Transcript Document
Безопасные облака для ИТруководителей: мировая и российская практика Владимир Мамыкин Директор по информационной безопасности Microsoft Russia [email protected] Блог http://blogs.technet.com/Mamykin/ Облако может упрощать безопасность Обеспечение ИБ – многофакторный процесс, затрагивающий технологии, людей и бизнес-процессы Роль ИТ департамента усиливается Компетенция сотрудников растет Роль законодательства: •обеспечение наличия законодательства по облачным вычислениям - На сегодня не существует мировой практики законодательных требований технического характера к облачным вычислениям - Существующие законодательные требования организационного характера могут быть применимы и к облачным вычислениям Роль поставщика услуг: выполнение существующего законодательства • Облачные сервисы Microsoft сертифицированы по самым строгим стандартам безопасности: ISO 27001 Провайдер должен обеспечить: Информационную безопасность и защиту конфиденциальных (персональных) данных, в частности, на основе модели угроз, принятой заказчиком Использование сертифицированных продуктов, если это необходимо заказчику Заказчик должен обеспечить: Соответствие законодательству, в том числе, если необходимо, использование сертифицированных продуктов в конечных точках у заказчика Поставщик должен обеспечить: Заказчик должен обеспечить: Прозрачность процессов разработки и внедрения сервиса Процессы получения сервиса от различных провайдеров, включая: Мониторинг ИБ заказчиком Мониторинг ИБ провайдера Аудит ИБ заказчиком Аудит ИБ провайдера Обработку инцидентов безопасности Обработку инцидентов безопасности Проведение расследований Проведение расследований Классификация данных – основа защиты в облаке Аутентификацию необходимо проводить хотя бы в отношении людей Идентификация/аутентификация должны зависеть от целей и должна быть основана на стандартах взаимодействия Бизнес-решения для облака должны иметь функционал для работы с различными провайдерами Конечные точки являются основой проведения атак с использованием социальной инженерии Защита конечных точек должны быть неотъемлемой частью рассмотрения обеспечения ИБ в любых сценариях работы с облаками Как совместить требования национального регулирования и глобального характера услуг Как определить кто владеет данными На основании каких требований защищать информацию Как проводить расследование киберпреступлений Как обеспечить предотвращение доступа третьих сторон ПУБЛИЧНОЕ ОБЛАКО ЧАСТНОЕ ОБЛАКО Продукты, используемые в частных облаках, сертифицированы ФСТЭК и ФСБ Не ожидайте от провайдера готовое решение, подключайтесь еще на этапе проектирования, чтобы совместно разрабатывать необходимое вам решение Microsoft умеет строить высоко защищенные решения на базе своих технологий, но без участия команды со стороны заказчика невозможно обеспечить необходимый уровень безопасности СПАСИБО!