Сообщество профессионалов ИБ

Облачно с прояснениями или как мы изучали «Безопасность в облачных вычислениях»

Вице-президент RISSPA и инициатор создания CSA в России Евгений Климов рассказал о деятельности Cloud Security Alliance, истории его создания, основных проектах, а также целях и задачах российского отделения. После презентации поступило сразу несколько предложений о разработке отечественных стандартов безопасности облачных вычислений и их утверждении на государственном уровне, что обязательно будет обсуждено на ближайшем заседании российского отделения CSA.

Оценку специфических рисков безопасности облачных вычислений и меры по их снижению предложил в своем выступлении директор департамента консалтинга Leta IT Александр Бондаренко. Красной нитью через весь доклад - рекомендация тщательно подходить к выбору провайдера сервиса. Облачные вычисления - относительно новая тема и до России дошла с существенным опозданием, поэтому у нас еще нет необходимой статистики инцидентов, опыта взаимодействия с поставщиками, а если совсем откровенно, то и отечественные сервисы можно пересчитать по пальцам.

Эксперт Cisco Павел Антонов предложил алгоритм оценки и выбора провайдера облачного сервиса, а после каверзных вопросов из зала приоткрыл некоторые особенности внутренней кухни своей компании. Оказывается, у заказчика их сервисов есть опция внесения изменений в договор на оказание услуг, географическое ограничение мест размещения данных, а также возможность проведения аудита на соблюдение требований безопасности в центрах хранения и обработки данных.

О снижении специфических рисков и криптографических средствах защиты данных в IaaS-модели рассказал Денис Безкоровайный из компании TrendMicro. Концептуально технология защиты понятна и примечательна тем, что в разы повышает уровень доверия к облакам, но основную дискуссию вызвало не это, а технические аспекты ее реализации.

Насколько это ухудшит производительность сервиса? Как обеспечивается безопасность ключевой информации на всех этапах? Как обеспечить контроль целостности программной части? Как быть со специфическими особенностями средств виртуализации?

Вопросов и обсуждений к этому и всем остальным выступлениями на семинаре было предостаточно, что объяснимо в отношении сравнительно новой для российского рынка ИБ темы.

Поэтому все вопросы учтены и будут рассмотрены на ближайших мероприятиях RISSPA, а особо активные участники дискуссии уже не отвертятся от выступления. Напоминаем, что у нас открыты дискуссионные группы в сети LinkedIn, где можно обсудить последний семинар, доклады выступавших, а также другие новости сообщества и отрасли. Вступление в группы открытое.

Запись веб-трансляции доступна по ссылке