NIST поможет американским госведомствам правильно использовать "облачные" технологии

Соответствующие цели преследует доклад Национального института технологий и стандартизации США, вышедший в свет 2 февраля текущего года. Согласно документу, одними из основных задач, которые необходимо решать при использовании "облачных" технологий, являются обеспечение надлежащей безопасности и управление рисками.



Доклад под названием "Руководство по обеспечению безопасности и конфиденциальности при использовании общедоступных "облачных" вычислений" был подготовлен институтом по запросу федерального инфокомиссара Вивека Кандры. С помощью этого документа г-н Кандра намерен ускорить процесс перехода правительственных учреждений к широкому использованию cloud-технологий: доклад NIST, в сущности, представляет собой набор стандартов и директив, которыми те или иные ведомства могут руководствоваться при переводе приложений и данных в "облако".


В документе, в частности, утверждается, что "сочетание легкодоступности "облачных" сервисов и отсутствия организационных мер контроля деятельности работников, пользующихся подобными службами в произвольном порядке, может создавать серьезные проблемы". По мнению авторов, "без надлежащего управления вычислительная инфраструктура организации может превратиться в нестабильное и неуправляемое смешение уязвимых сервисов". 


Разработчики документа постарались подробно проанализировать наиболее существенные вопросы и проблемы безопасности и конфиденциальности информации, обрабатываемой в "облаке". К примеру, в докладе освещен ряд моментов, связанных с локализацией информации: часто поставщик услуг не может или не желает предоставить клиенту точную информацию о том, где именно хранятся и обрабатываются его данные - а, следовательно, организация не располагает возможностью определить, установлены ли необходимые контуры защиты сведений и выполнены ли поставщиком требования, предъявляемые к системе защиты информации различными нормативными актами.


Ставит NIST и иные вопросы - например, об ответственности поставщика услуг за вверенные ему сведения (что имеет особое значение для государственных ведомств), об утрате непосредственного контроля над многими аспектами безопасности и необходимости оказания "беспрецедентного" доверия оператору "облака", об обострении инсайдерской угрозы, о проблематичности установления владельца информации, об усложнении процессов оценки и управления рисками и т.д.


Авторы документа призывают обратить особое внимание на архитектуру "облачной" системы, на поддержку оператором механизмов авторизации и аутентификации, а также на комплекс мер по обеспечению безопасности серверов и хранящихся там данных, которые принимает поставщик услуг делегированных вычислений. При этом подчеркивается, что все подобные вопросы должны быть рассмотрены и обработаны еще на стадии планирования, а не после того, как приложения и данные уже портированы в "облако".


Не менее важны и юридические аспекты. Операторы часто не имеют никакого представления о том, каковы требования к безопасности и конфиденциальности, принятые отдельными организациями-клиентами; в силу этого те или иные ведомства могут обнаружить, что предлагаемые "облачным" поставщиком условия обслуживания им попросту не подходят. В таких случаях NIST рекомендует инициировать переговоры с оператором в целях заключения дополнительных соглашений - например, по типу стандартного договора на делегирование выполняемых работ.


Ознакомиться с оригиналом документа можно здесь.

" />

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

По стопам Windows: Linux Mint будет принудительно устанавливать апдейты

Разработчики бесплатного дистрибутива Linux Mint решили пойти по стопам Windows и ужесточить контроль над обновлениями версий операционной системы. А всё из-за того, что пользователи крайне беспечно относятся к апдейтам.

При изучении привычек пользователей Linux Mint команда разработчиков дистрибутива пришла к выводу, что первые не склонны регулярно обновлять версию ОС. И речь идёт не просто о периодическом пропуске выходящих патчей, а об использовании неподдерживаемых версий ОС больше года.

Например, в блоге есть информация о том, что многие устройства по сей день работают на Linux Mint 17.x, а эту версию разработчики не поддерживают с апреля 2019 года.

Такое положение дел подтверждает, что пользователи Linux не всегда ответственны, когда речь заходит о регулярном патчинге. Возможно, это отчасти связано с тем, что они верят в свою неуязвимость перед вредоносными программами и стандартными кибератаками.

Тем не менее разработчики Linux Mint признали и свою ошибку — пользователям не напоминают об установке обновлений и не подталкивают к апдейту системы. Но теперь всё изменится, согласно новому посту в блоге Linux Mint.

Менеджер обновлений отныне будет уведомлять пользователей о наличии патчей, которые желательно установить. Более того, в некоторых случаях, согласно посту, апдейты будут инсталлироваться в принудительном порядке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru