5/17/2011 1

Afenida Sec ITОблачная безопасность

Оя ДенисГлава IT подразделения

Декабрь 2010 - исследование Microsoft + Edge Strategies:

-Основной тренд в SMB секторе в ближайшие 3 года;

-39% компаний будут использовать SaaS в течение 3-х лет;

-Объем рынка облачных сервисов США для SMB ~ 21 млрд .$;

- Одна из трех SMB организаций уже использует SaaS решения;

-Доля SaaS в сегменте достигла 42;%

Уже разработаны методики оценки готовности организации ко внедрению облачных технологий.

Представленный подход основан на передовых разработках проведенных ENISA, NIST, CSA в соответствии с ведущими международными стандартами (ISO 27001/2) и лучшими практиками.

Оценка производится по 12 областям, разделенным на 3 категории:

Корпоративная безопасность

Процессы и технологии

Соответствие

Предисловие

April 11, 2023

Перенос данных и услуг в облачную среду - это серьезное решение для любой организации.

Оно подразумевает значительные изменения в подходах организации к заботе об информационной безопасности.

12 областей готовности

Мобильность ЖЦ данных

Управление Непрерывн.

Бизнеса(BCM/DR )

Управление Инцидентами

Корпорат. БезопасностьСоответствие

Соответствие Стандартам

Правовые нормы

(Законность)

Идентификация и доступ

Процессы и Технологии

Шифрование

Инфра-структураПриложения

Физическая безопасность

Корпоративная Безопасность

Процессы и Технологии

Соответствие

1

2

3

April 11, 2023

Стратегия Корп. Безопасности

• Готовность организации оценивать риски и управлять корпоративными рисками возникающими при переходе на облачные технологии

Управление

• Готовность существующей внутренней политики и процедур для работы в облачной среде.

Непрерывность бизнеса и восстановление после сбоев

• Готовность организации для управления данными на протяжении всего жизненного цикла (создание, хранение, использование, обмен, архив, уничтожение) в облачной среде.

Управление жизненным циклом данных

• Готовность организации адаптировать внутренние процессы к смене реагирования на инциденты / запросы при работе внутри облака.

Управление Инцидентами

• Оценка готовности организации к переносу данных и услуг в облачную среду и от одного провайдера к другому.

Мобильность Данных

1

April 11, 2023

Процессы и технологии

• Оценка готовности средств шифрования и процессов управления ключами шифрования безопасно передавать и получать данные из облачной среды.

Шифрование

• Оценка готовности организации для защиты ресурсов, взаимодействующих с облачной средой.

Физическая безопасность

• Оценка готовности внутренней инфраструктуры безопасности (FWS , IPD) для работы в облачной модели.

Инфраструктура безопасности

• Оценка безопасности приложений, которые будут развернуты на облаке с точки зрения дизайна и надежности для работы в облачной/Интернет-среде.

Безопасность приложений

• Оценка готовности организации к осуществлению управления идентификацией и доступом (IAM) в облачной среде и защищенности от возможных источников угрозы.

Идентификация и Управление доступом

2

April 11, 2023

Соответствие

• Готовность обеспечивать соответствие и требования аудита при работе в облачной среде

Соответствие и Аудит

• Готовность разрешать и реагировать на правовые и договорные последствия при работе в облачной среде.

Правовые нормы

3

April 11, 2023

Области контроля:Стратегия корп. безопасности

Управление

Определение и внедрение соответствующих организационных структур, процессов, и контроля.

Создание совместных структур управления и процессов с облаком поставщика.

Создание метрики и стандартов для измерения производительности и эффективности управления информационной безопасностью.

BCM/DR

Обновление внутренней политики и процедур в соответствии с моделью облачной доставки.

Исследование возможностей и процедур поставщиковДизайн и испытания процесса восстановления данных.

Понимание воздействия времени восстановления

ЖЦ Данных

Оценка воздействия на организационное управление данными в ходе их жизненного цикла.

Понимание сложностей, связанных с общими арендой, резервированием и доступом к данным.

Оценка способности обеспечивать соблюдение правил и внутренней политики.

Управление Инцидентами

Оценка воздействия на существующий процесс управления инцидентами и способности поддерживать адекватный уровень обнаружения инцидентов, оповещений и реабилитации.

Понимание готовности внутренних процессов к управлению на уровне пользователей, решению инцидентов и

форензику .

Мобильность данных

Оценка способности переноса данных для первоначальной миграции в облака и от одного поставщика услуг к другому.

Отсутствие препятствий со стороны облачного сервиса для перемещения данных или услуг.

April 11, 2023

Области контроля:Процессы и технологии

Шифрование

Необходимо определить соответствующие решения шифрования для передачи данных.

Соответствующее управление ключами является жизненно важным, чтобы избежать раскрытия ключей, повреждения данных и несанкционированного использования для проверки подлинности.

Физическая безопасность

Должны оценить способность обезопасить ресурсы, взаимодействующие с облаком.

Вредоносное использование ресурсов облака клиента может вызвать серьезные потери.

Безопасность инфраструктуры

Оценка готовности внутренней инфраструктуры безопасности (FWS, ITD) для работы в облачной модели.

Безопасность приложений

В зависимости от модели доставки, поставщик может не нести ответственности за приложения.Приложения, развернутые на облаке, должны быть разработаны для модели угроз Интернета.Приложения должны быть экранированы от вредоносных программ и хакеров, и проверяться на наличие уязвимостей, которые позволяют несанкционированный доступа к данным.

Идентификация и управление доступом

Оценка готовности для проведения облачных управления идентификацией и доступом (IAM)Облачные вычисления, имея распределенную архитектуру, передают больше данных по сравнению с обычными системами.

Сниффинг, спуфинг, социальная инженерия, сторонние каналы и «шарманка» являются потенциальными угрозами.

April 11, 2023

Области контроля:Соответствие

Соответствие и аудит

Некоторые организации уже вложили значительные средства в обеспечение сертификации (PCI, ISO).Эти инвестиции могут быть в опасности, если облако Поставщик не соответствуют требованиям, или не разрешает аудит.

Необходимо понять, какие услуги могут быть перенесены в облака при сохранении соответствия.

Правовые вопросы

Готовность для управления и реагирования на правовые и договорные последствия при работе в облачной среде.

Влияние различий в законодательстве, при работе в разных странах.

Способность поддерживать желаемый уровень безопасности путем заключения договорных SLA.

Требования по соблюдению правил и законов о защите данных.

April 11, 2023

Оценка готовности

Существующие методики позволяют оценить уровень готовности организации к переходу на облачные технологии.

При этом учитываются допустимые уровни принятия рисков.

Уровень допустимого риска является производной от вероятности и воздействия потенциальных уязвимостей. Это зависит от ряда факторов:

Выбранной модели разворачивания облака (Общественное, Частное, Гибридное, Сообщество)

Сервисной модели (SaaS, PaaS, IaaS)

Ценности активов (важность данных/сервисов переносимых в облако)

Отраслевые/географические соображения (правила, соответствие, нормы)

April 11, 2023

Методология

Текущий Уровень Готовности

Требуемый Уровень

ГотовностиДефицит Готовности

Рассчитывается по 12 областям

Производные от вероятности и

воздействия каждой уязвимости определяют Допустимый

Уровень Принятия Риска

Текущий Уровень Готовности Баллы готовности

Очень высокая готовность 10Высокая готовность 8Средняя готовность 6Низкая готовность 4

Очень низкая готовность 2Требуемый

уровень готовности

Допустимый Уровень Принятия Риска

2 Очень высокая допустимость

4 Высокая допустимость

6 Средняя допустимость

8 Низкая допустимость

10 Очень низкая допустимость

Уровень ГотовностиНеобходимо

оценить баллы готовности для каждой из 12

областей, вместе с детальной

оценкой готовности и

выработать пути снижения рисков.

April 11, 2023

Пример: Управление

Область Управление

Требуемый уровень Средний уровень готовности

Потенциальные риски • Отсутствие готовности организации к оценке и управлению корпоративными при переходе к облачным технологиям.

Рычаги воздействия • Разработка процессы управления информационной безопасностью.• Создание масштабируемой, повторяемой, измеримой, устойчивой,

защищенной, постоянно улучающейся, экономически эффективной СУИБ. • Выявление и внедрение надлежащих организационных структур,

процессов и средств контроля для обеспечения эффективного управления информационной безопасностью и управления рисками.

• Создание совместной структуры управления и процессов с поставщиком облачных сервисов.

• Оценка договорных обязательств и подключение отдела ИБ при согласовании SLA.

• Создание метрики и стандарты для измерения результативности и эффективности управления информационной безопасностью (документирование текущих метрик и их изменений).

• Передача управления рисками на аутсогсинг.

Текущий уровень Очень низкий уровень готовности

April 11, 2023

Пример: Безопасность ПО

Область Безопасность приложений

Требуемый уровень Высокий уровень готовности

Потенциальные риски • Облачные/интернет-среды создают новые угрозы для ПО. • В зависимости от модели доставки, поставщик может не нести

ответственности за эксплуатацию и управление приложениями.

Рычаги воздействия • Внедрение лучших практик Контрольных списков для безопасной разработки и управления приложениями.

• Облачные приложения должны быть разработаны с учетом модели Интернет-угроз, включая защиту от наиболее распространенных Web уязвимостей (OWASP десятка).

• Приложения должны быть обновлены до последних версий с помощью эффективной стратегии управления обновлениями

• Приложения должны быть скрыты от вредоносных программ и хакеров и проверяться на наличие уязвимостей, которые дают несанкционированный доступ к данным внутри облака.

• Следует избегать произвольного применения стандартных практик аутентификации, авторизации и учета.

Текущий уровень Средний уровень готовности

April 11, 2023

Оценка готовностиPortability of Data & Services

Data Encryption readiness

Infrastructure readiness

Physical Security readiness

Application Security

Impact on Compliance & Auditing requirements

Legal implications

Identity and Access Management

Data Lifecycle Management

Governance

Business Continuity/Disaster Recovery

Incident Management

0

5

10

Current Readiness Score

Target Readiness Score

April 11, 2023

Оценка готовности

Portabilit

y of D

ata &

Servi

ces

Data En

cryption re

adiness

Infrastr

ucture

readiness

Physical

Secu

rity r

eadiness

Application Se

curit

y

Impact

on Compliance

& Auditing req

uiremen

ts

Legal

implica

tions

Identity

and Acce

ss Man

agem

ent

Data Lif

ecycle

Man

agem

ent

Govern

ance

Business

Continuity/D

isaste

r Reco

very

Inciden

t Man

agem

ent

0

2

4

6

8

10

12

Current Readiness ScoreTarget Readiness Score

April 11, 2023

April 11, 2023

Afenida SEC IT c 2009 года является официальным филиалом Comsec Consulting на территории СНГ.

Comsec Consulting - основана в 1987 году, котируется на Тель- Авивской Фондовой бирже (TASE:CMSC).

В данный момент в штате компании находятся 140 высококвалифицированных специалистов (консультантов и инженеров) в области информационных технологий и защиты информации.

Мы являемся самой большой компанией в Европе, предоставляющей комплексные консультационные услуги в сфере Информационной Безопасности.

Предоставляем услуги в сфере Информационной Безопасности, отвечающие последним мировым стандартам.

Мы осуществяем свою деятельность на международном рынке через сеть представительств в Нидерландах, Великобритании, Германии, Турции, Японии, Польше, Израиле и Украине.

О компании