Безопасность SaaS –
разделение обязанностей между
клиентом и провайдером
Денис Безкоровайный, CISA, CISSP, CCSK
Вице-президент RISSPA,
Сооснователь Cloud Security Alliance Russian Chapter
Cloud Conf
15 мая 2012
Москва
Безопасность наглядно
2
Поедем?
3
Важна ли SaaS-клиентам
безопасность?
Какой ущерб будет приченен компании если:
1. ее данные станут доступны всему
Интернету?
2. к ее данным получат доступ сотрудники
провайдера?
3. ее бизнес-процессы или данные будут
изменены третьей стороной?
4. данные или процесс будут недоступны?
4
У кого контроль?
Серверы
Виртуализация
и частные
облака
Публичные
облака
PaaS
Публичные
облака
IaaS
Потребитель
Сервис-провайдер
Публичные
облака
SaaS
Безопасность SaaS –
что должен делать провайдер
Защита физической инфраструктуры
(помещения, серверные стойки,
электроэнергия, охлаждение, серверы,
системы хранения)
Резервирование инфраструктуры и
обеспечение доступности, выполнение и
контроль SLA (сеть, системы хранения,
пропускная способность)
6
Безопасность SaaS –
что должен делать провайдер
Защита операционных систем и управление
обновлениями/уязвимостями
Настройка и поддержка систем безопасности
(межсетевые экраны, системы
предотвращения атак, антивирус, фильтрация
пакетов, шифрование и тд)
Мониторинг работы систем безопасности и
сбор журналов событий
Непрерывность сервиса и восстановление
Кадровая безопасность 7
Безопасность на уровне
приложения
Использует ли
провайдер:
отраслевые стандарты
для безопасного SDLC?
автоматизированные
средства анализа
исходного кода?
как насчет
аутсорсинговой
разработки? 8
Безопасность SaaS –
задачи клиента
Управление учетными записями и правами
доступа пользователей
Управление системой аутентификации и
политиками аутентификации
блокировка учетных записей
при ошибках входа
настройка двухфакторной
аутентификации и тд
9
Безопасность SaaS –
что часто клиенту недоступно
Настройка политики резервного копирования
Выгрузка резервных копий
Аудит систем обеспечения ИБ, анализ
защищенности
Настройка железа и ОС по своим стандартам
Анализ журналов регистрации и контроль
инцидентов
Применение собственных средств ИБ (кроме
редких исключений) 10
Безопасность SaaS –
общие задачи
Выполнение нормативных требований и
требований законодательства в части
обрабатываемых данных
11
Может ли провайдер убедить
клиентов что «все безопасно»
Подтверждение и
аудит эффективности
ИБ третьей стороной
Открытый диалог с
клиентами на тему ИБ
Как клиенту выбрать
«правильного» SaaS-провайдера
13
Признаки серьезного
SaaS-провайдера
Для него информационная безопасность –
один из ключевых аспектов сервиса
Он предоставляет клиентам сведения об
используемых системах и мерах защиты
Он подтверждает эффективность системы
управления ИБ сторонними аудитами
Он предоставляет рекомендации для клиентов
по информационной безопасности
14
Что еще нужно знать
заказчикам о провайдере?
Способы защиты данных (гарантированное удаление,
разграничения между разными клиентами и тд)
Внутренний анализ рисков, тренинги, проверки персонала
Физическая защита и зависимость от внешних поставщиков
(надежность и безопасность датацентра, нижележащих
провайдеров и тд)
Порядок взаимодействия с органами (в каких случаях может быть
выдача данных и остановка сервиса, выемка данных у одного
заказчика не должна влиять на данные других и тд)
В какой стране находятся данные клиента
Список далеко не полный
Оценка клиентом облачного
провайдера
Единая форма для ИБ-
вопросов на основе
лучших мировых
практик
Перевод документа от
Cloud Security Alliance:
«Опросник оценки
состояния безопасности
облачной среды»
www.risspa.ru/csa
Равнение на лидеров
17
Ситуация с безопасностью
облаков в России
Типичные фразы в описании
информационной безопасности у
провайдеров:
«Для защиты используется HTTPS»
«Мы делаем резервное
копирование»
«Дата-центр круглосуточно
охраняется»
Этого недостаточно!
Текущие приоритеты
SaaS-провайдеров
Эффективность
Удобство
использования
Быстрые
изменения
Стоимость
.....
Безопасность??? 19
Хороший SaaS провайдер
20
Эффективность
Безопасность
Удобство
использования
Быстрые
изменения
.....
Cloud Security Alliance
Russian Chapter
Локализация руководств и результатов
исследований CSA
Адаптирование лучших практик CSA к
российским условиям и законодательству
Разработка рекомендаций для российских
потребителей облачных услуг
www.risspa.ru/csa
22
Повышение уровня знаний специалистов ИБ Обмен опытом
Обсуждение актуальных проблем ИБ Формирование сообщества
профессионалов в области ИБ
Контакты и общение
Продвижение идей ИБ
Членство и участие в семинарах бесплатно
Регулярные очные и онлайн семинары
Что такое RISSPA?
Ассоциация профессионалов в области информационной безопасности
(Russian Information Security Systems Professional Association)Создана в июне 2006 года