Проблема в головах, а не в стандартах

Среди препятствий в развитии облачных технологий, по крайней мере относящихся к публичным и гибридным облакам, чаще всего называют вопросы безопасности. Эта тема активно обсуждается на всевозможных форумах и в специализированной прессе, как традиционной, так и онлайновой.

Однако некоторые аспекты данной проблемы оставались без внимания. В том числе и то, как использование облачных технологий находит отражение в стандартах, связанных с обеспечением безопасности и непрерывности бизнес-процессов.

Забегая вперед, могу сказать, что никаких прямых запретов на хранение данных в облаке найти не удалось. Скорее наоборот, при решении некоторых задач настоятельно рекомендуется использовать внешние ресурсы, в том числе и облачные. Например, для хранения резервных копий. Давно уже стали облачными такие широко используемые инструменты, как антивирусное ПО или спам-фильтры. Появляются и средства борьбы со сложными угрозами, например RSA Security Analytics компании EMC, базирующиеся на анализе больших данных, что также очень часто подразумевает использование облачных технологий.

Конечно, утеря или кража информации из облака также возможна, и примеры тому, к сожалению, имеются. Разбор таких инцидентов есть и в настоящем номере. Однако злонамеренная кража извне компании практически исключена. Ну а утечка в результате действия внутренних злоумышленников может произойти и при полном отсутствии автоматизации, и примеров этого тоже достаточно. Борьба же с инсайдом ведётся большей частью организационными, нежели технологическими мерами. В частности, в рамках построения системы управления информационной безопасностью, соответствующей требованиям стандарта ISO 27001. К слову, данный стандарт регулирует и взаимоотношения с внешними компаниями, в том числе и провайдерами облачных услуг.

Впрочем, область взаимоотношений с подрядчиками, включая облачных провайдеров, все же весьма сложна. Как показывает практика, выработка работающих соглашений об уровне сервиса требует немалого времени, и если инцидент произойдёт в период, когда договорная база полностью ещё не подготовлена, то вопрос о возмещении ущерба останется открытым. Такая же ситуация может возникнуть и в случае, если ущерб окажется настолько велик, что превысит стоимость активов заказчика.

Вместе с тем прямые запреты на использование различных технологий иногда имеют место. Так, ФСБ России, которая является основным регулятором во всем, что касается использования криптосредств, запрещает использовать средства шифрования ГОСТ в виртуальной среде. Но даже это не является непреодолимым препятствием для интеграции данного рода сервисов СКЗИ в облачную инфраструктуру. Тут, как мне кажется, нет никакой принципиальной разницы с использованием других средств, которые не всегда могут корректно работать в виртуальных средах. К ним до недавнего времени относились и СУБД, и многие ERP-системы. Но это не мешало развитию облачной инфраструктуры даже тогда, когда данное ПО настоятельно не рекомендовалось использовать в виртуальной среде.

Много вопросов связано и с оборотом информации ограниченного доступа. Например, участники одного из Web-форумов спрашивали, является ли нарушением тайны следствия то, что оперативные материалы передаются из одного территориального органа в другой с использованием публичного облачного хранилища. Ответ был следующим: если информация передается в открытом виде, то да, является, но если в зашифрованном, то скорее всего нет, и все зависит от того, были ли нарушены какие-либо ведомственные (или корпоративные) регламенты. Как видно, использование облаков не означает нарушения норм всяческого рода стандартов. Иногда даже наоборот, отказ от использования облаков или облачных сервисов может привести к прямо противоположному результату и появлению различных проблем и сложностей.