Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Тенденции и перспективы использования облачных технологий в справочно-правовых системах с позиции обеспечения информационной безопасности Образовательные проекты по ИТ безопасности - Тенденции и вопросы

Цель работы Анализ облачных технологий с точки зрения безопасности передаваемых данных и работы пользователей в справочно-правовых информационных системах. Рассмотрение современных методов обеспечения безопасности в этих системах.

| 5-7 марта, 2012 PAGE 3 | "IT Security for the Next Generation", Тур Россия и СНГ Решаемые задачи Анализ использования облачных технологий для абстрактной модели справочно-правовой системы. Исследование статистических прогнозов о возможных угрозах в области информационных баз в связи с внедрением облачных технологий. Изучение вопроса достаточности существующих стандартов в области безопасности для облачных вычислений. Определение основных проблем безопасности и методов их решения для абстрактной модели справочно-правовой системы. Определение основных направлений развития методов обеспечения безопасности в облачных технологиях на основе материалов последних конференций в России и за рубежом. Анализ использования облачных технологий для абстрактной модели справочно-правовой системы. Исследование статистических прогнозов о возможных угрозах в области информационных баз в связи с внедрением облачных технологий. Изучение вопроса достаточности существующих стандартов в области безопасности для облачных вычислений. Определение основных проблем безопасности и методов их решения для абстрактной модели справочно-правовой системы. Определение основных направлений развития методов обеспечения безопасности в облачных технологиях на основе материалов последних конференций в России и за рубежом.

| 5-7 марта, 2012 PAGE 4 | "IT Security for the Next Generation", Тур Россия и СНГ Требования к справочно-правовым системам Объём информационной базы Степень аутентичности документов оригиналу Скорость поиска документов по базе Актуальность информации Безопасность информации Юридическая обработка документов Возможность удалённого доступа Формирование пользовательской базы

| 5-7 марта, 2012 PAGE 5 | "IT Security for the Next Generation", Тур Россия и СНГ Схема предоставления услуг SaaS

| 5-7 марта, 2012 PAGE 6 | "IT Security for the Next Generation", Тур Россия и СНГ Исследование компании Ernst & Young Уязвимости в области информационной безопасности Несовершенство законодательства Недостаточная зрелось бизнес- процессов IT провайдеров Ограниченность инструментов разработки и интеграции Возрастание внешних угроз Возрастание внутренних угроз Уменьшение внутренних угроз Уменьшение внешних угроз

| 5-7 марта, 2012 PAGE 7 | "IT Security for the Next Generation", Тур Россия и СНГ Стандарты безопасности SAS70 и ISO/IEC 27001:2005 – международные стандарты серии «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» IEEE P2301(tm) IEEE P2302(tm) Профили стандартов приложений в области приложений, файловых форматов, переносимости, управления и интерфейсов обеспечения интероперабельности Описание базовой топологии, протоколов, функциональности и методов управления, необходимых для взаимодействия различных облачных структур

| 5-7 марта, 2012 PAGE 8 | "IT Security for the Next Generation", Тур Россия и СНГ Основные проблемы безопасности и предлагаемые методы решения Потеря связи с провайдером Потеря связи с провайдером Перехват информации при передаче Утрата соответствия требованиям Потеря контроля над данными и инфраструктурой Утечка информации Взлом интерфейсов управления DDOS Деятельность пользователей облака

| 5-7 марта, 2012 PAGE 9 | "IT Security for the Next Generation", Тур Россия и СНГ Основные проблемы безопасности и предлагаемые методы решения Потеря связи с провайдером Потеря связи с провайдером Утрата соответствия требованиям Потеря контроля над данными и инфраструктурой DDOS Тщательный выбор провайдеров Создание резервных способов передачи данных Мониторинг уровня сервисов и инцидентов Консультации с аудиторами QSA

| 5-7 марта, 2012 PAGE 10 | "IT Security for the Next Generation", Тур Россия и СНГ Основные проблемы безопасности и предлагаемые методы решения Шифрование и обезличивание данных Уникальные ключи идентификации пользователей Двухфакторная аутентификация Введение семафоров и блокираторов Консолидация файловых серверов Перехват информации при передаче Утечка информации Взлом интерфейсов управления Деятельность пользователей облака

| 5-7 марта, 2012 PAGE 11 | "IT Security for the Next Generation", Тур Россия и СНГ Заключение Основные особенности текущего периода в развитии облачных технологий Что существует сегодняЧто необходимо Недоверие облачным технологиям со стороны тех, для кого конфиденциальность информации приоритетна Отделение средств управления облачной системой от хранимых в ней данных. Обеспечение конфиденциальности данных Наличие программно-технических средств для решения задач, связанных с безопасностью информации в облаке Осуществление перехода к сертифицированным технологиям защиты информации Слабое развитие стандартов и недостаточное обеспечение защиты прав интеллектуальной собственности Необходимость большой работы в правовом поле Для частных облаков пригодны многие традиционные подходы к информационной безопасности Появление потребности в разработке методологии оценки безопасности публичных облаков

Thank You Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 Топчий Андрей, Южно-Уральский государственный университет IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э. Баумана 5-7 марта, 2012 СПАСИБО ЗА ВНИМАНИЕ!