Стандарт информационной безопасности для облачных вычислений

Отсутствие стандарта информационной безопасности для облачных вычислений — одна из нерешенных проблем молодого рынка. На какие существующие нормы опираться – SAS 70? рекомендации сообщества Cloud Security Alliance? ISO 27001? ISO 27002?

Ваше мнение относительно необходимости разработки специального стандарта для облачных вычислений?

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems:  Таких стандартов и рекомендаций не так уж и мало. Одним из самых респектабельных является набор документов Cloud Security Alliance. В частности, их руководство по безопасности уже переживает третью редакцию. И это помимо результатов множества рабочих групп, созданных при CSA. А вообще рекомендаций по безопасности облаков сегодня немало и выбрать есть из чего. Это и руководства ISACA, и документы европейского агентства по ИБ ENISA, и рекомендации по ИБ немецкой федеральной службы по ИБ BSI, и готовящийся стандарт ISO, и стандарты NIST, и австралийские документы, и т.д.

Дмитрий Митрофанов, заместитель директора СЦ по производству компании "Ай-Теко": Попытки создания собственных стандартов уже есть, но пока они верхнеуровневые, это инициватива, которая пока не получила детальной проработки. Появление стандартов помогло бы развитию рынка, так как позволило бы определить пути развития, общие требования, сделать рынок более прозрачным и понятным для заказчиков, гармонизировать взаимоотношения провайдеров и клиентов. Разрабатывать стандарты должны крупные и авторитетные объединения компаний, центры компетенций, отраслевое лобби. Его задачи - консолидация рынка, разработка стандартов, учитывающих и российскую специфику, и лучшие мировые практики, и требования законодательства.

Развитие стандартов будет идти по двум направлениям: для технологий - предписывающие стандарты, например, самого верхнего уровня - обеспечивающие интеграцию для SOA; для провайдеров - оценочные стандарты деятельности организации.

Вячеслав Медведев, аналитик компании "Доктор Веб": Не хватает не стандарта по обеспечению безопасности — стандартов по обеспечению безопасности в распределенных структурах существует достаточно. Не хватает другого. Не хватает общедоступных методик и процедур работы — некого аналога процедур ITIL. Не хватает специалистов на местах — специалистов, имеющих высокую квалификацию, достаточную для обеспечения безопасности клиентов услуг. Качество подготовки специалистов в данный момент вызывает очень много вопросов. Не хватает, наконец, некого сертифицирующего органа — добровольной организации, сертификат которой гарантировал бы клиенту качество услуги.

Александр Бондаренко, технический директор компании LETA: Я бы рекомендовал обратить внимание на рекомендации Cloud Security Alliance, ENISA (Европейское Агенство по сетевой и информационной безопасности) и NIST как наиболее передовые в этой области. Безусловно, технологии облачных вычислений имеют свою специфику, которую необходимо учитывать, но сообществу еще только предстоит наработать практику прежде, чем она переродится в какой-либо общепринятый стандарт. Я бы не ожидал его появления в ближайшее время.  

Неманья Никитович, управляющий директор OptimaInfosecurity (Группа Optima): Россия на рынке услуг информационной безопасности –как шахматный игрок, играющий черными и имеющий вследствие этого соответствующие преимущества. Ни один из существующих стандартов не является совершенным, лучшие из них будут постоянно обновляться, так что в качестве отправных точек можно упомянуть все существующие стандарты.

Александр Трошин, технический директор «Манго Телеком»: Заказчику «облачных» сервисов навязанные стандарты ИБ в «облаке» ни к чему. Если предоставляемые провайдером параметры ИБ ниже его требований, это, естественно, заказчику не подходит. Если выше – пусть даже и в десятки раз – это именно то, что нужно.

Избыточность вообще должна стать — и, я думаю, станет, для сервис–провайдера единственным стандартом по обеспечению ИБ. В жизнеспособном «облаке» должно находиться максимальное количество инструментов и сервисов, которые могут пригодиться клиенту.

Заказчику лучше думать в категориях не стандартов, а модели угроз. Только так можно понять, от чего защищаться и как распределить ресурсы. «Облако», конечно влияет на эту модель, но многое будет общим для этой и традиционной архитектур. 

Александр Санин, коммерческий директор компании Avanpost: В период становления всегда сложно. Мы наблюдаем поступательный процесс, в начале пути проблемы выявлялись, потом анализировались, и теперь уже начали появляться и решения. Все это работает как огромная база знаний. И если эту базу знаний не структурировать, никакого развития не будет. Стандартизация нужна, все уже готовы к разработке первых базовых документов. И они появляются… пока только на Западе, но такова уж наша российская специфика. Хотя уже сейчас слышны выступления представителей регуляторов, что работы по созданию нормативной базы по «облакам» ведутся. Остается лишь надеяться, что эти документы не заставят себя ждать несколько лет.