Особенности при проведении аудита для составления модели угроз облачного сервиса

Составление модели угроз необходимо для построения надежной системы защиты от наиболее возможных угроз информационной безопасности и соблюдения регулярных законов. Модель угроз облачного сервиса существенно отличается от модели угроз для центра обрботки данных (ЦОД), одно из главных отличий - отсутствие четких границ защищаемой зоны, возможная недоступность данных из-за сбоя канала или отказа сервиса. Существенно усложняется контроль за хранимой информацией из-за удаленного размещения. Сложно контролировать трафик за пределами собственной сети облачного провайдера.

В данной статье будут рассмотрены ключевые моменты обеспечения безопасности пользовательской (клиентской) информации на облачном сервисе.

Далее представлены критерии для оценки информационной безопасности:

• 1.    Защита данных и обеспечение конфиденциальности

• 2.    Управление уязвимостями

• 3.    Управление идентичностью

• 4.    Охрана объекта и персонал

• 5.    Доступность и производительность

• 6.    Безопасность приложений

• 7.    Управление инцидентами

• 8.    Непрерывность бизнеса и восстановление после сбоев

• 9.    Ведение журналов событий

• 10.    Соответствие стандартам

• 11.    Финансовые гарантии

• 12.    Соблюдение SLA

• 13.    Интеллектуальная собственность

Перед составлением модели угроз обычно проводится аудит. Аудит касается не только провайдера, но и является важным аспектом для клиента при выборе облачного провайдера. Целями проведения аудита безопасности являются: — анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствия ИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Основные этапы аудита:

инициирование процедуры аудита;

сбор информации аудита;

анализ данных аудита;

выработку рекомендаций;

подготовку аудиторского отчета.

При проведении аудита облачного сервиса заранее неизвестно, какова будет защищенность клиентской части, а именно сеть за пределами ЦОДа, каналы передачи данных к пользователю и среда, в которой будет осуществляться доступ к сервису.

Это означает применение жестких требований к пользовательской стороне при обеспечении общей безопасности. Ограничения коснутся защиты передаваемой информации между клиентом и сервисом, как правило решением является VPN-туннель, АРМ пользователя должен быть защищен от НСД средствами защиты определенного класса.

При анализе рисков следует учитывать возможное несоблюдения вышесказанных мер со стороны клиента. Облачные технологии требуют создания собственного стандарта проведения аудита с учетом всех особенностей облачной архитектуры, таких как: сервисная модель; модель развертывания; характеристики. Кроме существования стандартов аудита облачных технологий необходимо отражение особенностей облаков в нормативных актах.

"Экономика и социум" №4(9) 2013