«Безопасность облаков опыт оператора связи» Создана фокус группы по облачным вычислениям МСЭ-Т 2 Типы Communications as a service (CaaS) Cloud platform as a service (PaaS) Cloud infrastructure as a service (IaaS) Desktop as a service (DaaS), Cloud communication centre, Service delivery platform as a service (SDPaaS) Cloud software as a service (SaaS) Network as a service (NaaS): 3 Модели Private cloud Hybrid cloud Модели облаков Public cloud Community cloud 4 Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1 Приложение III Детали SLA для облачных вычислений 5 Жизненный цикл управления SLA для облачных вычислений «Мобильное облако» 6 Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1 Так что там ? № Направление описания безопасности в SLA Описание 1 Соответствие поставщика услуги стандарту ИБ Имеет или не имеет поставщик услуг сертификат по системе управления информационной безопасностью, типа “ ISMS Certification Standards (Ver.2.0) ISO27001” 2 Существует ли одобренная модель угроз и модель действия нарушителей Есть ли одобренные процедуры нивелирования (до приемлемого уровня) риска ИБ при реализации описанных угроз 3 Наличие процедур контроля ИБ Есть или нет система контроля инсталляции\обновления программного обеспечения снижающая риски заражения и утечки чувствительной информации 7 Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1 Так что там ? № Направление описания безопасности в SLA Описание 4 Наличие защиты при передачи Обеспечивается или нет защита данных между элементами (шифрование) при обмене данными облачной архитектуры между элементами облака или между облаками 5 Данные о местоположении Данные хранятся на собственных площадках и\или на территории России 6 Статус контроля файлов журналов Каким образом журналы проверяются на возможные воздействия злонамеренного кода, НСД и какие процедуры работают при обнаружении нарушения режима информационной безопасности. 8 Отчет фокус группы по облачным вычислениям МСЭ-Т. Часть 1 Так что там ? № Направление описания безопасности в SLA Описание 7 Время хранения файлов журнала Описание периода времени хранения и регламент работы в данный период, для подтверждения\расследования фактов нарушения Политики ИБ 8 Статус управления контролями Описанные и утвержденные для блокировки действенные контроли по снижению злонамеренных действий уровня риска нарушения Политики ИБ нарушителя 9 Статус защиты от DoS\DDoS Наличие эффективной защиты от атак типа DoS\DDoS с привлечением провайдера услуг связи. 10 Статус защиты от внедрения злонамеренного кода Наличие обновляемой системы обнаружения и блокирования злонамеренного кода с записью в файлы журналирования 9 Безопасность и управление ресурсами Требования безопасности для облачных ресурсов включают – аутентификацию пользователей, управление идентификацией и доступом, защиту хранимых и передаваемых данных, градуированную изоляция ресурсов, мониторинг и аудит для анализа соответствия SLA, реагирования на инциденты, обеспечение конфиденциальности клиента, и полная переносимость и совместимость компонентов системы обеспечения безопасности. Описанные элементы: 1. Криптография. 2. Управление идентификацией. 3. Аудит всех ресурсов. 10 Что имеем ? Часть 5 11 Что имеем ? Часть 5 12 Ответ на вопрос - готовы мы к сервису защиты от оператора связи. Кто такой MSSP ? Managed VPN Managed Antivirus Managed FW Managed Mobile Devices Web sec DDoS Log Analysis IPS/IDS Identity manage Vulnerability Analysis Пример WWW.SAFETY.MTS.RU 15 СПАСИБО ЗА ВНИМАНИЕ ! Дмитрий Костров Главный эксперт Dmitry.V.Kostrov@mts.ru