Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Разделы: Информационные технологии
Размещена 21.11.2013. Последняя правка: 21.11.2013.

Оптимизация методики CSA по защите облачных сервисов для реализации облака в компании сегмента ТЭК

Аникин Антон Александрович

НГТУ

магистрант

Вихман В.В., Любченко В.И.


Аннотация:
Статья посвящена рассмотрению требований к провайдеру облачных услуг со стороны Cloud Security Alliance (CSA).


Abstract:
The article deals with the requirements for the provider of cloud services from the Cloud Security Alliance (CSA).


Ключевые слова:
Аудит, безопасность, методика CSA, облачный сервис.

Keywords:
Audit, security, technique CSA, a cloud service.


УДК 004.01

Множество организаций предоставляет облака для развертывания пользовательских сервисов. Но каким должно быть облако с точки зрения безопасности и удовлетворения требований регуляторов?

Статья посвящена рассмотрению требований к провайдеру облачных услуг со стороны Cloud Security Alliance (CSA), некоммерческой организации, миссией которой является содействие в использовании мирового опыта для обеспечения безопасностей в облачных средах.

CSA является зарубежной организацией, поэтому требования учитывают специфику собственных законов и порядков, установленных в их стране. Тем не менее, организация объединяет лучших специалистов по защите облачных сервисов всего мира. В России имеется представительство CSA в лице RISSPA (CSA RC). Также стоит отметить, что на западе облачные сервисы более распространены и широко используются, следовательно, важной частью развития облаков в России будет рассмотрение порядков предоставления облачных услуг в других странах.

Под защищенностью облака понимается то, какие усилия предпринимает владелец для обеспечения безопасности информации, которую ему предоставляют клиенты для обработки и хранения. CSA предлагает ряд требований, выдвигаемых по отношению к провайдеру облачных услуг, среди которых проведение аудита по стандартам SAS 70, SSAE 16, SOC 2 ,SOC 3 и предоставление информации о результатах аудита. Среди прочего такие категории как сотрудничество с властями, соотношение информационных систем с законодательством, соблюдение интеллектуальной собственности, надежное удаление, защита от утечек информации и многое другое. Стоит отметить, что в России нет аналогов стандартов аудита провайдеров облачных услуг, но проведение аудита по данным стандартам не воспрещается. Стандарт SAS 70 является общепризнанным и проводится специалистами, сертифицированными Американским Институтом Независимых Аудиторов (CPA). Последнее время интерес в России к данному стандарту возрос, мотивы следующие: оценка собственной внутренней политики и процедур, определение недостатков существующих систем контроля; соответствие требованиям некоторых клиентов или аудиторов. Например,  в Америке процедура проведения аудита для организации обязательна.

О требованиях к защите информации в ТЭК говориться в 11 статье ФЗ-256, там кратко сказано о том, что системы защиты информации и информационных сетей должны размещаться на этих объектах топливно-энергетического комплекса. Закон не имеет ссылок и примечаний относительно ФЗ-152. Технически возможно использование облачных сервисов для компаний ТЭК, предусматривающее необходимые условия защиты информации и по надежности не уступающие защищенным ИС на территории объектов.

Основной проблемой использования облачных сервисов для ТЭК и государственных организаций является отсутствие нормативных актов, регламентирующих использование облачных услуг в России. Особой адаптации требований CSA для использования на Российских провайдерах не требуется, важно лишь соответствие требованиям отечественного законодательства, и надежда на то, что в скором времени правительство реализует нормативные акты для законного использования облачных сервисов в компаниях ТЭК.

Библиографический список:

1. Альянс облачной безопасности (CSA). [Электронный ресурс]. URL: http://cloudsecurityalliance.org/guidance
2. Российское отделение Cloud Security Alliance Russia Chapter. [Электронный ресурс]. URL: http://www.risspa.ru




Рецензии:

21.11.2013, 21:26 Назарова Ольга Петровна
Рецензия: В статье рассмотрены требования и проблемы, а "Оптимизация методики CSA..." не рассматривается. Не рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх