Практически любой «классический» безопасник от словосочетания «публичное облако» впадает в ступор и начинает готовить перечень угроз, которые приведут к краху компании, для своего бизнес-командования. С учетом долгого и неотвратимого движения ИТ-отрасли в «облака» пора бы внимать словам: «It is not the strongest of the species that survives, nor the most intelligent, but the one most responsive to change».
Существенная экономия средств для организаций при использовании облачных услуг уже не вызывает ни у кого сомнений. В прошлом году российский рынок облачных услуг вырос на 43% до 22,6 млрд руб. с 15,79 млрд руб. в 2015 г. Компании, предоставляющие такие услуги, осознали, что пришло их время. Ну а как же с информационной безопасностью, персональными данными и т. п.?
Бытует не совсем оправданное мнение, что «публичные облака» – только для коммерции. Госпредприятия могут их использовать «с натяжкой», а министерства и ведомства – «харам». При этом все понимают, что применение только «частного облака» (даже не гибридного), как и строительство собственных ЦОД, приводит к значительным тратам.
Как сейчас пытаются привлечь клиентов, у которых подразделения по информационной безопасности состоят из «закаленных ретроградов»? Наиболее продвинутые развертывают свои облачные услуги на территории России или строят собственные ЦОД, или арендуют проверенные площадки, обеспечивают физическую безопасность (доступ к стойкам/в помещение, двухфакторная биометрическая аутентификация), видеонаблюдение и остальные, вполне понятные вещи. Другие пытаются показать требуемый уровень безопасности с помощью криптографии и использования ключей только клиентами. Правильным направлением является сертификация используемого иностранного программного обеспечения по требованиям ФСТЭК РФ как программное средство общего назначения со встроенными средствами защиты информации от несанкционированного доступа, не содержащее сведений, которые составляют государственную тайну, и не являющееся государственным информационным ресурсом. При этом целесообразность сертификации по требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) вызывает много вопросов.
Кратко можно описать соответствие любого Cloud-решения, требованиям российского законодательства (например, персональные данные):
- сертификация всех функций безопасности, встроенных в программное обеспечение, а также наложенных средств защиты информации по требованиям ФСТЭК России;
- аттестация каждого решения ЦОД по требуемому клиентом уровню защищенности персональных данных;
- аттестация по классу 1Г для ИС, обрабатывающих конфиденциальную информацию, включая коммерческую тайну (при необходимости);
- регистрация компании в Роскомнадзоре в качестве оператора персональных данных;
- сертификация решений ЦОД по ISO 27001 и ISO 9001.
Ждем и надеемся, что облачные услуги принесут не только снижение костов, но и будут безопасными.