Garter Briefing 2011: Cloud ComputingПО как услуга и облачные вычисления: управление рисками

Содержание

Слайд 2

О чем следует задуматься компаниям:

Нестабильность европейской экономики стимулирует тенденцию дальнейшего снижения расходов

О чем следует задуматься компаниям: Нестабильность европейской экономики стимулирует тенденцию дальнейшего снижения
на ИТ, и одновременно - повышения гибкости/адаптируемости/скорости ИТ;
Стремительно растет интерес к ПО, предоставляемому в качестве услуги, облачным вычислительным средам и услугам инфраструктур на базе облачных вычислений, и также стремительно растет их распространение;
Европейские законы, защищающие неприкосновенность частных данных, одни из самых строгих в плане защиты данных потребителей и сотрудников компаний;
Государственные и коммерческие компании все более обеспокоены вопросами безопасности и соответствия ИТ нормативным требованиям.

Слайд 3

Основные вопросы:

Какие риски связаны с использованием услуг, предоставляемых на базе облачных вычислений,

Основные вопросы: Какие риски связаны с использованием услуг, предоставляемых на базе облачных
и что более всего волнует клиентов?
Какие существуют способы разрешения вопросов, связанных с возникновением рисков, безопасностью и контрактными обязательствами, для поставщиков данного вида услуг?
Каким образом компании могут проводить оценку рисков и преимуществ, связанных с разными видами стратегий использования услуг на облачной основе?

Слайд 4

Дилемма «облаков»

Преимущества:
Удобство, масштабируемость (готовая к использованию услуга «под ключ»);
Гибкая услуга, с установлением

Дилемма «облаков» Преимущества: Удобство, масштабируемость (готовая к использованию услуга «под ключ»); Гибкая
цен на индивидуальных условиях;
Недостатки:
Отсутствие контроля:
полная зависимость от архитектуры, функциональных возможностей и методов работы поставщика услуги;
Отсутствие ясности в вопросах управления рисками;
а также программного обеспечения, местоположения, администрирования, компетенции?

Чем выше степень масштабируемости и удобства, тем сложнее оценивать и контролировать связанные с этим риски.

Слайд 5

Стратегический прогноз развития ситуации

Вплоть до 2014-го года отсутствие норм сертификации третьих сторон,

Стратегический прогноз развития ситуации Вплоть до 2014-го года отсутствие норм сертификации третьих
напрямую касающихся вопросов безопасности, гарантии непрерывности бизнеса и восстановления после сбоев, будет останавливать порядка 30% компаний на пути к использованию платных услуг частных облаков

Факты, говорящие в пользу прогноза:
Компании не всегда достаточно компетентны в оценке поставщиков.
Проведение оценки на месте эксплуатации является дорогостоящим, как для поставщиков услуги, так и для клиентов.
На первый взгляд, очевидное решение проблемы - сертификация третьих сторон, однако, существующие в настоящий момент программы сертификации не могут учесть все специфические риски новой модели вычислений на базе технологии, защищенной правом собственности.

Альтернативный путь развития:
CAMM - в Великобритании, FedRAMP - в США и другие организации могут разработать специальную систему оценки облачных сред уже в начале 2011-го года.
Убедившись в отсутствии явных нарушений норм безопасности, клиенты могут и не счесть необходимыми дальнейшие трудоемкие проверки качества облачных услуг.

Слайд 6

Факторы угрозы безопасности облачной архитектуры

Ресурсы используются одновременно множеством клиентов (многоарендность):
Защита данных в

Факторы угрозы безопасности облачной архитектуры Ресурсы используются одновременно множеством клиентов (многоарендность): Защита
процессе обработки и во время доступа к ним;
Защита данных во время хранения.
Виртуализация действительно упрощает классификацию данных, однако:
Безопасность классификации, интеграции и доступности должна обеспечиваться за счет механизма виртуализации;
Всем клиентам необходим постоянный доступ к своим данным, вне зависимости от локализации этих данных в облаке, но только не к данным других клиентов.
Доверие к облачным вычислениям:
разрешения и привилегии доступа, как для людей,
так и для машин, должны быть жестко закреплены
за определенным числом виртуальных машин,
сетевых узлов, сайтов, организаций
и правовых юрисдикций.

Слайд 7

Проблемы, связанные с обеспечением непрерывности бизнеса и восстановлением после сбоев

Каким образом осуществляется

Проблемы, связанные с обеспечением непрерывности бизнеса и восстановлением после сбоев Каким образом
резервное копирование данных в облачной среде:
Данные, платформа, приложение, конфигурации, доступ?
Каким образом осуществляется проверка факта обеспечения поставщиком услуги непрерывности бизнеса?
Полная зависимость от стабильности поставщика:
Что если поставщик изменяет предлагаемый им продукт?
Есть ли у Вас возможность контролировать внедрение программных исправлений или отслеживать другие события обновлений?
Что если облачная среда прекращает свое существование?
Каким запасом времени Вы располагаете, чтобы отреагировать на это?
Каковы расходы в случае окончания срока эксплуатации?
Осуществим ли перенос данных?

Слайд 8

Сложность и подверженность влияниям внешней среды увеличивают вероятность возникновения рисков

Внутренняя среда

Традиционная система

Внешняя

Сложность и подверженность влияниям внешней среды увеличивают вероятность возникновения рисков Внутренняя среда
среда

облако

Модель вычислений

Путь выхода во внешнюю среду

Простота проверки
Относительно меньшие риски

Сложность проверки
Относительно более высокий риск

Частное облако

Виртуальное частное облако

Аутсорсинг ЦОД

Новое, на базе распределенного вычисления, виртуализированное, сложное

Проверенная, на базе одного компьютера, дискретная, простая

Сотрудники компании,
корпоративная сеть Интранет

Посторонние лица, общественно-доступная
сеть Интернет

Корпоративный ЦОД

Инфраструктура как услуга

Партнерский портал

Облако коллективного пользования

Слайд 9

Разные модели облачных сред связаны с разного вида рисками

Тогда как Ваш поставщик

Разные модели облачных сред связаны с разного вида рисками Тогда как Ваш
услуги имеет контроль над Вашими данными, Вы отнюдь не имеете контроля над:
Его сотрудниками, кодами, характеристиками, процессами;
Управляющей и юридической системой, корпоративной культурой.
Кто за что отвечает?
Инфраструктура как услуга (IaaS): обеспечение безопасности- забота клиента;
Платформа как услуга (PaaS): безопасность обеспечивается с обеих сторон;
ПО как услуга (SaaS): обеспечение безопасности – забота поставщика услуги.
Ваш поставщик услуги работает на основании договора субаренды?

Необходимо понимать: кто несет ответственность
за какую функцию.

Слайд 10

Цепочка потребителей и поставщиков

Кто поставляет услугу Вашему провайдеру?
Сервис «платформа как услуга», в

Цепочка потребителей и поставщиков Кто поставляет услугу Вашему провайдеру? Сервис «платформа как
первую очередь, используется мелкими компаниями-поставщиками ПО как услуги.
Многие сервисы «инфраструктура как услуга»/ «платформа как услуга»/ «ПО как услуга» предоставляются посредством удаленных систем.
Вы работаете с интегрирующимися данными и смешанными сервисами (mashup)?
Из какого именно источника поступают Ваши данные/услуги?
Вы можете подтвердить свои права на использование?
Вы являетесь участником чьей-то еще цепочки данных?
Есть ли возможность осуществлять контроль за Вашими
данными на должном уровне?
Не стоит забывать о вероятности
санкционированного гос. органами доступа
к Вашим зашифрованным данным.

Слайд 11

Какие механизмы контроля информационного доступа предоставляются самим поставщиком?

Механизмы управления информационным доступом (IAM):
Интеграция

Какие механизмы контроля информационного доступа предоставляются самим поставщиком? Механизмы управления информационным доступом
данных, строгие проверки прав доступа к ресурсу, роли.
Контроль и система оповещений о нарушениях:
Системы защиты от утечек данных, системы предотвращения вторжений, системы идентификации подписи, отслеживание активности базы данных.
Можете ли Вы при необходимости провести аудиторскую проверку или расследование?
Каким образом можно проверить принадлежность кому-либо прав доступа к какой-либо информации? А также выяснить, кто совершал те или иные действия?
Как при необходимости провести электронное расследование?
Как провести криминалистическое расследование?
Защита конфиденциальности данных:
Имеете ли Вы возможность управлять шифровальными ключами?
Проверка целостности данных:
Удаляются ли данные с устройств на время их хранения или ремонта, или при списании?
Осуществляется ли резервное копирование данных? И каким образом: в сети либо вне сети?

Если они это не встраивают, Вы не сможете этим пользоваться.

Слайд 12

Результаты исследования: какие применялись методы оценки рисков использования «ПО как услуги»

(n=289,

Результаты исследования: какие применялись методы оценки рисков использования «ПО как услуги» (n=289,
исследования проводилось Дек 10-Янв 11)

Клиенты и поставщики в равной степени выражают все больше недовольства методом оценки на базе стандартной анкеты.
Проведение оценки на базе анкеты
Проведение оценки на базе стандартной анкеты
Оценка информации, предоставляемой по усмотрению поставщика
Оценка на месте нашими сотрудниками
Проведение формальной оценки с привлечением третьей стороны (на базе SAS70, ISO/IEC 27001, Systrust и т.д.)
Отказ от пользования услугой из-за конфиденциальности данных и процессов
Привлечение третьей стороны – провайдера услуг безопасности с целью проведения соответствующих проверок на месте
Другое
Оценка на проводилась
Неприменимо к данному случаю

Слайд 13

Неприкосновенность частных данных и облачная среда

n=143

При оценке услуг облачных вычислений опиралась ли

Неприкосновенность частных данных и облачная среда n=143 При оценке услуг облачных вычислений
Ваша компания на нормы соблюдения неприкосновенности частных данных в качестве критериев отбора?

Не проводили оценку услуг облачных вычислений

Да

Нет

Слайд 14

Оценка рисков с учетом эксплуатационных условий

Форма выражения

Достаточно ли вендор продемонстрировал зрелость на

Оценка рисков с учетом эксплуатационных условий Форма выражения Достаточно ли вендор продемонстрировал
всех трех фазах?

Слайд 15

Можем ли мы использовать те же методы оценки рисков, что зарекомендовали себя

Можем ли мы использовать те же методы оценки рисков, что зарекомендовали себя
на протяжении последних 20 лет?

Адекватно ли оценивается проектное решение?
Где свидетельства полноценной и объективной оценки, проведенной опытными архитекторами систем информационной безопасности?
Отвечает ли набор функций всем требованиям, связанным с контролем рисков?
Надежен ли код?
Какие языки программирования и среды использовались?
Проводилось ли статическое и динамическое тестирование?
Как проводилась проверка кода?
Оценка надежности процессов должна стать последним этапом.
Легко применимо в случае с хорошо известными моделями и технологиями.
Вы просто не знаете о том, что что-то не знаете о новых ситуациях
Стандартные подходы (27002, BITS, и т.д.) имеют ограничения.
Метод, использующий стандартный вопросник, не может адекватно оценить все факторы риска.
Если нам нужен метод, это еще не означает, что сгодится то, что есть.
Количественный анализ ничего не докажет.

Слайд 16

Опорная схема для оценки облачной среды: особое внимание обратите на критичные для

Опорная схема для оценки облачной среды: особое внимание обратите на критичные для
Вашего бизнеса ситуации

Уязвимость данных/процессов

Бизнес ценность

Низкая

Высокая

Порядок проведения оценки
Проверка услуги на соответствие установленным стандартам
Проверка документации
Оценка рисков
Посещение предприятия поставщика

Порядок введения ограничений на использование услуги
Внедрение на предприятии соответствующей политики
Использование модуля доступа в сети (web proxy)
Технологии предотвращения утечек конфиденциальной информации (DLP)

Слайд 17

Рекомендации: разработайте стратегию безопасного использования услуг, предоставляемых внешними поставщиками

Определите подходящие Вам сценарии

Рекомендации: разработайте стратегию безопасного использования услуг, предоставляемых внешними поставщиками Определите подходящие Вам
пользования услугой для разных методов предоставления услуги, также оцените уровень риска и сопоставьте вероятность рисков с целями Вашей компании:
Вам необходимо понять, как получить максимальную выгоду от использования внешних ресурсов и облачных вычислений?
Разработайте компетентные методы составления контрактов и проведения оценки:
В том числе и на основании таких критериев как безопасность, соблюдение необходимых норм и обеспечение непрерывности бизнес-процессов.
Отберите и апробируйте решения, и перед запуском в эксплуатацию установите необходимые системы контроля.
Используйте возможности использования услуги и работу специалистов по безопасности, чтобы полезность услуги для бизнеса стала очевидной.
Рассмотрите возможность использования методологии оценки рисков Gartner.
Имя файла: Garter-Briefing-2011:-Cloud-ComputingПО-как-услуга-и-облачные-вычисления:-управление-рисками.pptx
Количество просмотров: 112
Количество скачиваний: 0