«Безопасность облаков - опыт оператора связи»
description
Transcript of «Безопасность облаков - опыт оператора связи»
2
Создана фокус группы по облачным вычислениям МСЭ-Т
3
Типы
Desktop as a service (DaaS), Cloud communication centre, Service delivery platform as a service (SDPaaS)
4
Модели
5
Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1
Приложение III Детали SLA для облачных вычислений
6
Жизненный цикл управления SLA для облачных вычислений
«Мобильное облако»
7
Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1
Так что там ?
№ Направление описания безопасности в SLA
Описание
1 Соответствие поставщика услуги стандарту ИБ
Имеет или не имеет поставщик услуг сертификат по системе управления информационной безопасностью, типа “ ISMS Certification Standards (Ver.2.0) ISO27001”
2 Существует ли одобренная модель угроз и модель действия нарушителей
Есть ли одобренные процедуры нивелирования (до приемлемого уровня) риска ИБ при реализации описанных угроз
3 Наличие процедур контроля ИБ
Есть или нет система контроля инсталляции\обновления программного обеспечения снижающая риски заражения и утечки чувствительной информации
8
Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1
Так что там ?
№ Направление описания безопасности в SLA
Описание
4 Наличие защиты при передачи данных между элементами облачной архитектуры
Обеспечивается или нет защита (шифрование) при обмене данными между элементами облака или между облаками
5 Данные о местоположении Данные хранятся на собственных площадках и\или на территории России
6 Статус контроля файлов журналов
Каким образом журналы проверяются на возможные воздействия злонамеренного кода, НСД и какие процедуры работают при обнаружении нарушения режима информационной безопасности.
9
Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1
Так что там ?
№ Направление описания безопасности в SLA
Описание
7 Время хранения файлов журнала
Описание периода времени хранения и регламент работы в данный период, для подтверждения\расследования фактов нарушения Политики ИБ
8 Статус управления контролями для блокировки злонамеренных действий нарушителя
Описанные и утвержденные действенные контроли по снижению уровня риска нарушения Политики ИБ
9 Статус защиты от DoS\DDoS Наличие эффективной защиты от атак типа DoS\DDoS с привлечением провайдера услуг связи.
10 Статус защиты от внедрения злонамеренного кода
Наличие обновляемой системы обнаружения и блокирования злонамеренного кода с записью в файлы журналирования
10
Безопасность и управление ресурсами
Требования безопасности для облачных ресурсов включают –
аутентификацию пользователей, управление идентификацией и доступом, защиту хранимых и передаваемых данных, градуированную изоляция ресурсов, мониторинг и аудит для анализа соответствия SLA, реагирования на инциденты, обеспечение конфиденциальности клиента, и полная переносимость и совместимость компонентов системы обеспечения безопасности.
Описанные элементы:1.Криптография.
2.Управление идентификацией.
3.Аудит всех ресурсов.
11
Что имеем ? Часть 5
12
Что имеем ? Часть 5
Ответ на вопрос - готовы мы к сервису защиты от оператора связи. Кто такой MSSP ?
Пример
15
WWW.SAFETY.MTS.RU