Всероссийский профессиональный форум Эффективный электронный документооборот: от делопроизводства до архива Круглый стол «ОБЛАЧНЫЕ ПЕРСПЕКТИВЫ» "Информационная безопасность в «облаках»?!" Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ Председатель Совета директоров ЗАО «Лаборатория «СКАТ» декабря 2013 года Торгово-промышленная палата РФ (ул.Ильинка, 6)

Где мы? «…успеха в ближайшем десятилетии добьются только те компании, которые сумеют реорганизовать свою работу с помощью электронного инструментария… "Электронная нервная система" позволит вам вести бизнес со скоростью мысли, а это и есть ключ к успеху в двадцать первом веке.» Источник: Билл Гейтс, Бизнес со скоростью мысли, 2002

Тенденции развития ИТ-отрасли Текст Источник информации

Информация Информация: «обозначение содержания, черпаемого нами из внешнего мира в процессе приспособления к нему и приведения в соответствие с ним нашего мышления» Норберт Винер Информация - сведения (сообщения, данные), не зависимо от формы их представления N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.

Безопасность информации и информационная безопасность Безопасность информации (данных) состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность. ГОСТ Р «Защита информации. Основные термины и определения» Информационная безопасность это процесс обеспечения конфиденциальности, целостности и доступности информации. Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям. Целостность: Обеспечение достоверности и полноты информации и методов ее обработки. Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. ГОСТ Р ИСО/МЭК «Информационная технология. Практические правила управления информационной безопасностью»

Технологии облачных вычислений Облачные вычисления (cloud computing) - модель предоставления пользователям по их требованию удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях, затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком услуг. Основные характеристики On-demand self-service – Самообслуживание по мере необходимости Broad network access – Широковещательный сетевой доступ Resource pooling – Объединение ресурсов в пул Rapid elasticity – Оперативная гибкость Measured Service – Измеряемость услуги Модели обслуживания SaaS – ПОкУ – программное обеспечение PaaS – ПкУ - платформа IaaS – ИкУ - инфраструктура Модели развертывания Private Cloud – Частное (корпоративное) облако Community cloud – Коллективное облако Public Cloud – Публичное облако Hybrid Cloud – Смешанное облако

Тект Источник:2013 BSA Global Cloud Computing Scorecard Готовность к облачным технологиям (законодательная и нормативная база, 24 страны, 80% мирового рынка ИКТ)

Тект Источник:2013 BSA Global Cloud Computing Scorecard Готовность к облачным технологиям

Тект Источник:2013 BSA Global Cloud Computing Scorecard Готовность к облачным технологиям

Национальные Стратегии кибербезопасности (Европейский Союз) Austria Austrian Cyber Security Strategy (2013) Belgium To be soon published (2013) Czech Republic EUCyber Security Strategy of Czech Republic for the Period (2011) EstoniaCyber Security Strategy (2008) FinlandFinland's Cyber Security Strategy (2013) FranceInformation systems defence and security, France's strategy (2011) GermanyCyber Security Strategy for Germany (2011) HungaryNational Cyber Security Strategy (2013) Lithuania Programme for the development of electronic information security (cyber security) for (2011) LuxembourgNational strategy on cyber security (2011) - in french The Netherlands The national cyber security strategy (2013) - NEW PolandGovermental Program for Protection of Cyberspace for the years (2013) - in polish RomaniaCyber Security Strategy in Romania (2011) Slovak RepublicNational Strategy for Information security in the Slovak Republic (2008) SpainThe National Security Strategy (2013) United KingdomCyber Security Strategy of the United Kingdom (2009) Источник: CIIP/national-cyber-security-strategies-ncsss/national-cyber-security- strategies-in-the-world

Национальные Стратегии кибербезопасности (Мировая практика) AustraliaCyber Security Strategy (2011) world CanadaCanada's cyber security strategy (2010) IndiaNational Cyber Security Strategy (2013) JapanInformation Security Strategy for protecting the nation (2010) KenyaAnnounced to be published MontenegroAnnounced to be published in October 2013 New ZealandNew Zealands Cyber Security Strategy (2011) NorwayNational Strategy for Information Security (2012) - in norwegian RussiaThe Information Security Doctrine of the Russian Federation (2000) SingaporeThird national cyber security masterplan ( ) - to be published South AfricaCyber Security policy of South Africa (2010) South KoreaNational Cyber Security Strategy (2011) - not available in EN SwitzerlandNational strategy for Switzerlands's protection against cyber risks (2012) TurkeyNational Cybersecurity Strategy (2013) UgandaAnnounced to be published United States of AmericaInternational Strategy for cyberspace (2011) Источник: CIIP/national-cyber-security-strategies-ncsss/national-cyber-security- strategies-in-the-world

NSA E-Spying: Bad Governance Harvesting Millions of Contacts, Buddy Lists Источник: spying-bad-governance-a-6151

1: Разработка стандартов (желательно, международных) взаимодействия, переносимости и безопасности 2: Разработка требований обеспечения безопасности информации 3: Подготовка технических требований для разработки высококачественных Соглашений об уровне обслуживания 4: Формирование набора четко определенных и качественно категорированных облачных услуг 5: Реализация инфраструктуры для прозрачного использования широкомасштабной облачной среды 6: Разработка технических решений обеспечения безопасности, 7: Разработка нормативных требований, технологических рекомендаций 8: Определение стратегических задач по развитию и внедрению облачных технологий 9: Определение и реализация задач обеспечения надежности предоставления услуг 10: Разработка и внедрение оценочных количественных характеристик облачных услуг Источник: Ernst & Youngs 2012 Global Information Security Survey Условия широкого внедрения технологий облачных вычислений

ПОДХОД NIST К БЕЗОПАСНОСТИ ОБЛАКОВ Выбор модели облачной системы (SaaS, IaaS, PaaS) Учет специфики безопасности выбранной модели Разделение обязанностей в смысле безопасности между поставщиком и потребителем системы облачных вычислений Обеспечение безопасности облачной системы Источник:

Пути решения проблем ИБ в облаках (особенности) Доверие к поставщику услуг Оценка рисков при начале, в процессе и при окончании использования услуг Защита информации от утечек через специфические каналы среды виртуализации: Контроль виртуальных устройств Контроль целостности и доверенная загрузка ВМ Контроль доступа к элементам инфраструктуры Запрет доступа администратора ВИ к данным ВМ Управление доступом: Разделение ролей для исключения «суперпользователя» Усиленная аутентификация администраторов Делегирование административных полномочий Мандатное управление доступом Контроль изменений

Good Practice Guide for securely deploying Governmental Clouds Источник: European Union Agency for Network and Information Security Publication date: Nov 15, computing/good-practice-guide-for-securely-deploying-governmental-clouds

Российские подходы к решению вопросов защиты информации в облаке Искусственная сегментация облачной инфраструктуры (реальная или виртуальная) таким образом, чтобы границы сегментов облака совпадали с границами информационной системы, и применение в отношении такой инфраструктуры российских норм по защите информации Создание корпоративных (государственных или ведомственных) облаков, размещение в них государственных информационных ресурсов с реализацией определенного количества мер по защите информации и обоснование на уровне модели угроз достаточности принятых мер

ФСТЭК Приказ ФСТЭК России 17 от Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Приказ ФСТЭК России 21 от Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МЕТОДИЧЕСКИЙ ДОКУМЕНТ (проект) Меры защиты информации в государственных информационных системах (165 стр.)

ПРОЕКТ ДОКУМЕНТА: Меры защиты информации в государственных информационных системах СОДЕРЖАНИЕ 1. Общие положения……………………………………………………………………………………….… Выбор мер защиты информации для их реализации в информационной системе в рамках системы защиты информации Содержание мер защиты информации в информационной системе …………………………… Идентификация и аутентификация субъектов доступа и объектов доступа…………………… Управление доступом субъектов доступа к объектам доступа………………………………..…… Ограничение программной среды………………………………………………………………..…… Защита машинных носителей информации…………………………………………..……………… Регистрация событий безопасности…………………………………………………………....……… Антивирусная защита…………………………………………………………………………………… Обнаружение (предотвращение) вторжений………………………………………………………… Контроль (анализ) защищенности информации…………………………………………………… Целостность информационной системы и информации…………………………………...……… Доступность информации…………………………………………………………………………… Защита среды виртуализации……………………………………………………………….….……… Защита технических средств…………………………………………………………………….…… Защита информационной системы, ее средств и систем связи и передачи данных………….…117 Приложение (Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы)………………………………… 148 Источник: Источник: tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt- metodicheskogo-dokumenta-fstek-rossii

ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ) пункт 3.11 документа ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей Источник: tekhnicheskaya-zashchita-informatsii/dokumenty/proekty/772-proekt- metodicheskogo-dokumenta-fstek-rossii

Облачная нормативная база РФ: ОТКРЫТЫЙ КОНКУРС на право заключения государственного контракта на выполнение научно-исследовательской работы по теме: «Нормативно-правовое обеспечение возможности использования облачных технологий» Заказ от Заказчик Минкомсвязь России Источник: on/orders/info/order_document_list_ info/show?notificationId=

Закон суров! Источник: МОСКВА, 22 ноября РИА Новости

(985) Спасибо за внимание !