ОЦЕНКА БЕЗОПАСНОСТИ ИС ОРГАНИЗАЦИЙ ПРИ РАБОТЕ С «ОБЛАЧНЫМИ» ПРОДУКТАМИ

Информация – основной ресурс для любой организации. От ее сохранности и доступности напрямую зависит успешное ведение деятельности. Положительное или отрицательное влияние информации определяется тем, в чьих руках она находится, поэтому зачастую она становится объектом посягательств конкурентов, хулиганов и недоброжелателей.

Когда-то информационные системы организаций были представлены лишь огромными архивами физически реальных документов. Безопасность таких информационных систем обеспечивалась за счет ограничения доступа к месту хранения важной информации. С появлением информационных технологий многое изменилось, появились новые способы ограничения доступа к информации, упростился и ускорился способ ее обработки и передачи. Однако проблема осталась прежней – информация все еще осталась подвержена различного рода угрозам. Причем угроз стало больше – к пожарам и прочим чрезвычайным ситуациям добавился выход из строя оборудования, сбои в сети, а к проникновению в места хранения информации добавились сетевые атаки через Интернет и перехват электронной почты.

Каждая угроза информационной безопасности неизменно несет за собой определенную вероятность возникновения ущерба (финансового, материального, репутационного), который понесет организация в случае их реального осуществления. Вероятность возникновения ущерба в свою очередь зависит от степени защищенности информации – от количества и качества применяемых мер защиты.

В любой организации огромное внимание уделяют важной для ведения ее деятельности информации. В работу организаций внедряются различные автоматизированные информационные системы, доступ к информации в которых ограничен на уровне программного кода. Повсеместно применяются антивирусные программы и комплексы программ, защищающие каждое рабочее место и локальную сеть в целом от вирусов, попадающих как через Интернет, так и приносимых из дома самими сотрудниками. Используются защищенные интернет–соединения, межсетевые экраны.

Однако чем дальше развиваются современные технологии, тем все больше становится необходимым всесторонне защищать информацию.

За  последние  несколько  лет  концепция  облачных  вычислений  и  виртуализации набрала силу и стала популярной в сфере информационных технологий. Интерес к этой концепции обусловлен следующими преимуществами, присущими ей:

• уменьшение стоимости поддержки и обслуживания серверов;
• большая безопасность данных;
• гибкость в подходе к пользователям и непрерывность бизнеса и т. д.

Считается, что применение облачных технологий позволит бизнесу экономить средства на программном обеспечении, аппаратной части и на электропотреблении. Сэкономленные же средства, которых будет много, так как это довольно затратная часть любой организации (порой сопоставимые с бюджетами отдела маркетинга и рекламы), можно потратить на дальнейшее развитие бизнеса.

Тем не менее, иногда аналитиками приводятся примеры, в которых общая совокупная стоимость владения «облачным» решением может быть на порядок дороже, чем при отказе от использования данной технологии, поэтому необходимо проводить тщательную оценку эффективности использования «облачных» технологий в каждом отдельном случае и анализировать все возможные варианты по ее обеспечению.

Также существует ряд вопросов связанных с безопасностью использования этой технологии, многие компании до сих пор ей не доверяют, предпочитая держать все при себе, в любой момент, имея возможность совершить с имеющейся информацией любые действия.

Поэтому, на наш взгляд, необходимо как можно глубже разобраться во всех вопросах касающихся безопасности использования «облачных» технологий в организациях и разработать некоторые рекомендации касаемо применения данной технологии с точки зрения информационной безопасности.

Именно этим и обуславливается актуальность рассмотрения выбранной темы: «Оценка безопасности ИС организаций при работе с «облачными» продуктами».

Объект исследования - облачные технологии.

Предмет исследования – оценка информационной безопасности организаций, использующих «облачные» технологии.

Целью данной работы является анализ «облачных» технологий, как с современного средства виртуализации бизнеса, оценка их влияния на информационную безопасность организаций, а также предоставление информации, позволяющей принять решение о необходимости использования облачных технологии в организациях.

В результате проведенного исследования мы выполнили следующие задачи:

1) Проанализировали основные характеристики, модели обслуживания и виды «облачных» технологий и их влияние на деятельность организаций.

Основные характеристики «облаков»:

• самообслуживание по требованию;
• универсальный доступ по сети;
• объединение ресурсов;
• эластичность;
• учёт потребления ресурсов и мощностей.

Положительное влияние:

• доступность;
• низкая стоимость (плата за фактическое использование);
• гибкость (неограниченность используемых ресурсов);
• надежность (резервные источники питания, резервные копии, устойчивость к атакам);
• безопасность (при должном обеспечении);
• большие вычислительные мощности.

Отрицательное влияние:

• постоянное соединение с сетью;
• программное обеспечение и его кастомизация (ограничения на используемое в «облаке» ПО);
• конфиденциальность;
• надежность (потеря информации без возможности восстановить);
• безопасность (вирусы, возможность проникновения);
• дороговизна оборудования (при строительстве собственного).

2) Изучили понятие «информационная безопасность», угрозы информационной безопасности и выделили требования к обеспечению информационной безопасности в организации.

Основные задачи информационной безопасности:

• обеспечение целостности;
• обеспечение доступности;
• обеспечение конфиденциальности.

Требования к обеспечению информационной безопасности в организации:

• регулярное проведение оценки рисков и угроз безопасности информационной системы;
• ограничение в использования и установке ПО;
• регулярный мониторинг регуляторов безопасности, применяемых в ИС;
• обеспечение надежности должностных лиц;
• применение санкций к нарушителям безопасности;
• информирование о рисках сотрудников;
• обучение сотрудников;
• отслеживание и документирование инцидентов;
• создание соответствующей структуры для реагирования на инциденты;
• управление доступом к ИС;
• обеспечивать необходимые условия для функционирования ИС;
• защита ИС от вредоносных программ;
• отслеживать сигналы о нарушениях ИБ и пр.

3) Провели оценку безопасности организации при работе с «облачными» продуктами.

Среди основных причин возникновения проблем безопасности в облаках можно выделить следующие:

• понятие периметра безопасности размывается при переходе к облачной инфраструктуре;
• смещение фокуса с обеспечения безопасности к обеспечению доверия;
• совместное использование ресурсов разными потребителями;
• при использовании сервисов облачных вычислений потребитель попадает в существенную зависимость от провайдера.

Выделяют следующие основные риски применения “облачных” технологий в работе организации:

• потеря контроля над данными;
• соответствие требованиям;
• восстановление данных;
• расследование инцидентов;
• вредоносные инсайдеры;
• использование старых технологий;
• утечки и потери данных;
• непрерывность и устойчивость бизнеса;
• безопасность инфраструктуры облака;
• качество коммуникаций.

Прежде, чем доверять третьей стороне конфиденциальную информацию, необходимо ознакомиться со всеми доступными материалами касаемо уровня обеспечения безопасности того или иного провайдера облачной услуги.

Поставщик “облачных” сервисов обязан обеспечить комплексную защиту предоставляемой инфраструктуры.

Требования для обеспечения минимальной безопасности “облаков”:

• физическая защита – защита дата-центров (охрана на объекте, пропускной режим, поддержание требуемых условий эксплуатации оборудования, бесперебойное питание, круглосуточное обслуживание);
• физическое разделение ресурсов – обработка критически важных данных отдельно от общей инфраструктуры, не нуждающейся в усиленной защите;
• антивирусная защита.
• безопасность системы – наличие брандмауэров для виртуальных машин и для ОС;
• защита от уязвимостей – готовность к атакам на распространенные уязвимости;
• безопасность данных – контроль доступа к данным;
• аутентификация – использование логина пароля, шифрование процесса аутентификации. Необходимо разделение пользователей по ролям – авторизация;
• контроль изменений – обе стороны должны быть в курсе изменений в системе;
• шифрование – шифрование данных в облаке;
• соответствие ФЗ-152 – обработка и хранение должны соответствовать закону.

Самое уязвимое звено в этой цепочке  −  это конечные пользователи услуг. Если данные авторизации пользователя будут скомпрометированы, то даже самая мощная защита будет бесполезна.

По результатам проведенного исследования можно сделать вывод о том, что нет единого мнения по поводу безопасности использования облачных продуктов. На настоящий момент времени люди делятся на два «лагеря» – те, кто за, и те, кто категорически против. А единственным доказательством безопасности данной технологии является тот факт, что пока что не произошло ничего более-менее серьезного, что могло бы этому противоречить.

Также присутствует недоверие к самим провайдерам. Многие уверены, что они распоряжаются, попавшей в облачное хранилище конфиденциальной информацией (в том числе персональными данными) по своему усмотрению («слежка»).

При внедрении облаков в деятельность организаций используются обобщенные стандарты,  нормативные акты и законы, регламентирующие обеспечение информационной безопасности в целом. Однако, с учетом специфичности технологии и сложности ее реализации требуются стандарты узконаправленного характера, подробно рассматривающие методы и способы обеспечения информационной безопасности при работе с облачными продуктами.

Сейчас ведется разработка таких документов, как в России, так и за рубежом. С их появлением, на наш взгляд, у потребителей появится больше понимания технологии и того как с ней необходимо работать. Появятся определенные требования и ограничения, предъявляемые к провайдерам и разработчикам ПО, направленные на улучшение качества предоставления сервиса. Из чего вполне логично предположить, что это значительно повысит и уровень безопасности сервиса, и уровень доверия потребителей.

Библиографический список

1. Андрианов, В.В. Обеспечение информационной безопасности бизнеса/ под ред. А. Курило. – 2-е изд., испр. и доп. – М.: Альпина Паблишер, 2011, 392 с.
2. Основы ИБ. Учебное пособие для вузов/ Е. Б. Белов, В. Лось, Р. В. Мещеряков, Д. А. Шелупанов. – М.: Горячая линия – Телеком, 2006. – 544 с.: ил.
3. Информационная безопасность государственных организаций и коммерческих фирм. Монография/ под ред. Реймана Л. Д. – М., 2002.
4. Удо Шнайдер, Безопасность при использовании облачных сервисов. Журнал сетевых решений LAN, №4, 2013