7. Облачные вычисления
IaaS PaaS SaaS Сервисная
Инфраструкту Платформа Приложение x aaS
ра как сервис как сервис как сервис
модель
Измеримый Сервис по
Сетевой доступ Эластичность
сервис запросу Ключевые
характеристики
Разделение ресурсов
Модель
Публичное Сообщество Частное Гибридное
развертывания
PwC 7
8. Ключевые преимущества
Снижение капитальных расходов (публичное
облако)
Оплата только используемых ресурсов
Эластичность и неограниченность ресурсов
Быстрота развертывания
Обеспечение потребностей бизнеса
PwC 8
9. Риски безопасности облачных вычислений
• Доверие – прозрачность провайдера и непрерывность сервиса,
процедуры контроля и управления рисками, соответствие
законодательству?
• Уязвимости в программном обеспечении – особенно
когда оно «глубоко» доработано провайдером
• Отсутствие стандартизации интерфейсов - могу ли я
легко поменять провайдера?
• Совместное использование ресурсов – вы когда-нибудь
использовали shared hosting?
• Инсайдеры - доверять ли сотрудникам
провайдера/администраторам облака?
• Необходимость специализированных средств защиты -
как защищать виртуальное?
PwC 9
10. Примеры
«Как у большинства онлайн-сервисов у нас
есть ограниченный перечень сотрудников,
которым разрешен доступ к
пользовательским данным по причинам,
указанным в нашей политике
Апрель 2011 безопасности.»
«Системный администратор удалил виртуальные сервера бывшего
работодателя. Оцениваемый размер ущерба составил 300 000 USD»
http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html
PwC 10
12. Рекомендации по защите
Draft Special Publication 800-144
Guidelines on
Security and Privacy
in Public Cloud Computing
Wayne Jansen
Timothy Grance
i
PwC 12
13. Оценка защищенности провайдеров
https://cloudsecurityalliance.org/research/cai/
Русскоязычная версия
http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls
PwC 13
14. Социальные сервисы
• Утечка аутентификационных
данных
• Неконтролируемое
распространение информации
• Анонимность
• Невозможность удаления
«цифровой» личности
• Кража личности/мошенничества
PwC 14
16. Использование мобильных устройств
• Недостаточное количество
специализированных средств
контроля и защиты информации
• Риски потери устройства
• Кража данных (контакты,
геопозиции, SMS/MMS, звонки,
фото, документы и др.)
• Новая среда, новые векторы атак
PwC 16
22. Новые тенденции
Уровень бизнес-процессов
• Интеграция в систему управления бизнес-рисками
• Выявление и предотвращение мошенничеств (фрод)
• Безопасность бизнес-приложений
Мониторинг Антивирусная Межсетевые Контроль
инцидентов защита экраны утечек
Управление Криптографическая защита Обнаружение
доступом атак
Уровень инфраструктуры
PwC 22
24. Предотвращение мошенничеств
Сектор Средние потери, % от общей
выручки
Финансовые организации 1-2%
Здравоохранение 5-10%
Телекоммуникации 2-5%+
Производство 2-5%
Исследование PwC
PwC 24
25. Пример
Добыча Переработка Транспортировка Хранение Дистрибуция Реализация
Хищение продукции, манипуляции в технологических и информационных системах
учета, искажение финансовой отчетности и т. д.
PwC 25
26. Безопасность бизнес-приложений
Оценка безопасности архитектуры приложений
Контроль качества исходного кода
Анализ защищенности исходного кода
Автоматизированный поиск программных
«закладок», выявление критичных участков кода,
поиск уязвимостей
PwC 26
27. Рекомендации
• Актуализация стратегии безопасности, политик и процедур
оценки и управления рисками с учетом специфики
используемых сервисов
• Процедура оценки защищенности сервис-провайдеров
• Политики и процедуры защиты мобильных устройств
• Актуализация стратегии непрерывности бизнеса
• Использование специализированных средств защиты (контроль
доступа, контроль утечек, мониторинг событий,
криптографическая защита, токенизация, удаленное
управление мобильными устройствами и др.)
• Повышение квалификации персонала подразделений
информационной безопасности и внутреннего аудита
• Повышение осведомленности пользователей
PwC 27
