Безопасность облаков: как работать с облачными сервисами

Вадим Владимирович Петров
Количество просмотров111

безопасность облачных хранилищ

Несколько последних лет показали, что кибератакам подвержены не только государственные и банковские информационные системы. Хакеров привлекают и такие отрасли, как медицина и фармацевтика, логистика, сетевой и интернет-бизнес. На теневом рынке существует определённый перечень услуг, направленных на парализацию бизнеса конкурента, например, «положить» сайт компании, найти уязвимости в защите системы и получить доступ к базам данных, и т. д. И если для защиты информационных систем госучреждений и стратегически важных кредитных организаций решения разработаны на федеральном уровне и внедряются централизованно, то частному бизнесу приходится позаботиться о защите своих данных самостоятельно. Пренебрежение требованиями защиты данных чревато как финансовыми, так и репутационными потерями.

Самый простой способ создать информационную систему в защищённом исполнении — взять за основу требования ФСТЭК в сфере технической защиты данных, а также воспользоваться возможностями, которые предлагают ФСТЭК и ФСБ для борьбы с хакерскими атаками и устранения уязвимостей. Это, к примеру, открытый банк данных уязвимостей (на сайте ФСТЭК), или система ГосСоПКА, созданная по примеру защиты данных ФСБ.

Статья по теме: Как работает ГосСОПКА

Безопасность облачных хранилищ

Сегодня «облака» очень популярны и при ведении бизнеса применяются повсеместно: это и хранилище данных, и способ коммуникации, и виртуальные серверы. Порядка 80% компаний размещают свои информационные системы в облаке и пользуются в работе облачными сервисами на постоянной основе.

безопасность облаков

Оценивая безопасность облачных хранилищ и серверов, нужно понимать, что любая виртуальная инфраструктура всегда базируется в дата-центрах, которые и должны быть защищены на физическом уровне. От технической защиты дата-центра зависит общая безопасность облачной системы, а значит, и информационная безопасность всех структур, работающих на базе данного облака.

Для обеспечения безопасности размещаемых данных сервис-провайдеры используют целый комплекс мер для защиты облака: антивирусное ПО, межсетевое экранирование, защиту виртуализационной среды от проникновения извне и DdoS-атак, обеспечение доступов на уровне ОС, специальные алгоритмы и средства от НСД через сеть и т. д.

Большинство предпринимателей предпочитают комплексную защиту от одного провайдера. Сюда входят как стандартные средства обеспечения безопасности облачных хранилищ и сервисов, так и дополнительные гарантии: например, шифрование данных, предоставление зашифрованного канала передачи сведений с использованием российских и зарубежных алгоритмов шифрования и т. д. Это выгодно для бизнеса, т. к. при таком решении значительно сокращаются затраты на создание собственной информационной системы в защищённом исполнении, на покупку и установку средств защиты информации, другие мероприятия, связанные с обеспечением информационной безопасности и привлечением сторонних специалистов.

Одновременно с этим облачные сервис-провайдеры предлагают как тарифные, так и индивидуальные планы размещения информационных систем для бизнеса: компания может выбрать нужный объём мощностей и каналы, которые необходимы для работы в данный момент, и изменить комплекс под свои задачи в будущем, отказавшись от ряда каналов или добавив возможности.

Персональные данные в облачном хранилище

Учитывая, что сейчас каждая компания собирает собственные базы данных (персонала, клиентов, потенциальных клиентов и т.д.), многих интересует, как обстоит дело с защитой персональных данных в облаке.

Согласно ФЗ-152 ответственность за защиту персональных данных лежит на компаниях, которые эти данные получают, обрабатывают и передают. Однако закон не запрещает возложить эту работу на других (операторов) на условиях аутсорсинга. И бизнес охотно пользуется такой возможностью, всё чаще поручая хранение и передачу персональных данных сервис-провайдеру. Главные требования по безопасности к облаку для обработки персональных данных:

  • физические сервера должны находиться на территории РФ;
  • безопасность данных должна быть обеспечена в соответствии с требованиями ФСТЭК и ФСБ по 1 уровню защиты;
  • сервис-провайдер обязан оформить лицензию ФСБ на криптографию и лицензию ФСТЭК на ТЗКИ.

Таким образом, сегодня для качественной защиты и работы с персональными данными российским фирмам не обязательно создавать собственные информационные системы в защищённом исполнении, получать лицензии и содержать штат специалистов по IT-безопасности. Достаточно выбрать хорошее облачное решение или пользоваться услугами сторонних специалистов.

Есть вопросы по лицензированию ФСТЭК или ФСБ? Звоните!

Нужна косультация по лицензированию ФСТЭК?

Оставить комментарий