не обошлось и без минусов, особенно для малого бизнеса. Теперь рассмотрим список достоинств и недостатков облачных вычислений.

2.1 Преимущества облачных вычислений

От работы с данными в облаке могут значительно выиграть все виды бизнеса, если использовать его должным образом и по мере необходимости. Ниже приведены некоторые из преимуществ этой технологии:

ь Экономически выгодно. Облачные вычисления, вероятно, являются наиболее экономически эффективным способом для использования, поддержки и модернизации информации. Традиционные расходы на программное обеспечение компании занимают большую долю в бюджете . Облако, напротив, требует меньше средств, следовательно, может значительно снизить ИТ-расходы компании.

ь Почти неограниченное хранение. Хранение информации в облаке дает почти неограниченную емкость. Таким образом, больше не нужно беспокоиться о нехватке места для хранения или увеличения текущего места для хранения.

ь Резервное копирование и восстановление. Поскольку все данные хранятся в облаке, резервного копирование данных и их восстановление проходит гораздо проще, чем для хранящихся на физическое устройство данных. Кроме того, большинство поставщиков облачных услуг, как правило, достаточно компетентны, чтобы справиться восстановления информации. Таким образом, это делает весь процесс резервного копирования и восстановления гораздо проще, чем другие традиционные методы хранения данных.

ь Автоматическая интеграция программного обеспечения. В облаке интеграция программного обеспечения, как правило, то, что происходит автоматически. Это означает, что больше не нужно прилагать дополнительные усилия по настройке и интеграции приложений в соответствии с вашими предпочтениями. Этот аспект обычно заботится о себе сам. Облачные вычисления позволяют настроить подходящий вариант с большой легкостью. Таким образом, можно вручную выбрать только те услуги и программные приложения, которые как вы считаете, лучше всего подходят для конкретного предприятия.

ь Легкий доступ к информации. Как только вы регистрируетесь себя в облаке, можно получить доступ к информации из любой точки, где есть подключение к Интернету.

2.2 Недостатки облачных вычислений

Несмотря на многие преимущества, как упоминалось выше, облачные вычисления также имеют свои недостатки. Предприятия, особенно мелкие, должны быть осведомлены об этих минусах, прежде чем они решат использовать данные технологии.

ь Технические вопросы. Несмотря на то, что информация на облаке может быть доступна в любое время и в любом места для всех, бывают случаи, когда эта система может иметь серьезные дисфункции. Вы должны быть осведомлены о том, что эта технология бывает склонна к простоям и других техническим вопросам. Даже лучшие поставщики облачных сервисов сталкиваются с такого рода неприятности, несмотря на поддержание высоких стандартов обслуживания. Кроме того, вам понадобится очень хорошее интернет-соединение.

ь Безопасность в облаке. Другой основной проблемой в облаке являются вопросы безопасности. До принятия этой технологии, нужно знать, что вы будете сдавать конфиденциальную информацию вашей компании сторонним поставщикам облачных услуг. Это потенциально может подвергать вашу компанию большим рискам. Таким образом, следует быть абсолютно уверенным, что вы выбираете самый надежный поставщик услуг, который будет держать вашу информацию абсолютной безопасности.

ь Склонность к атаке. Хранение информации в облаке может сделать вашу компанию уязвимой к внешним атакам и угрозам. Как известно, нет ничего в интернете абсолютно безопасного и, следовательно, всегда при возможности стоит скрывать свои конфиденциальные данные.

Таким образом, облачные вычисления имеют свои плюсы и минусы. В то время как эти технологии могут оказаться очень полезными для вашей компании, они также могут причинить вред, если не использовать их должным образом.



3. Ситуация в России

3.1 Регуляторы в области Информационной безопасности

Количество регуляторов, действующих в области информационной безопасности и требования по оценке соответствия средств защиты информации в Российской Федерации существенно отличаются от общепринятых норм. Однако эти требования и регуляторы необходимо знать.

Изучим воздействие на состояние информационной безопасности в России большого количества регуляторов, невыполнимых требований по сертификации и требования обязательного получения лицензий в области ИБ.

3.2 Система сертификации по требованиям безопасности

Ни в одной стране мира нет такого большого количества регуляторов в области информационной безопасности, как у нас. В России их 6: Федеральная служба безопасности, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки, Министерство обороны, Федеральная служба охраны и Министерство связи и массовых коммуникаций. И это еще не все. На подходе новый официальный регулятор -- Банк России. Согласно проекту закона «О национальной платежной системе», внесенного в Госдуму 15 ноября 2010 года, «субъекты национальной платежной системы обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России». А ведь есть еще международные (MasterCard, Visa), отраслевые (Газпром) регуляторы и появляющиеся в области ИТ/ИБ саморегулируемые организации.

Каждый из них действует в своей сфере компетенции, описанной законодательством. Если, например, мы все знаем, что ФСБ «отвечает» за криптографию, а ФСТЭК -- за все остальное (антивирусы, межсетевые экраны, системы предотвращения вторжений и т. п.), то мало кто знает, что за защиту информации в загранучреждениях отвечает Служба внешней разведки, а Федеральная служба охраны отвечает не только за спецсвязь, но и за «поддержание и развитие сегмента международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации», а также за безопасность системы межведомственного электронного документооборота. Даже в отношении «известных» регуляторов для многих специалистов по безопасности остается немало белых пятен. Например, немногие знают, что ФСБ в последнее время «замахнулась» и на смежные с криптографией «поляны». Согласно совместному приказу ФСТЭК и ФСБ №416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования», именно ФСБ, а не ФСТЭК отвечает за защиту государственных органов и именно она устанавливает требования к межсетевым экранам, антивирусам, системам предотвращения вторжения и т.п. Но и это не все. По проекту нового приказа ФСБ тематика предотвращения вторжений может «уйти» под данный федеральный орган исполнительной власти и в области защиты персональных данных. А это уже не какие-то несколько тысяч госорганов -- это несколько миллионов организаций.



4. Ситуация в Евросоюзе

4.1 Европейские законодательные инициативы

Российские законодатели пока что не уделяют облачным технологиям особого внимания, в то время как в Европе процесс обновления законодательства идет достаточно активно. Так, на Всемирном экономическом форуме в Давосе еврокомиссар по Цифровому развитию Нили Крус (Neelie Kroes) открыто признала, что европейское законодательство в сфере защиты данных устарело и Еврокомиссия ведет активную работу над его обновлением.

В Европе, как и в России, важным источником беспокойства является законодательство о персональных данных. Одна из проблем, которые предстоит уточнить в ходе законодательной реформы, связана с необходимостью проведения более четкой границы между оператором персональных данных, который в европейской терминологии называется «контролером» (controller) и «обработчиком» (processor) персональных данных, действующим от лица контролера.

Действующее законодательство в области персональных данных разрабатывалось в 1990-е годы, когда сегодняшние распределенные интернет-системы еще не существовали. Постоянно возникает вопрос о том, кого сегодня считать контролером, а кого обработчиком данных. Поскольку этот вопрос решить непросто, соответственно непростой задачей оказывается определение конкретных прав и обязанностей, накладываемых на пользователей и поставщиков облачных сервисов.

России невыгодно оставаться лишь сторонним наблюдателем происходящих в Европе процессов. Так, например, законодательство Евросоюза позволяет осуществлять обмен персональными данными не только со странами-участницами ЕС, но и со странами, которые обеспечили «адекватный уровень защиты персональных данных».

Ранее к таким странам относились Канада, США, Швейцария и другие европейские страны. Попадание в этот список позволит российским поставщикам наравне конкурировать с зарубежными облачными провайдерами. И напротив -- отсутствие прозрачного и применимого законодательства в сфере персональных данных может стать непреодолимым барьером для российских ИТ-компаний и в еще большей степени увеличит разрыв между отечественной и европейской ИТ-отраслью.

4.2 Общеевропейская стратегия

Несмотря на отсутствие общеевропейских руководящих документов, облачные вычисления уже осознаются как стратегическое направление для европейской экономики. Так, во время своего выступления на Давосском форуме в январе 2011 года вице-президент Еврокомиссии по цифровому развитию Нили Крус (Neelie Kroes) сообщила, что Евросоюз уже выполнил необходимый объем подготовительных работ и в 2012 году представит документ, «который будет сочетать анализ и план дальнейших действий».

В состав стратегии вошло три блока проблем. В рамках юридического блока освещены такие вопросы, как защита данных и обеспечение приватности, в том числе в международных масштабах. В рамках технического блока затронуты вопросы перспективных исследований по таким направлениям, как безопасность и бесперебойность облачных сервисов, стандартизация API и форматов данных, а также разработка типовых контрактов и соглашений об уровне сервиса (service level agreements). Наконец, в рамках рыночного (market) блока обеспечена поддержка пилотных проектов по развертыванию облачных систем.

Чего европейская экономика может ждать от «облаков»?

Существует несколько работ, в которых даны оценки влияния облачных вычислений на европейскую экономику. Согласно отчету швейцарского Центра экономических и бизнес-исследований, профинансированному компанией EMC, в период с 2010 по 2015 год облачные вычисления принесут крупнейшим европейским экономикам (Великобритания, Германия, Испания, Италия и Франция) 763 млрд. евро, что эквивалентно 1,57% их совокупного ВВП. За счет облачных вычислений в этих странах будет создано 2,3 млн. новых рабочих мест.

Оценивая экономическую значимость различных моделей развертывания облачных вычислений, исследователи Центра экономических и бизнес-исследований утверждают, что 39,3% экономических выгод придется на гибридную модель, 35,1% -- на приватные облака и лишь 25,6% -- на публичные облачные сервисы.

Несколько более ранняя попытка оценки влияния облачных вычислений на европейскую экономику принадлежит исследователю из Миланского университета Федерико Этро (Federico Etro). По его мнению, облачные вычисления в перспективе 5 лет увеличат европейский ВВП на 0,1-0,3%, снизят безработицу на 0,2-3% и приведут к созданию порядка 1 млн рабочих мест (240 тыс. в Великобритании, 160 тыс. в Германии, 100 тыс. во Франции, 94 тыс. в Польше, 76 тыс. в Италии и 69 тыс. в Испании). При этом Федерико Этро указывает, что «облака» не просто создадут новые рабочие места, но и станут причиной масштабной реструктуризации рынка и перемещения рабочей силы в новые отрасли.

Поскольку положительный эффект от облачных вычислений связан со скоростью восприятия новых технологий, Фредерико Этро рекомендует европейским политикам «как можно сильнее содействовать скорейшему внедрению облачных вычислений». Среди конкретных шагов итальянский исследователь предлагает фискальные поощрения для компаний, ведущих деятельность в определенных динамичных отраслях, а также снятие законодательных препятствий для свободного обмена данными между странами.

Несмотря на то, что Европейский союз в настоящее время еще не выработал целостной стратегии в области облачных вычислений, они уже рассматриваются европейскими политиками как важнейшее направление для координационных действий, законодательных реформ и многомиллионных инвестиций. Вероятно, в ближайшие два-три года в Евросоюзе будут предприняты законодательные реформы, которые создадут более благоприятный правовой режим для развития облачных вычислений. В то же время естественное развитие европейского ИТ-рынка и масштабные инвестиции в облачные исследования приведут к появлению разработок, обладающих конкурентоспособностью как на европейском, так и на глобальном рынке.

В отличие от Евросоюза в России пока что уделяется мало внимания как перспективным разработкам в области облачных вычислений, так и связанным с ними законодательным проблемам. Если учесть, что активные исследовательские работы по облачным вычислениям начались в 2009 году, то наша страна отстает от Евросоюза. Если Россия в ближайшее время не приступит к разработке собственной стратегии в сфере облачных вычислений и не начнет финансировать собственные перспективные разработки, то мы рискуем еще более утвердить свой нынешний статус импортера и потребителя зарубежных ИТ-инноваций.

облачный сервис информационный безопасность



5. Риски

Время, когда вы храните все ваши документы, фотографии и музыку на компьютере и жестком диске постепенно подходит к концу. Сегодня, облачные хранилища помогают решить задачу увеличения места для хранения всей вашей цифровой собственности. Но в безопасности ли ваши личные данные в Интернете?

Следует отметить следующие важные моменты безопасности:

· Пароли могут быть взломаны. Это не означает, что пароли не являются безопасными, это означает, что они уязвимы к dictionary и brute force attacks. Если вы выбираете решение облачного хранения, которое опирается на пароль для доступа к данным, выбирайте пароль, который трудно взломать с dictionary attacks, а также регулярно меняйте свой пароль, чтобы уменьшить риск взлома от brute force attacks.

· Данные могут быть захвачены в пути (en route.). К счастью, большинство сервисов хранения шифруют данные, пока они путешествуют туда и обратно, что делает невозможным их чтение, даже если кто-то захватывает файл. Если ваше облачное хранилище работает через веб-приложение, вы должны увидеть "HTTPS" вместо "HTTP" перед URL в адресной строке браузера. Это дополнительный "S" указывает на форму с использованием безопасного протокола HTTP. Если у вас есть отдельное приложение облачного хранения установленных на вашем компьютере, убедитесь в том, что приложение использует некоторый тип шифрования для обмена информацией в Интернете.

· Люди становятся более опасными, чем компьютеры, когда дело доходит до взлома. Не сообщайте свой пароль никому, даже если кто-то якобы от технической поддержки просит вас его озвучить. Одной из самых больших угроз безопасности является социальная инженерия: создание доверия между хакером и конечным пользователем, что заставляет конечного пользователя с радостью передать личную информацию. Обратите внимание, что когда вы говорите с реальным специалистам технической поддержки, они требуют лишь минимальную идентифицирующую информацию от вас, и, скорее всего, не ваш пароль.

· Хакеры обычно хотят получить больше информации с наименьшими усилиями. Это означает, что, чаще всего, они атакуют сердце облачного сервиса хранения, а не его отдельных пользователей. Таким образом, следует найти провайдера с хорошей историей сохранения счетов и данных своих клиентов в безопасности.

· Ваши данные не всегда недоступны для поиска и захвата местными органами власти. В США, например, от любой компании облачного хранения могут потребовать открыть данные своих клиентов для государственной проверки.

5.1 Оценка «облачных» рисков

Безопасно ли использовать общедоступное облако? Это основной вопрос об облачных вычислениях. Однако полный ответ зависит от четкого понимания степени допустимого риска в вашей организации. Понимание того, какой уровень риска является допустимым, зависит от оценки ваших требований к безопасности и насколько ценны ваши информационные активы -- данные, приложения и процессы.

Только когда вы полностью уясните эти вопросы, можно принимать обоснованное решение о том, какие модели развертывания и модели предоставления услуг соответствуют вашим потребностям и допустимому риску. Прежде чем принять общедоступную или гибридную модель важно определить свои информационные активы. Любой выбор будет включать в себя как минимум некоторое снижение контроля над тем, каким образом эта информация будет защищена, и где она может находиться (место хранения и юрисдикция). При внутрикорпоративном хостинге и наличии локальных частных облаков требуются дополнительные усилия по организации инфраструктуры облаков.

И не забывайте, что сумма ваших информационных активов не ограничивается информацией или данными. Приложения и процессы могут легко оказаться столь же жизненно важными, как сама информация. Во многих сферах, таких как аналитика и финансы, используемые алгоритмы и программы часто являются собственностью и строго секретными для организации. Их раскрытие может повлечь катастрофические потери для организации.

Необходимо ответить на следующие вопросы:

§ Категория угрозы: что может случиться с вашими информационными активами?

§ Воздействие угрозы: насколько это может быть серьезным?

§ Повторяемость угрозы: как часто это может происходить?

§ Фактор неопределенности: насколько вы уверены в своих ответах на приведенные выше три вопроса?

Основная проблема в оценке рисков является неопределенность, выраженная в терминах вероятности. Что действительно нужно знать, так это то, что делать со всем этим (предпринимать контрмеры или минимизировать возможные потери при реализации рисков). После проведения анализа и изучения рисков, можно задать несколько дополнительных вопросов:

§ Минимизация последствий рисков: что можно предпринять, чтобы уменьшить риск?

§ Стоимость и последствий: во что обойдется минимизация последствий рисков?

§ Соотношение стоимости минимизация последствий и получаемых преимуществ: является ли минимизация последствий экономически эффективной?

Нужно понимать, что эти три вопроса в большей степени риторические, когда речь идет об общедоступном облаке, если его сравнивать с частными или гибридными облачными решениями. В общедоступном облаке вы получаете то, за что платите. Провайдеры облачных вычислений частично несут ответственность за ответы на эти три вопроса. Кроме того, эти вопросы также менее актуальны для SaaS-сервисов (Software as a Service), чем для PaaS-сервисов (Platform as a Service), но еще более актуальны для сервиса IaaS (Infrastructure as a Service).

5.2 Информационные активы и риски

Главное в рисках -- их неопределенность. Это обстоятельство требует чуть более подробно проанализировать информационные активы. Выявление информационных активов может оказаться сложной задачей, особенно с учетом принципа применимого к цифровому контенту принципа «создается один раз, а копируется бесконечно».

Обычная организация редко достаточно надежно контролирует свою информацию. Часто это подразумевает минимальную гарантию того, что не существует других копий того или иного фрагмента данных. С точки зрения защиты цифровых данных это далеко не самый лучший вариант. Однако в большинстве организаций существует много других проблем управления собственными информационными активами.

Планируя перенос информационных активов в облако, нужно быть уверенным к правильности классификации информации по типам. К сожалению, здесь в основном и заключается проблема. Это может быть не так уж и плохо, если наши вычислительные системы принудительно осуществляют маркировку информации, но обычно это не делается. Информационная маркировка в большинстве компьютерных систем основана на реальных процессах физических лиц, которым нужен соответствующий допуск к информации.

В организации такой контроль обеспечивается путем классификации информации и дополнительных соглашений (например, «информация только проекта X»). Существующих мер контроля как правило недостаточно для предотвращения цифрового дублирования и преднамеренной или непреднамеренной утечки информации.

Памятуя триаду факторов безопасности (конфиденциальность, целостность и доступность), можно задаться рядом целевых вопросов об информационных активах вроде того, что может последовать, если:

§ Информационные активы будут раскрыты?

§ Информационные активы будут изменены внешним субъектом?

§ Информационные активы будут подделаны?

§ Информационные активы станут недоступными?

Если ответы на эти вопросы вызывают озабоченность в связи с тем, что риск неприемлемо высок, можно решить проблему путем размещения конфиденциальных данных в частном облаке (и избежать новых рисков). Используйте общедоступное облако для хранения конфиденциальных данных, риск потери которых не так критичен. Но реализация частного облака не отменяет необходимости в соответствующих средствах контроля.

В таких условиях есть несколько возможностей:

§ За счет сочетания размещения несекретных данных в публичном облаке и развертывания внутрикорпоративных систем для размещения конфиденциальных данных можно сэкономить определенные средства, не повышая уровня риска.

§ Там, где использование частного облака не вызывает новых рисков для информационных активов, применение гибридного или публичного облака может создавать новые риски.

§ Переход от традиционной модели информационных технологий к модели частного облака может уменьшить риски.

Эти разумные варианты призваны сбалансировать ценность информационных активов и обе модели развертывания и предоставления услуг.



5.3 Секретность и конфиденциальность

Помимо этих рисков для информационных активов, бывает так, что переработка, хранение или передача данных должны подчиняться определенным правилам, предписанным регулирующими органами. Когда данные подпадают под такие ограничения, выбор типа об лака (будь то частного, публичного или гибридного) зависит от уверенности в том, что поставщик полностью отвечает этим требованиям. В противном случае вы рискуете нарушить требования конфиденциальности, а также законодательные и юридические требования.

Такая обязанность обеспечения безопасного управления данными обычно ложится на арендатора или пользователя. Требование обеспечения информационной безопасности являются очень важными, когда речь идет о конфиденциальности, безопасности бизнеса и государства.

В инфраструктурах облачных вычислений нарушения конфиденциальности происходят достаточно часто, чтобы вызвать озабоченность при использовании какой бы то ни было системы -- облачной или традиционной. Это особенно справедливо, когда вы осуществляете хранение, обработку или передачу особо конфиденциальной информации, такой как финансовые или медицинские данные.

В 2010 году было несколько случаев раскрытия конфиденциальной информации, которые произошли в нескольких облачных сервисах, в том числе в Facebook, Twitter и Google. Поэтому забота о неприкосновенности частной жизни в облачной модели не является принципиально новой.

Поскольку аренда облака не избавляет от необходимости брать на себя юридические обязательства по конфиденциальности -- в этом смысле никаких отличий от традиционных систем хранения нет. Вы точно так же не станете хранить подобную информацию на сервере, где не предусмотрено надлежащего контроля, как и не выберите поставщика облачных сервисов без проверки того, что они отвечают аналогичным критериям защиты данных при хранении, передаче или обработке.

Это не значит, что политика может требовать вообще исключить какого бы то ни было поставщика внешних служб управления вашей информацией, в том числе облачных. И хотя может складываться ощущение, что компьютер на вашем столе безопаснее, чем тот, который находится в общедоступном облаке, если не предпринимать надлежащих технических и процедурных мер предосторожности при использовании настольного компьютера, его безопасность может быть значительно ниже, чем безопасность облака.

5.4 Управление данными

Необходимо осознавать, что безопасность конфиденциальных данных и управления ими -- две разных проблемы. В рамках процедуры полной юридической проверки необходимо иметь полное понимание процесса управления конфиденциальностью, а также руководящих принципов обеспечения безопасности поставщиком сервисов.

Обработка информации подчиняется законодательству о неприкосновенности частной жизни. Другие виды бизнес-информации и все, что связано с национальной безопасностью, подчиняется гораздо более жестким правилам и законам. Безопасность государственной информации и процессов ее обработки регулируется строгим и развитым сводом законов, правил и руководств.

Хотя облако представляет собой относительно новую модель, изложенного в этой статье достаточно, чтобы понять, что никакая секретная информации не должна храниться в общедоступном облаке. Вызывают озабоченность другие государственные структуры, которые не работают с конфиденциальными или секретными данными.

Достаточно сказать, что при изучении возможности использования общедоступного облака существует много различных и самостоятельных сфер деятельности -- от правительств государств до местных органов власти. Так как размер и количество уровней в государственных структурах значительно, более разумным кажется использование ряда «коммунальных» облаков -- это позволяет избежать применения публичных облаков и связанных с ними проблем.

С другой стороны, если государственные структуры используют публичное облако, то этот сервис должен в полной мере отвечать интересам арендатора и обеспечивать выполнение всех правил и законов. Вполне возможно, что арендатор может реализовать дополнительные меры контроля безопасности, которые отвечают нормативным или законодательным требованиям, даже если лежащие в основе облака общедоступные IaaS- или PaaS-сервисы не полностью отвечает этим требованиям.

Однако вы должны понимать, что набор дополнительных средств управления, которые могут добавляться арендатором, ограничен и не всегда позволяет закрыть пробелы в некоторых публичных облачных сервисах. Какую бы модель облака вы не выбрали, не упускайте из виду вопросы безопасности.

Как правило, в компании с высоким уровнем информационной безопасности существуют некие модели рисков, которые предписывают реагировать на определенные угрозы безопасности четко определенным образом. Реакцией может быть как внедрение технического решения, так и создание процедур, соблюдение которых способствует снижению того или иного риска. У руководства нередко возникает вопрос: насколько эффективно тратятся деньги компании. Этот вопрос неизбежно сопряжен с тем, что ответить на него можно только в отрицательной форме: "компания не потеряла", "у компании не украли", "в компании не остановились бизнес-процессы" и т.п. Какова в этом случае вероятность, что все эти потери действительно могли бы реализоваться, если бы у компании не было систем информационной безопасности? Точно оценить вероятность возникновения того или иного риска непросто, а значит, нелегко будет доказать и экономическую оправданность затрат.

Для поставщика решений в области информационной безопасности идеальной была бы ситуация, когда клиент, заплатив за внедрение соответствующей системы условно 100 тыс. долл., был бы уверен в том, что приобретенное решение покрывает риски/убытки стоимостью 200 тыс. долл. Но как подсчитать стоимость предотвращенных рисков и какова вообще вероятность их возникновения?

В России количественная оценка рисков затруднена, поскольку еще не сложилась практика передачи статистических данных по внутренним и внешним угрозам информационной безопасности в некие открытые источники. В Европе подобная статистика существует, но в России эти данные либо вовсе не применимы в силу несопоставимости рыночных условий, уровня развития ИТ и применяемых технологий, либо не вызывают особого доверия.

Приведем пример. Допустим, перед банком стоит задача оценить вероятность DDoS-атаки на его веб-сайт, а также понять, насколько серьезны будут последствия. Для этого необходимо владеть статистическими данными: сколько сайтов в России реализовано на той же платформе, сколько проводится атак в единицу времени, в каком проценте случаев эти атаки успешны, сколько времени занимает ликвидация последствий и каков ущерб от кибер-нападений. Такой статистики, как уже сказано, в национальном масштабе не существует. Есть только мировая статистика по ущербу, который способны нанести некоторые наиболее распространенные типы атак и вирусы, выводящие из строя ключевые информационные системы банка. Так, для кредитных организаций подсчитано, что пятиминутный простой системы процессинга равнозначен банкротству банка. Понятно, что это усредненная оценка, но она довольно наглядно демонстрирует описанный подход. Вопрос заключается в том, насколько руководство российской компании доверяет международному опыту и накопленным данным. Впрочем, и применяемые в мировой практике методики оценки не позволяют измерить в деньгах возникающие репутационные потери или уровень квалификации ИТ-персонала. Для подобного анализа крупнейшие консалтинговые компании уже многие годы пытаются ввести косвенные модели оценки, но пока ни одна из этих моделей не получила массового признания.

Что касается качественной оценки рисков, то и ее трудно переложить на денежные показатели. Градация определенного риска по степени критичности - в общем случае низкая, средняя и высокая критичность - позволяет для каждого уровня опасности установить лишь весьма примерный диапазон возможных финансовых потерь. В каждом случае параметры "от" и "до" будут зависеть от множества накладывающихся друг на друга показателей: масштаб бизнеса, отрасль, первоначальное состояние ИТ-инфраструктуры и т.п.

Есть риски, по которым достаточно трудно подсчитать не только убытки в деньгах, но и корректно определить критичность угрозы. Иллюстрацией здесь может служить риск утечки коммерчески значимой информации, например годового бизнес-плана компании. Если этот документ окажется в руках случайного человека, в частности родственника сотрудника компании, получившего данные по недоразумению вместе с личным электронным сообщением, то ущерб для бизнеса можно считать нулевым. Если же подобная информация умышленно передана конкурентам, убытки могут быть весьма значительными, вплоть до существенного сокращения рыночной доли компании. Но с учетом такого разброса вариантов корректно подсчитать экономическую эффективность расходов на внедрение DLP-системы (Data Leak Prevention - предотвращение утечки данных) не представляется возможным, поскольку затруднена оценка стоимости утечки данных. Однако попытки составить такое обоснование, в основном при продаже DLP-систем, все же делаются, но в таких случаях продавец ИБ-решения заведомо рассчитывает на низкую квалификацию заказчика.

Таким образом, аргументированно доказать покупателю, что приобретение ИТ-продукта обеспечит защиту от определенного типа рисков с некоторой конкретной стоимостью - задача фактически невыполнимая.

Для оценки экономической эффективности затрат на информационную безопасность существует две модели подсчетов - доходная и затратная.

Доходная модель применяется для внутренних расчетов и только в тех компаниях, для которых информационная безопасность - это сервис на продажу. Такие услуги предоставляют, например, сервис-провайдеры, предлагающие корпоративным и частным клиентам антивирусное программное обеспечение, услуги фильтрации трафика, предотвращения кибер-атак, услуги антиспама и родительского контроля для физических лиц и т.п. Это, пожалуй, единственный случай, когда расчет эффективности вложений в информационную безопасность не является проблемой. Достаточно подсчитать, сколько инвестировано в приобретение и/или развитие решения и сколько удалось заработать на продаже сервиса.

Затратная модель оценки используется, когда речь идет о приобретении систем информационной безопасности или утверждении годового бюджета, т.е. о тех случаях, когда компания либо приобретает некий новый продукт, либо принимает решение о поддержке уже существующих решений. Обычно при согласовании соответствующих бюджетов принимают в расчет три основные статьи расходов.

Первая - сопровождение существующих систем. Необходимость такого сопровождения обосновать сравнительно просто, даже не вдаваясь в сложные расчеты: деньги на внедрение уже потрачены, система работает и отказываться от действующего решения нецелесообразно.

Вторая - расходы на выполнение требований регуляторов в области информационной безопасности. Такие требования предъявляются к организациям, которым выданы лицензии ФСБ России, ФСТЭК и Банка России, сертификаты ISO в области информационной безопасности. Жестко регламентируются нормы информационной безопасности для публичных компаний, акции которых котируются на биржах США и других международных площадках - можно вспомнить закон Sarbanes-Oxley Act. Начиная с 2011 г. российским компаниям придется соблюдать требования Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (в ред. от 23.12.2010). Для одной компании набирается до десятка законодательных актов, в которых содержатся нормы информационной безопасности. Как видно, требований достаточно много, и поэтому расходы на соответствие им составляют ощутимую часть ИБ-бюджета. В большинстве компаний идут по пути разумного компромисса - стараются обеспечить соответствие собственных ИБ-систем не всем, но наиболее значимым требованиям. Под значимостью обычно понимают объем возможных штрафных санкций, которые будут применены к компании при нарушении требований, т.е. риски можно хотя бы примерно оценить экономически. Причем если раньше компании выбирали решение по принципу "лишь бы получить сертификат аттестационной комиссии", то сейчас заказчики все чаще ориентируются на фактическую работоспособность системы - чтобы она не только формально соответствовала требованиям регулятора, но и обеспечивала бы безопасность и работала с минимальным количеством сбоев. Но такие системы в любом случае не являются бизнес-ориентированными: их внедрение в большей степени направлено на обеспечение безопасности государства, а не самой компании.

Третья - внедрение систем, которые позволяют минимизировать бизнес-риски, присущие компании и способные повлиять на ее работу, на финансовый результат. Несмотря на то что эта группа решений относится к наиболее дорогостоящим, обоснование соответствующих расходов редко строится на конкретных финансовых показателях. Финансовое обоснование может быть представлено только в единичных случаях. Это связано с тем, что оценка рисков, как было показано, носит весьма приблизительный характер.



5.5 Метрика безопасности

Если говорить о внутренних службах безопасности, работающих в корпорациях, то подразделение информационной безопасности выступает в качестве внутреннего сервиса, которым пользуются другие функциональные подразделения компании. Попытка оценить эффективность службы сводится к тому, чтобы установить: в чем вести измерения и что считать критерием оценки.

Разумнее говорить не о денежной оценке эффективности вложений, а об оценке эффективности работы ИБ-службы. В компаниях должна действовать комплексная система риск-менеджмента, охватывающая в том числе и системы информационной безопасности, причем оценка эффективности здесь почти никогда не выражается в деньгах. В этом случае риски информационной безопасности рассматриваются как одна из разновидностей операционных рисков компании.

Оценивают, как правило, уровни критичности рисков, последствия их реализации для непрерывности бизнеса и т.п. В качестве критериев выступают внутренние статистические показатели, такие как, например, количество обнаруженных и предотвращенных инцидентов. Измерению в этом случае подлежат интеграционные показатели - те, по которым ведется постоянный мониторинг. Если из года в год ИБ-служба подтверждает на основе внутренней корпоративной статистики, что количество обнаруженных и обезвреженных угроз растет, а число реализованных рисков, напротив, падает, то на этапе обоснования бюджетов проблем с предоставлением необходимых средств скорее всего не возникнет. Нужно помнить, что специалист в области информационной безопасности никогда не станет финансовым специалистом - требовать от него детальных финансовых выкладок нелогично.

Для проведения оценки лучше всего использовать метрики информационной безопасности, зафиксированные в многочисленных международных стандартах, таких как NIST 800-55, ISO 27004 и др. В этих документах речь идет о метриках для конкретных технических решений и процедур, т.е. существует возможность проанализировать на основе статистических данных, насколько грамотно организована работа той или иной системы. Причем внутреннюю статистику в отличие от внешней можно проверить. В крупных компаниях таким анализом занимаются службы внутреннего аудита, нередко привлекаются для проведения экспертизы и независимые аудиторы. Важно также, чтобы специалисты по безопасности учитывали текущие тренды в своей сфере. Например, сейчас наблюдается бум DDoS-атак, и в компаниях, чей бизнес напрямую зависит от работы web-приложений, делается особый упор на борьбу с интернет-угрозами.

Таким образом, нужно признать, что количественная оценка эффективности вложений в информационную безопасность возможна, но она лежит в сфере статистических, но не финансовых показателей, а реальную эффективность работы ИБ-службы следует оценивать на основе ощущений владельцев бизнеса: грамотная и продуктивная работа будет всегда заметна и оценена руководством.



Заключение

Персональные данные стали неотъемлемой частью нашей жизни, а необходимость их защиты - одной из самых важных проблем.

Поставленные мной в начале работы задачи были выполнены. Я изучила основные определения облачных вычислений и рисков, связанных с их использованием, правовое регулирование этой сферы в России и Европейских государствах, рассмотрела их концепции, особенности и регулирующие органы власти.

В ходе изучения я выявила ряд проблем в российском законодательстве, которые указывают на то, что в России еще не сформировалась такая база защиты персональных данных, которая могла бы соответствовать европейскому законодательству, а значит, Российская Федерация во многом отстаем от Европы.

Нам предстоит еще много пройти, чтобы приблизиться к уровню Европейских и Западных держав. России стоит брать пример с других государств, учиться на их ошибках, анализировать концепции их законодательств, создавать на этой основе что-то свое.



Список источников и литературы

1. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных

2. Федеральный закон РФ от 27 июля 2006 года №152-ФЗ «О персональных данных»

3. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) от 30.12.2001 N195-ФЗ.

4. Кашанина Т.В. Корпоративное право. М.: -- Норма-Инфра-М, 1999 г., с. 250.

5. Лучшие практики СУР, документ COSO, Разработка ключевых индикаторов риска для укрепления СУР (Developing Key Risk Indicators to Strengthen Enterprise Risk Management), 2010 г.

6. Dou El Kefel Mansouri, Mohamed Benyettou, “Risk management in cloud computing”, Third International Conference on Innovative Computing Technology INTECH, London, August 29-31, 2013, IEEE 2013 in way of publishing.

7. Jackson, K.L. (2011). Forbes: “The Economic Benefit of Cloud Computing”

8. National Institute of Standards and Technology (NIST) (2011) Final Version of NIST Cloud Computing Definition Published

9. ISO GUIDE 73-2009 - Risk management - Vocabulary, November 2009

10. The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management - Integrated Framework (USA), September 2004.

11. ONR 49003 - Requirements for the qualification of risk manager

12. Профессиональный стандарт: Управление рисками (риск-менеджмент) организации квалификационный уровень - 6,7,8; Risk Management Professional Standard ©RusRisk, Moscow, Russia 2012

Размещено на allbest.ru