Оптимизация методики CSA по защите облачных сервисов для реализации облака в компании сегмента ТЭК

Аннотация:

Статья посвящена рассмотрению требований к провайдеру облачных услуг со стороны Cloud Security Alliance (CSA).

Abstract:

The article deals with the requirements for the provider of cloud services from the Cloud Security Alliance (CSA).

Ключевые слова:

Аудит, безопасность, методика CSA, облачный сервис.

Keywords:

Audit, security, technique CSA, a cloud service.

УДК 004.01

Множество организаций предоставляет облака для развертывания пользовательских сервисов. Но каким должно быть облако с точки зрения безопасности и удовлетворения требований регуляторов?

Статья посвящена рассмотрению требований к провайдеру облачных услуг со стороны Cloud Security Alliance (CSA), некоммерческой организации, миссией которой является содействие в использовании мирового опыта для обеспечения безопасностей в облачных средах.

CSA является зарубежной организацией, поэтому требования учитывают специфику собственных законов и порядков, установленных в их стране. Тем не менее, организация объединяет лучших специалистов по защите облачных сервисов всего мира. В России имеется представительство CSA в лице RISSPA (CSA RC). Также стоит отметить, что на западе облачные сервисы более распространены и широко используются, следовательно, важной частью развития облаков в России будет рассмотрение порядков предоставления облачных услуг в других странах.

Под защищенностью облака понимается то, какие усилия предпринимает владелец для обеспечения безопасности информации, которую ему предоставляют клиенты для обработки и хранения. CSA предлагает ряд требований, выдвигаемых по отношению к провайдеру облачных услуг, среди которых проведение аудита по стандартам SAS 70, SSAE 16, SOC 2 ,SOC 3 и предоставление информации о результатах аудита. Среди прочего такие категории как сотрудничество с властями, соотношение информационных систем с законодательством, соблюдение интеллектуальной собственности, надежное удаление, защита от утечек информации и многое другое. Стоит отметить, что в России нет аналогов стандартов аудита провайдеров облачных услуг, но проведение аудита по данным стандартам не воспрещается. Стандарт SAS 70 является общепризнанным и проводится специалистами, сертифицированными Американским Институтом Независимых Аудиторов (CPA). Последнее время интерес в России к данному стандарту возрос, мотивы следующие: оценка собственной внутренней политики и процедур, определение недостатков существующих систем контроля; соответствие требованиям некоторых клиентов или аудиторов. Например,  в Америке процедура проведения аудита для организации обязательна.

О требованиях к защите информации в ТЭК говориться в 11 статье ФЗ-256, там кратко сказано о том, что системы защиты информации и информационных сетей должны размещаться на этих объектах топливно-энергетического комплекса. Закон не имеет ссылок и примечаний относительно ФЗ-152. Технически возможно использование облачных сервисов для компаний ТЭК, предусматривающее необходимые условия защиты информации и по надежности не уступающие защищенным ИС на территории объектов.

Основной проблемой использования облачных сервисов для ТЭК и государственных организаций является отсутствие нормативных актов, регламентирующих использование облачных услуг в России. Особой адаптации требований CSA для использования на Российских провайдерах не требуется, важно лишь соответствие требованиям отечественного законодательства, и надежда на то, что в скором времени правительство реализует нормативные акты для законного использования облачных сервисов в компаниях ТЭК.