С 25 по 27 сентября в «Крокус Экспо» прошла десятая юбилейная международная выставка «InfoSecurity Russia 2013». Среди ее главных тем: киберпреступность и цифровая криминалистика, защита персональных данных, противодействие мошенничеству, безопасность облаков и объектов инфраструктуры. На секции «Облака в надежных руках» обсуждались проблемы безопасности облачных сред и вопросы аутсорсинга ИБ.

Растущей популярностью у российских организаций пользуется аутсорсинг услуг центра мониторинга и управления событиями безопасности (Security Operations Center, SOC). Однако заказчикам следует учитывать неизбежные риски. По словам Дмитрия Маркина, начальника отдела аудита и консалтинга компании AMT Group, большинство свойственных этим сервисам угроз для ИБ характерно для модели SaaS в целом. К ним относятся утрата заказчиком собственных компетенций и зависимость от внешнего поставщика услуг, отсутствие контроля над действиями удаленных администраторов и потоками информации за пределами корпоративной сети, несоответствие уровня ИБ на площадке провайдера корпоративной политике и требованиям регуляторов. Как отметил на завершившем секцию круглом столе Алексей Лукацкий, бизнес-консультант компании Cisco по безопасности, этот вендор не смог выбрать облачного провайдера в России именно из-за проблем с информационной безопасностью, несоответствия нормативным требованиям и отсутствия у провайдеров необходимых лицензий по ИБ.

ИБ под вопросом. Алексей Лукацкий: «Я категорический противник облаков  в России».
ИБ под вопросом. Алексей Лукацкий: «Я категорический противник облаков
в России».

 

К тому же не всегда можно проверить, как обрабатываются и хранятся данные заказчика, а при работе с зарубежными провайдерами возникает проблема трансграничной передачи данных. При организации доступа с мобильных устройств сложно обеспечить шифрование трафика по ГОСТу. Поэтому подчас проще создать свой ЦОД, чем решать многочисленные проблемы. Однако в целом ряде случаев преимущества облачной модели для бизнеса значительно перевешивают связанные с ней риски, в том числе и риски безопасности. Так, например, стартапам облака позволяют динамично развивать бизнес, избегать крупных затрат на собственную инфраструктуру ИТ и быстро реагировать на новые требования рынка.

Впрочем, средние и крупные организации могут с выгодой использовать гибридные облака, отдавая на сторону некритичные данные и бизнес-процессы. Для снижения рисков ИБ в качестве компенсационных механизмов контроля могут применяться следующие меры: заключение соглашений NDA и определение порядка уничтожения конфиденциальной информации по окончании действия сервисного контракта, включение в контракт права на периодический аудит ИБ по согласованным критериям, четкое разделение зон ответственности по расследованию и действиям сторон при возможных инцидентах безопасности, внедрение решений для контроля действий удаленных администраторов и многое другое. Наконец, необходимо тщательно продумывать все условия соглашений SLA.

При типичном бюджете на ИБ в 5–10% от общего ИТ-бюджета аутсорсинг SOC, например, станет хорошим выходом, обойдется вдвое дешевле приобретения собственных решений (хотя через 4,5 года затраты сравняются), позволит воспользоваться экспертизой и опытом провайдера. По данным компании «Инфосистемы Джет», к аутсорсингу ИБ обращаются из-за нехватки в компаниях собственного персонала, с целью организации бесперебойной работы сервисов (24×7), а также для обеспечения высокого уровня доступности, быстрого запуска сервисов, снижения зависимости от своих специалистов и сокращения управленческих затрат. На аутсорсинг можно отдавать управление рисками ИБ, контроль выполнения нормативных требований, обеспечение работоспособности систем ИБ, их администрирование, мониторинг и реагирование на инциденты.

Для защиты трафика между клиентом и облаком используются туннели VPN. При развертывании облачных приложений важно минимизировать задержку при работе пользователей и не создавать чрезмерной нагрузки на корпоративные межсетевые экраны. В любом случае заказчикам (особенно крупным) следует тщательно взвешивать риски, учитывать надежность облаков и убытки от возможных простоев. Путь в облако следует начинать с второстепенных процессов, на забывая о плане обратной миграции.