Инженерная инфраструктура центров обработки данных (ЦОД)

Хотя за последние несколько лет «облачные» сервисы приобрели огромную популярность у предприятий за свои многочисленные выгоды, они не лишены рисков в таких областях как безопасность, конфиденциальность данных и доступность данных. Стало очевидно, что необходимо единое мнение о методах оценки рисков облачных вычислений, но этого трудно добиться, поскольку в отрасли отсутствует единая, стандартная, структурированная платформа, которая могла бы помочь предприятиям в оценке и снижении рисков «облачных» вычислений.

     Сегодня целый ряд организаций старается решить эту проблему, и, возможно, наиболее успешно это делает организация CSA (Cloud Security Alliance), которая считает своей миссией продвигать использование передовых технологий обеспечения безопасности в облаке, предлагая множество проектов оценки и сертификации «облака» в отношении контрольных директив, которые CSA считает важными для обеспечения безопасности и соответствия «облака».

     Европейское агентство по сетевой и информационной безопасности (ENISA) разработало модель обеспечения доступности, целостности и безопасности информации (IAF), основанную на широких классах директив из стандарта ISO/IEC 271101/2 и стандарта BS 2599. За последние несколько лет эти и другие группы создали большое количество документов, содержащих информацию по обнаружению рисков, специальных руководств и контрольных вопросников, с которыми необходимо консультироваться при оценке рисков облачных вычислений. Тем не менее, большинство этих документов по оценке облачных рисков дают подробное описание проблем безопасности и вероятных рисков, но не предлагают детальной, всесторонней модели оценки, которую могут использовать организации.

     Длинный и скучный перечень серьезных отключений и нарушений системы безопасности только еще больше запутывает организации, когда они пытаются коррелировать свои текущие внутренние системы управления и предлагаемые облачные системы управления с упоминаемыми в прессе случаями. В этой статье рассматриваются методы выбора, разработки и начала реализации основанной на стандартах платформы для оценки рисков облачных вычислений.

Метод оценки «облачных» рисков безопасности

В качестве отправной точки для проведения оценки 'облачной' среды на основе рисков следует использовать доступные предприятиям общие модели управления рисками типа интегрированной модели управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея (COSO). Есть также специфические для конкретной области платформы, методы и модели, например, стандарт ISO 27001. Основанная на управлении ИТ-рисками платформа COBIT от ISACA может заполнить пробел между платформами управления рисками общего пользования и специфическими платформами, основанными на допущениях, что ИТ-риск не является сугубо технической проблемой.

     Однако для решения специфических для данной организации проблем безопасности 'облачных' вычислений необходимо разработать цельную платформу управления облачными рисками безопасности с помощью использования одной или более отраслевых рекомендаций. Например, у организации CSA есть опросник оценки состояния безопасности облачной среды, а также «облачная» матрица управления (CCM). Аналогично этому, ENISA предлагает важное основание для обеспечения эффективной интеграции со сторонними сертификациями и аттестациями, например, ISO 27001/27002, PCI DSS, SOX и SAS 70.

Понимание безопасности в контексте данного бизнеса

В то время как множество провайдеров «облачных» сервисов предлагают возможности обеспечения безопасности корпоративного класса или выше, риски тоже растут. Киберпреступники все чаще делают своей мишенью растущую концентрацию, недостаточную защищенность и ценность облачных ресурсов, и нормативы соответствия постоянно ужесточаются. С учетом этого, ниже описаны четыре основных этапа использования той или иной платформы для определения и оценки 'облачных' рисков на основе текущего положения вещей.

     Моделирование профиля рисков – Модели рисков определяют основные термины, используемые в оценке облачных рисков, включая факторы оцениваемых рисков и взаимосвязь этих факторов. Организациям необходимо выразить эти определения в письменной форме, прежде чем проводить оценки рисков, поскольку эти оценки должны быть основаны на хорошо определенных атрибутах угроз, уязвимостях и других факторах рисков для эффективного определения риска. Во время планирования и проведения оценки влияния на бизнес, необходимо смоделировать каждое приложение или бизнес-процесс в данной облачной среде. И здесь необходимо задать два

     Выбор критериев оценки – Критерии для облачных сервисов должны выбираться на основе профиля рисков организации с целью идентификации критических ресурсов и последующего анализа потенциальных уязвимостей и угроз этим ресурсам. Для оценки рисков безопасности можно использовать структурированный подход, используя для этого избранные отраслевые стандарты или рекомендации — ISO 2700x, COBIT, NIST 800-53, и PCI DSS Cloud Computing Guidelines, которые применимы к уязвимым местам конкретной облачной среды. Организациям, которые обязаны иметь более одного нормативного требования соответствия, имеет смысл приспосабливать указания каждого нормативного стандарта или рекомендации к организации в соответствующих случаях, а затем разрабатывать специфическую комбинированную платформу для оценки желательных наборов контрольных функций с целью выполнения требований соответствия, которым подлежит данная организация.

     Выполнение периодических оценок и непрерывного мониторинга – Важно, чтобы организации на постоянной основе выполняли контроль факторы рисков, идентифицированные во время оценок рисков, и понимали последующие изменения этих факторов. Они также должны обновлять основные компоненты оценок рисков, в результате периодических проверок. Организации могут уменьшать усилия и затраты на оценки и мониторинг путем привлечения сторонних организаций, в случае если это является возможным.

     Пересмотр и обновление платформы – Организациям необходимо пересматривать и обновлять свои критерии оценки в случае появления новых случаев использования, компенсирующих средств или рисков. Будет необходимо периодически выполнять повторное моделирование и оценку рисков, для того чтобы знать, не требуются ли другие схемы использования облака. Очень важно обновлять критерии оценки при появлении новых или обновленных стандартов безопасности облачных вычислений, руководств, платформ оценки соответствия или требований.

Заключение

Облачные вычисления остаются развивающейся областью, сильные и слабые стороны которой еще не полностью изучены, подтверждены документально или испытаны. Организации должны начинать процесс работы с платформой оценки рисков, используя описанных выше рекомендаций. Кроме того, идентифицированные средства управления должны регулярно оцениваться, тестироваться и подтверждаться в 'облачной' среде, тем самым облегчая выполнение любых применимых требований соответствия.