Анализ вопросов информационной безопасности в облачных технологиях

Автор: Барашко Е.Н., Маркевич С.Л., Глазунова О.Д.

Журнал: Мировая наука @science-j

Рубрика: Основной раздел

Статья в выпуске: 5 (26), 2019 года.

Бесплатный доступ

Статья посвящена основным вопросам и проблемам информационной безопасности в облачных технологиях. В статье проводится сравнительный анализ подходов и сущностей классификации различных организаций. На основе свойств, отражающих уровень информационной безопасности, выделены плюсы и минусы тех или иных организаций.

Скорость, ресурсы, сетевой доступ, облачные технологии, безопасность

Короткий адрес: https://sciup.org/140264524

IDR: 140264524

Текст научной статьи Анализ вопросов информационной безопасности в облачных технологиях

Введение . В условиях стремительного развития современных информационных технологий и сети Интернет, а также спада мировой экономики, организации отходят от использования собственного оборудования и программного обеспечения в сторону сервис-ориентированных технологий. Облачные информационные системы (англ. Cloud Computing) -информационные системы, в которых пользователь получает компьютерные ресурсы и мощности как Интернет-сервис, станут одной из главных технологий развития ИТ в течение следующих 5 лет.

При проектировании и реализации различных информационных проектов встает вопрос построения информационной инфраструктуры для хранения, обработки и анализа данных. Одним из вариантов решения проблемы является аренда оборудования и программного обеспечения у других компаний.

Целью данной статьи является сравнительный анализ подходов и сущностей классификации информационной безопасности организаций CSA, ENISA, NIST.

Основная часть. По определению NIST [1], облачные ИС должны обладать следующими свойствами:

  • •     использование ресурсов по требованию на основе самообслужива

ния;

  • •     повсеместный сетевой доступ;

  • •     объединения ресурсов в пул и их многократная аренда;

  • •      быстрая, эластичная перенастройка;

  • •     измеримость услуги

Приведенные свойства отражают пять групп технологий, которые уже давно работают на рынке, а их совместное использование в ИС получило название "облачные вычисления".

Пользователь не контактируя с представителем поставщика услуг может в одностороннем порядке выявлять и изменять серверное время, скорость обработки данных, объем хранимых данных, скорость доступа данных и мн. др. Все эти функции поддерживает технология использования ресурсов по требованию на основе самообслуживания ( англ . on-demand self-service).

Независимо от вида клиентских платформ (как пример, планшеты, ноутбуки и прочие гаджеты) услуги могут быть предоставлены пользова- телям через сети передачи информации. Данный функционал поддерживает технология broad network access - повсеместный сетевой доступ.

Применение многопользовательской модели с множественными виртуальными и физическими ресурсами, поддерживающие возможность перераспределения между потребителями согласно спроса выполняется при помощи технологии resource pooling или иными словами объединение ресурсов в пул и их многократная аренда. Данная технология поддерживает функцию объединения всех ресурсов обслуживания многими пользователями.

В данной технологии поддерживается возможность указать конкретное местоположение на более высоком уровне абстракции (например, штат, страну или место обработки данных), при этом на стороне клиента вовсе необязательным является осуществление контроля расположения ресурса. В качестве примеров таких ресурсов можно привести: память, пропускную способность сети, хранилища данных, вычислительные мощности.

Обеспечение расширения, сужения, предоставления в автоматическом режиме ресурсов пользователю в любой момент времени, без временных затрат на взаимодействие с поставщиком предоставляет rapid elasticity - эластичная, быстрая перенастройка.

На сегодняшний день главенствующими фирмами, которые занимаются вопросами безопасности облачных технологий, являются Альянс безопасности в облаке (Cloud Security Alliance, CSA), который содержит в своем составе представителей из IT-индустрии, а также двух национальных организаций США и Европы: Европейское агентство сетевой и информационной безопасности (ENISA) и Национальный институт стандартов и технологий (NIST).

Каждая из приведенных организаций разработала и внедрила сопутствующий документ классификации всех имеющихся проблем информационной безопасности в облачных технологиях. Рассмотрим их и проведем их сравнительный анализ.

Агентство (ENISA) - это организация, работа которой состоит в «повышении способности Европейского Союза, государств-членов ЕС и биз-нес-сообщества на предупреждение, ликвидацию и реагирование на проблемы сетевой и информационной безопасности».

Разработка стандарта по обеспечению конфиденциальности и безопасности в общественных облачных технологиях была поручена компании NIST с целью внедрения облачных вычислений правительством США. В связи с этим организация NIST, начиная с 2011 года опубликовала перечень документов, которые рассматривали вопросы информационной безопасности в облаке, предоставляли четкое определение облачным вычислениям, предоставляли соответствующие рекомендации по ликвидации и оценке имеющихся рисков информационной безопасности в облаке.

Сравнение осуществлено по двум основным группами составляющих: правовые и организационные вопросы информационной безопасности в облаке. Основываясь на рассмотренных классификациях, был выделен вопрос информационной безопасности в каждой из групп, приведены в таблицах 1, 2. Если вопросы информационной безопасности были рассмотрены в классификации полностью, оно отмечено как «+», если частично - «+/-», в случае отсутствия - «-».

Таблица 1

Сравнение правовых составляющих ИБ

Правовые вопросы ИБ

Классификация

CSA

ENISA

NIST

1

Соблюдение международных и государственных стандартов, законов и правил

+

+

+

2

Договор между постав

щиком и клиентом

+

+

+

3

Право собственности на электронные данные

+

+

+

4

Несоответствие законодательства различных стран в области электронных данных

+

+

+

5

Защита авторского права (DRM)

+

-

-

6

Соблюдение законов и правил государств к данным в облаке

+

+

+

7

Изменение поставщика услуг или его покупка другим поставщиком

+

+

+

Таблица 2

Сравнение организационных составляющих ИБ

Правовые вопросы ИБ

Классификация

CSA

ENISA

NIST

1

Управление    рисками

+

+

+

(корпоративными, предприятия, информационными,

поставщика услуг)

2

Управление безопасностью информации пользователя

+

+

+

3

Доверие к поставщику услуг (проведение аудита, тестирование, обновление

обеспечения, поддержка в проведении экспертизы)

+

+

+

4

Защита от инсайдеров

+

+

+

5

Реагирование на инциденты ИБ, их мониторинг, решение

+

+

+

6

Защита   персональных

данных пользователя

-

-

+

7

Отказ сервисов облака по причине стихийного бедствия, сбоев в работе сервисов

облака, которые поддерживаются третьей стороной

+

+

+

Анализ данных таблиц показывает, что в основном составляющие информационной безопасности совпадают во всех классификациях. Наиболее всеохватывающая и детализированная классификация была предложена организацией CSA, однако ее существенным минусом является интеграция организационных и правовых проблем информационной безопасности.

В качестве главного достоинства классификации, предоставленной организацией ENISA является возможность оценивания вероятности происхождения рисков, связанных с информационной безопасностью, воз- можными причинами их появления, взаимосвязь с иными рисками. В качестве весомых недостатков классификации NIST можно назвать отсутствие разбиения проблем информационной безопасности на три главных группы, как это было осуществлено в классификации ENISA.

Выводы . Облачные вычисления представляют собой комбинацию из нескольких ключевых технологий, которые были разработаны в течение многих лет и рассматриваются многими исследователями как следующее поколение IT-архитектуры предприятий.

Со всем объемом достоинств, которые предоставляет применение облачных вычислений, есть много вопросов безопасности, которые на сегодняшний день недостаточно хорошо проанализированы и находятся еще на стадии обсуждения.

Отметим, что одной из самых весомых проблем, является доверие пользователей к поставщику услуг. Эта проблема достаточно глобальна не только для организаций и фирм, использующих сторонних поставщиков, но и простых пользователей, персональные данные которых также нуждаются в защите и гарантиях безопасности.

Поэтому целесообразным решением является внедрение механизмов контроля поставщиков облачных услуг на международном уровне или на уровне страны, с целью осуществления аудита безопасности и контроля их соразмерности международным или государственным стандартам и предъявляемым к ним условий.

Список литературы Анализ вопросов информационной безопасности в облачных технологиях

  • The NIST Definition of Cloud Computing, NIST Special Publication 800-145, 2019.
  • Guidelines on Security and Privacy in Public Cloud Computing, NIST SP800-144, 2019.
  • Security Guidance for Critical Areas of Focus in Cloud Computing, Version 3.0. Technical report, Cloud Security Alliance, 2017
Статья научная