Трудная дорога в "облака". Часть 4: вердикт.

Трудная дорога в "облака". Часть 4: вердикт.
"Давно пора, Волков - чего так долго?" - скажете вы, и будете правы. Я написал заключительную часть "облачного" сериала еще в начале марта и хотел тогда же ее опубликовать. Но любому плохому танцору что-то всегда мешает - и мне помешали "облачные" провайдеры, жестко спамившие почту призывами рассмотреть их предложения. Назвавшись ранее груздем, я залез в кузов электронной макулатуры и изучил около 20 памфлетов, местами смешных, местами - грустных. В какой-то момент мне даже показалось, что я нашел провайдера-"мечту", но в ходе сессии уточняющих вопросов и вопросов, уточняющих ответы на уточняющие вопросы оказалось, что провайдер безбожно врал, в том числе самому себе.

Отлынивая полтора месяца от блога, я посетил конференцию CISO Forum 2014 где, сидя за круглым столом по безопасности облачных вычислений, в который раз услышал мысль, произнесенную вслух представителем компании, предлагающей "облачные" услуги по безопасности: не размещайте в облаке данные, которые боитесь потерять. Фраза, достойная надгробной плиты любой идеи с публичными "облаками". Но если руководство стремится примерить ее на могилу собственного бизнеса, а дара убеждения безопаснику не хватает - придется сделать несколько шагов, дабы хоть как-то обезопасить и самого себя, и незадачливого работодателя.

Во-первых, руководство должно принять неустранимые риски, связанные с передачей ценной бизнес-информации в публичное "облако". К ним относятся:

  1. Государственное регулирование - риск "рубильника" для "забугорных" провайдеров и "маски-шоу" для отечественных. Бизнесу стоит рассказать о том, что Интернет развивался как проект ЦРУ , Отечество в опасности и для того, чтобы обезопасить себя, государство может пойти на любые шаги - в том числе на полное отключение "рубильника" с нашей стороны. Стоит рассказать и о том, что с другой стороны установлен точно такой же рубильник, и "та сторона" тоже не в восторге от происходящего. Нет никакой гарантии, что очередные санкции не приведут к отключению "рубильника", в том числе и на нашей стороне. Сделать это будет очень просто, и вдвойне эффективно - ведь оба "рубильника" импортного производства. Наконец, расскажите про историю сервиса iFolder, хостинга "Агава" и полиции - показательный пример того, что может произойти с любым отечественным "облаком".
  2. Неконтролируемый доступ спецслужб к вашим данным. Звучит смешно, но только на первый взгляд. Да, АНБ с их "закладками" не дремлет и законных оснований им не занимать , наш СОРМ тоже никто не отменял - скорее наоборот . Но если ваши данные находятся на ваших серверах, а те - на вашей площадке, любой представитель власти прежде, чем получить к ним доступ, обязан предоставить мотивированный запрос за подписью уполномоченного руководителя, и вы контролируете этот процесс и обеспечиваете безопасность данных в процессе их передачи. С "облачным" провайдером такого не будет: в лучшем случае вы получите уведомление о том, что кто-то что-то запросил и кому-то что-то передали (если, конечно, это разрешено законом).
Перед тем, как принять решение, добейтесь включения этих рисков в карту рисков ИБ, внепланово соберите управляющий комитет, добейтесь их принятия и занесите это в протокол. Если у вас ничего этого нет - напишите докладную записку на имя CEO (генерального директора) от имени того, чьи записки ГД читает, и не слезайте с его шеи до тех пор, пока не получите документ обратно с визой "ознакомлен, риски принимаю". Если вдруг CEO уйдет в отставку - не забудьте повторить это с его преемником, приложив копию с визой предыдущего.
Во-вторых, руководство должно принять решение относительно риска полного отсутствия или ограничения размера компенсации ущерба (отдельных видов или целиком) от разглашения, утраты или искажения ваших данных - покупать его у провайдера за полную стоимость или потратить определенные ресурсы на реализацию мероприятий, способных снизить стоимость риска до приемлемой величины. Считать стоимость этого риска - дело настолько же неблагодарное, насколько субъективное. Отдаю это на откуп читателям - разбирайтесь сами, применительно к вашей ситуации.
Однако перед тем, как докладывать результат вашей оценки руководству, настоятельно рекомендую сразу проработать те самые, "компенсирующие" меры. Запросите у службы, которая "двигает" эту тему "наверх", все детали "облачного" предложения, и внимательно их изучите. Большинство провайдеров предлагают дополнительные сервисы безопасности, но за дополнительные деньги, скорее всего не учитываемые в вашем коммерческом предложении.
Многие ИТ-компании (особенно "забугорные") при взаимодействии с заказчиком грешат тем, что "голова" не знает, что делает "хвост", и "хвостов" этих - бессчетное количество. Чтобы упростить жизнь себе и хоть как-то упорядочить ИТ-бардак, найдите ОДНО контактное лицо со стороны "облачного" провайдера, ответственного именно за вас, и запросите у него ВСЕ документы, которые необходимо будет заключить перед началом оказания "облачной" услуги. Случается (и часто), провайдер присылает для ознакомления документы одной версии, вы на их основе делаете оценку и даете отзыв руководству, а для заключения приходят документы другой версии - сильно измененные в ключевых местах. Имейте это в виду, когда общаетесь с представителем провайдера.
Пока изучаете документы, проработайте с провайдером ответы на следующие вопросы (пусть он сам подключает со своей стороны всех, кого ему необходимо, и сам укажет ссылки на них в присланных вам документах):
  1. Какая ответственность предусмотрена за нарушение ваших прав в области охраны интеллектуальной собственности, утечки/разглашения сведений конфиденциального характера по вине провайдера?
  2. Какая ответственность предусмотрена за нарушение целостности и доступности ваших данных в рамках предоставления облачного сервиса?
  3. Существуют ли ограничения на размер компенсации ущерба, связанного с нарушением провайдером требований в области охраны интеллектуальной собственности, утечки/разглашения сведений конфиденциального характера, а так же доступности и целостности размещенных данных?
  4. В случае нанесения ущерба, в какой юрисдикции будет осуществляться судебное разбирательство?
  5. Каким образом определяется перечень информации конфиденциального характера и организуется обмен ею между вами и провайдером?
  6. Как будет организован доступ сотрудников провайдера к вашей инфраструктуре и данным? Кто еще (какие физические лица и организации), помимо сотрудников провайдера будут иметь доступ к вашим данным? Как будет формализован процесс предоставления доступа?
  7. Предусматривает ли договор между вами и провайдером пункты, в котором прописаны общие обязательства провайдера в области обеспечения безопасности и разделение между вами зон ответственности?
  8. Имеются ли у провайдера международные сертификаты в области безопасности, результаты независимых аудитов, с какой периодичностью они проводятся и можете ли вы ознакомиться с их результатами?
  9. Предусмотрена ли возможность проведения вами проверки выполнения провайдером договорных требований в области обеспечения безопасности?
  10. Возможно ли проведение технического контроля/аудита провайдера (включая аудит и pentest)? Если да – с какой частотой, и каков порядок взаимодействия?
  11. Каким образом осуществляется расследование инцидентов, связанных с утечкой/разглашением конфиденциальной информации, как в этом процессе участвуете вы?
  12. Какими техническими решениями обладает провайдер для обеспечения безопасности? Какие из них реализованы стандартно, а какие – используются в качестве опции?
  13. Какие технические решения провайдера в области безопасности доступны вам для полного контроля/управления?
  14. Какие технологии защиты информации могут использоваться для взаимодействия вашей инфраструктуры и инфраструктуры провайдера, и при обмене данными?
  15. Возможен ли доступ к подсистеме сбора логов в инфраструктуре провайдера (в первую очередь поинтересуйтесь событиями, связанными с предоставлением доступа к вашим данным)?
  16. Возможна ли интеграция инфраструктуры провайдера с вашими системами обеспечения безопасности: системой управления доступа, системой управления событиями ИБ, системой анализа защищенности, удостоверяющим центром и т.д.?
  17. Предоставляет ли провайдер возможность полного шифрования ваших данных? Какая технология может использоваться для этого? Где хранятся ключи шифрования и кто к ним имеет доступ? Возможно ли использование сертифицированных средств криптографической защиты?
  18. Какие меры провайдер предпринимает для резервирования данных, как осуществляется резервное копирование?
  19. Как обеспечивается доступность данных, размещенных у провайдера, и каналов связи? Каков максимальный период недоступности (в день-неделю-в год), предусмотренный SLA, без штрафных санкций?
  20. Каков порядок передачи и гарантированного уничтожения ваших данных в случае расторжения договора с провайдером?
  21. Хотя М.Ю. Емельянников все уже написал , не забудьте спросить и про персональные данные: с каким юридическим лицом будет заключено соглашение об обработке персональных данных, на территории какой страны будут размещены персональные данные и обеспечивает ли провайдер соответствие процессов обработки ПДн Евроконвенции (в случае иностранного юр.лица) или 152-ФЗ (в случае российского).
После того, как получите ответы, не забудьте сверить их с присланными документами: важно, чтобы все они присутствовали и были корректны. Уточните, какие из ответов не подлежат обсуждению, а какие можно обсуждать, изменять и как это скажется на конечной стоимости услуги. "Двадцать одно" проще всего формализовать в виде таблички, где напротив каждого ответа проставить стоимость реализации компенсирующей меры и весовой коэффициент, определяющий степень влияния на стоимость риска.
В начале первой части я говорил о том, что предложения от "облачных" провайдеров стали расти, словно грибы после дождя, бизнес стал требовать немедленной их оценки, и потому возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Говорил я и о том, что задачка эта с большим "подвохом". Что ж, критерии перед вами - вердикт должно выносить руководство. И если после всего того, что мы с вами проделали, руководство купит "облачные" риски в полном объеме - задумайтесь, зачем вообще вы работаете там, где вы работаете тем, кем вы работаете. В этом и заключается "подвох".
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!