понедельник, 28 октября 2013 г.

Обзор проекта ГОСТ по защите информации в "облаках"

Мой предыдущий обзор проекта ГОСТ по защите виртуализации вызвал небольшой ажиотаж и стал самой популярной записью в блоге за последний месяц, поэтому я решил написать обещанный обзор второго документа, подготовленного ТК №362 - проекта ГОСТ по защите информации, обрабатываемой с использованием технологий "облачных вычислений".


Тема "облаков" активно обсуждается во всех кругах, например, на совещании 23 октября в Управлении ФСТЭК по ЦФО это была основная тема разговора. И основной вопрос - как же защищать информацию в "облаках". Ответ на этот вопрос дает данный проект ГОСТа. Кстати, по плану работ ТК-362, работы по проектам ГОСТ по виртуализации и "облакам" должны быть завершены в ноябре и в декабре представлены в Росстандарт. Судя по тому, что проекты были убраны с сайта ТК, работа по ним перешла в финальную стадию и их принятие можно ожидать очень скоро.

Вернемся к обзору проекта ГОСТ по защите информации в "облаках", для начала общая структура документа - начало посвящено, как и в других ГОСТах, области применения, нормативным ссылкам, терминам, определениям и сокращениям. В этой части интересны только термины. Сразу же в глаза бросается огромное количество облачных услуг, которые рассмотрены в терминах и далее по документу, кроме привычных SaaS, PaaS, IaaS, тут есть и такая экзотика, как TaaS (доверие), NaaS (подключение) и даже TraaaS (прозрачность).
Интерес представляет темин "частное облако" - жестко ограничено, что частным является только то облако, где поставщик и все потребители принадлежат одной организации. Поэтому определение, что частное облако - это облако, где известны все потребители, которое прозвучало на совещании во ФСТЭК, не является истиной и облака для органов власти всегда будут публичными.

Остальные определения не менее интересны, но я предлагаю читателю самому ознакомится с ними, а мы пойдем дальше и переходим непосредственно к содержательной части - в пятом разделе содержится список защищаемых объектов и перечень угроз безопасности.
В объекты защиты записаны все компоненты - информационные ресурсы и носители, физические и виртуальные машины, каналы передачи данных, системы обработки информации, системное и прикладное ПО, гипервизоры, средства защиты информации и так далее.

Угрозы безопасности расписаны подробным образом, интеграторы будут рады полностью готовой информации для модели угроз. При этом угрозы делятся на те, что актуальны для владельца облака и те, что актуальны для пользователей облака. В целом проработка этого раздела очень хороша, с моей точки зрения. Стоит обратить внимание, что приведены общие угрозы для "облаков" в целом, для каждой из услуг угрозы приведены дальше.

Шестой раздел документа содержит самую главную часть - требования по защите информации при оказании облачных услуг, то есть требования предъявляются именно к владельцу облака. При этом требования расписаны для каждого типа услуг, даже для самых экзотических. В каждом разделе с требованиями приведено описание услуги, угрозы безопасности, характерные для конкретной услуги (так же раздельно для владельца облака и пользователя) и меры по защите информации с расстановкой по разделам, напоминающим 21 и 17 приказы ФСТЭК. 

Единственное, чего будет не хватать после выпуска документа, это требований к средствам защиты информации, данный документ должен быть разработан ФСТЭК, но будет ли он выполнен в виде отдельных документов - неизвестно, в текущих планах ведомства - выпуск документов с требованиями по разделам 21 и 17 приказов, в том числе будет отдельный документ с требованиям по защите виртуализации. Возможно, комбинацией требований по разными типам (например, по защите виртуализации, по идентификации и аутентификации и т.д.) можно будет реализовать полноценную защиту "облака" сертифицированными средствами. Хотя, наиболее вероятен вариант, когда провайдеры облачных услуг будут использовать средство защиты виртуализации как основное ядро защиты и собственные механизмы, которые они сертифицируют, для реализации всех остальных требований.

Комментариев нет:

Отправить комментарий