NIST поможет американским госведомствам правильно использовать "облачные" технологии

NIST поможет американским госведомствам правильно использовать "облачные" технологии

Соответствующие цели преследует доклад Национального института технологий и стандартизации США, вышедший в свет 2 февраля текущего года. Согласно документу, одними из основных задач, которые необходимо решать при использовании "облачных" технологий, являются обеспечение надлежащей безопасности и управление рисками.



Доклад под названием "Руководство по обеспечению безопасности и конфиденциальности при использовании общедоступных "облачных" вычислений" был подготовлен институтом по запросу федерального инфокомиссара Вивека Кандры. С помощью этого документа г-н Кандра намерен ускорить процесс перехода правительственных учреждений к широкому использованию cloud-технологий: доклад NIST, в сущности, представляет собой набор стандартов и директив, которыми те или иные ведомства могут руководствоваться при переводе приложений и данных в "облако".


В документе, в частности, утверждается, что "сочетание легкодоступности "облачных" сервисов и отсутствия организационных мер контроля деятельности работников, пользующихся подобными службами в произвольном порядке, может создавать серьезные проблемы". По мнению авторов, "без надлежащего управления вычислительная инфраструктура организации может превратиться в нестабильное и неуправляемое смешение уязвимых сервисов". 


Разработчики документа постарались подробно проанализировать наиболее существенные вопросы и проблемы безопасности и конфиденциальности информации, обрабатываемой в "облаке". К примеру, в докладе освещен ряд моментов, связанных с локализацией информации: часто поставщик услуг не может или не желает предоставить клиенту точную информацию о том, где именно хранятся и обрабатываются его данные - а, следовательно, организация не располагает возможностью определить, установлены ли необходимые контуры защиты сведений и выполнены ли поставщиком требования, предъявляемые к системе защиты информации различными нормативными актами.


Ставит NIST и иные вопросы - например, об ответственности поставщика услуг за вверенные ему сведения (что имеет особое значение для государственных ведомств), об утрате непосредственного контроля над многими аспектами безопасности и необходимости оказания "беспрецедентного" доверия оператору "облака", об обострении инсайдерской угрозы, о проблематичности установления владельца информации, об усложнении процессов оценки и управления рисками и т.д.


Авторы документа призывают обратить особое внимание на архитектуру "облачной" системы, на поддержку оператором механизмов авторизации и аутентификации, а также на комплекс мер по обеспечению безопасности серверов и хранящихся там данных, которые принимает поставщик услуг делегированных вычислений. При этом подчеркивается, что все подобные вопросы должны быть рассмотрены и обработаны еще на стадии планирования, а не после того, как приложения и данные уже портированы в "облако".


Не менее важны и юридические аспекты. Операторы часто не имеют никакого представления о том, каковы требования к безопасности и конфиденциальности, принятые отдельными организациями-клиентами; в силу этого те или иные ведомства могут обнаружить, что предлагаемые "облачным" поставщиком условия обслуживания им попросту не подходят. В таких случаях NIST рекомендует инициировать переговоры с оператором в целях заключения дополнительных соглашений - например, по типу стандартного договора на делегирование выполняемых работ.


Ознакомиться с оригиналом документа можно здесь.

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Система Кибер Файлы теперь целиком совместима с Astra Linux, АЛЬТ и РЕД ОС

Компания «Киберпротект» анонсировала выпуск Кибер Файлы 9.2. В новой версии корпоративного решения для совместной работы повышена безопасность обмена информацией; поддержку Linux получили все серверные компоненты системы.

Ранее на базе Linux и дистрибутивов, в том числе российских (РЕД ОС, Astra Linux, АЛЬТ), можно было развернуть только сервер управления и СУБД. Теперь такую же возможность обрел сервер шлюза, отвечающий за доступ клиентов синхронизации к серверу управления и сетевым хранилищам данных.

В целях обеспечения безопасности Кибер Файлы предусматривает создание изолированных пространств для информационного обмена (Sync&Share). Отныне их можно плодить в неограниченном количестве, с легкостью добавляя и удаляя пользователей в группах, которым разрешен доступ к хранимым данным.

Расширение возможностей сегментирования также позволяет выстроить чёткую и логичную систему хранения файлов, соответствующую структуре конкретной компании или реализуемых в ней проектов.

Пользователи системы получили возможность делиться общедоступными ссылками не только на файлы, но и на папки, что упрощает доступ к информации внешним контрагентам.

«В новой версии Кибер Файлы значительно расширяют возможности управления доступом к файлам с сохранением высокого уровня безопасности и защиты информации, — комментирует Сергей Вахонин, директор направления систем ИБ в «Киберпротекте». — Более гибкие возможности сегментации хранимых данных и пользовательских файловых пространств в логике открытых и закрытых контуров файлового обмена соответствуют запросам наших крупнейших заказчиков и расширяют спектр возможных сценариев для применения Кибер Файлов в реальных условиях».

Проблему безопасного хранения информации обсуждали сегодня и на AM Live. Основное внимание было уделено российским системам резервного копирования и сервисам хранения данных, а также критериям, которые необходимо учитывать при выборе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru