Добавлен: 28.03.2023
Просмотров: 190
Скачиваний: 2
СОДЕРЖАНИЕ
Глава 1. Облачные технологии: основные понятия и значение
1.1. История облачных технологий
1.2. Основные понятия. Назначение облачных сервисов
1.3. Модели облачного размещения
Глава 2. Анализ специфики облачных сервисов и особенности защиты информации в киберпространстве
2.1. Технологическая специфика облачных сервисов
2.2. Особенности защиты персональных данных в облачном сегменте киберпространства
б)должно быть обеспечено круглосуточное обслуживание всей инфраструктуры;
в) необходимо физическое разделение ресурсов, например, инфраструктура, в которой обрабатываются критически важные и административные данные, физически должна располагаться отдельно от общей инфраструктуры, усилена безопасность которой не предвидится.
- Программная (софтверная) составляющая:
а) полномасштабную антивирусную защиту, особенно в случае пользования такими сервисами, как SaaS (программное обеспечение как услуга) и PaaS (платформа как услуга);
б) наличие специальных налаженных сетевых экранов (брандмауэров, файрволов) для виртуальных машин, а также для всех операционных систем, задействованных в инфраструктуре;
в) защита систем и программ в части хотя бы большей уязвимости;
г) обязательное шифрование по крайней мере важной и конфиденциальной информации, расположенной в облаке.
- Административно-нормативная составляющая:
а) пропускной режим в помещениях дата-центра (вплоть до биометрического контроля доступа), максимальная ограниченность, регламентация и учет доступа к информации, хранящейся в специализированных хранилищах и базах данных;
б) аутентификация пользователей по логину и паролю с обязательным шифрованием этого процесса;
в) внедрение системы статусов пользователей с соответствующей диверсией прав и уровней доступа к ресурсам инфраструктуры;
г) четкое соблюдение провайдером норм действующего законодательства (в отношении безопасности российского пользователя – в первую очередь Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных")[28].
Технико-технологическая и инфраструктурная специфика облаков обуславливает и специфичность рисков, связанных с их использованием, – они в значительной степени отличаются от информационных опасностей, типичных для систем предварительного поколения, и на данный момент являются более критичными. Но не стоит забывать, что облачные технологии постоянно и интенсивно внедряются, причем едва ли не быстрее именно тот их сегмент, связанный с безопасностью персональных и корпоративных данных.
В контексте прогнозируемого уже в 2018 г. бума облачных технологий в России особенную актуальность приобретают вопросы правового регулирования этой сферы. Необходимо отметить, что развитие нормативно-правовой базы "отстает" от темпов развития ІТ-сферы (и именно облачных вычислений) не только в России, но и во всем мире. Однако в России сейчас идет достаточно активная работа по усовершенствованию профильного законодательства.
В частности, 31.12.2017 г. был приняты и внесены изменения в федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" относительно усовершенствования системы защиты персональных данных[29].
Также существует закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018).[30]
Еще одной регуляторной проблемой, возникающей вместе с развитием облачного рынка в России, есть полное отсутствие соответствующих национальных стандартов, которые устанавливали бы надлежащие требования к качеству и надежности облачных технологий и услуг в России. В будущем, очевидно, нужна будет их гармонизация со стандартами ІЅО и ІЕС.
Актуальность этих вопросов обуславливается и тем фактом, что в России уже существуют проекты перехода к облачным технологиям ИТ-инфраструктур государственных органов. Базы данных российских государственных и муниципальных органов планируют перенести в единое облачное хранилище к 2020 году.
2.3. Преимущества и недостатки облачных вычислений
Преимущества облачных вычислений
Преимуществами облачных вычислений является то, что пользователь имеет возможность не покупать мощные компьютеры. В частности, и организации могут отказываться от приобретения мощных серверов и уходить “в облака”. Для разработчика – контролируемость всего процесса. В случае возникновения проблемы им существенно проще будет смоделировать ситуацию, вызвавшую ошибку, – ведь все данные и так хранятся в них. Пользователь оплачивает услугу только тогда, когда она ему нужна, а самое главное он платит только за то, что использует.
Облачные технологии позволяют экономить на приобретении, поддержке, модернизации ПО и оборудования.
Масштабируемость, отказоустойчивость и безопасность – автоматическое выделение и освобождение необходимых ресурсов в зависимости от потребностей приложения. Техническое обслуживание, обновление ПО осуществляет провайдер услуг.
Удаленный доступ к данным в облаке – работать можно из любой точки на планете, где есть доступ в сеть Интернет.
Недостатки облачных вычислений
Рассматривая преимущества “облачных” вычислений, стоит сказать и о недостатках, с которыми связан переход на “облака”. Наиболее существенный из них – угроза информационной безопасности. В условиях жесткой конкуренции, компании больше всего боятся утечек данных из сети “облачного” провайдера в результате перехвата информации, потери контроля над данными и приложениями, невозможности уничтожения данных, действий инсайдера на стороне провайдера или других пользователей “облака”. Для защиты можно использовать шифрование данных или их обезличивание. При этом шифровать надо не только те данные, что хранятся у провайдера, а канал связи с ним. Однако пока решения, которые позволяли бы эффективно защищать данные в “облаке”, не произведены.
Еще одним недостатком можно назвать привязку “облачной” технологии к конкретному поставщику услуг, сбои на стороне провайдера, выход из строя интерфейса администрирования, банкротство и поглощение оператора. Компании не зря опасаются этих событий, поскольку это может принести их бизнесу значительный материальный ущерб.
К другим рискам можно отнести потерю связи с сетью провайдера, DDoS-атаки и потерю соответствия требованиям регуляторов. Эти риски можно снизить с помощью правильного составления соглашения об уровне обслуживания (Service Level Agreement, SLA), которое позволит компенсировать часть убытков. Нормативные требования могут меняться со временем, а закон “О персональных данных” и вовсе делает “облачные” вычисления непригодными на практике. Однако, в некоторых случаях облачную систему можно сделать даже более защищенной, чем традиционную архитектуру, за счет распределения обязанностей и правильно составленных договоренностей.
В первую очередь, это, конечно, полная зависимость пользователя от подключения к Интернету. Без Интернета сразу пропадает все – письма, документы, контакты, игры, запланированные задачи, установленные будильники и тому подобное. Ну и, конечно, растет цена ошибки. Если у производителя возникает какой-либо сбой, он рискует потерять или выдать в открытый доступ все данные. Так, например, в 2009 году сервис для хранения закладок Magnolia потерял все свои данные. Нельзя сказать, что вероятность этого выше, чем поломка или потеря ноутбука пользователя, но просто масштаб катастрофы может быть действительно большой.
Пользователь не является владельцем и не имеет доступа к внутренней облачной инфраструктуре. Сохранение пользовательских данных зависит от компании провайдера. Отметим определенные недостатки:
– недостаток актуален для российских пользователей: для получения качественных услуг пользователю необходимо иметь надежный и быстрый доступ к сети Интернет.
– отсутствие общепринятых стандартов в направлении безопасности облачных технологий.
Заключение
Современные облачные технологии является прогрессивным и перспективным решением, одним из элементов революционной «третьей ИТ-платформы». Их быстрое распространение сейчас является одним из тех ключевых трендов, которые в ближайшие 5-8 лет заметно повлияют на глобальное развитие.
В самых развитых регионах мира (США, ЕС) уже приняты стратегические решения и планы действий по системному и комплексному развитию облачных сервисов, развернута соответствующая работа.
Использование облачных технологий связано не только с огромным уменьшением расходов и интенсификацией, но и со значимыми потребительскими рисками, которые можно несколько условно разделить на две группы:
1) системные, то есть такие, которые обусловлены самим строением облака как технико-технологического решения. Здесь, по большому счету, нерешенными окончательно является вопрос о:
а) безопасности ПД как таковой, то есть принципиальной способности сервисов гарантировать хранение и обработку данных согласно закону;
б) физического размещения ПД и их трансграничной передачи, поскольку содержание дата-центра в любой выгодной провайдеру точке Земли полностью соответствует самой идее облака, но может быть опасным для пользователя;
в) доступе пользователя к своим ПД, поскольку объективно он не контролирует этот доступ.
2) ситуативные, то есть обусловленные текущими обстоятельствами (финансовое и экономическое положение, конъюнктура рынков, несовершенство нормативно-правовой базы (включая несовершенство законодательства, стихийные бедствия, доступ к оборудованию и т.д.). В отличие от системных, эти проблемы в основном не имеют фундаментального характера, и можно ожидать, с дальнейшим развитием ИТ и установкой единых правил игры на рынке отрасли они в значительной степени будут решены.
В то же время: а) облачные решения все время усовершенствуются; б) облачный провайдер ныне может достичь приемлемого уровня безопасности, аккуратно соблюдая ряд условий.
Российский облачный рынок, в отличие от рынков США или ЕС, сейчас находится в "латентной фазе" развития - формирование пользы в государственном управлении (в т. ч. спроса и аккумулирования первичного опыта при выполнении задач правительственного плана потребления облачных решений, но согласно с одностайными экспертными прогнозами уже с 2016 г. и к 2018-2019 гг. он будет демонстрировать экспоненциальный рост, характерный для облачных рынков развитых стран. Многоразовое увеличение рынка в ближайшие годы приведет к возникновению нового значимого сектора российской экономики и инфраструктуры.
Такие перспективы развития актуализируют государственное регулирование в сфере связи и необходимость выработки государством эффективной регуляторной политики.
Список использованной литературы:
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации"
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных"
- 2013 BSA Global Cloud Computing Scorecard [Электронный ресурс]. – Режим доступа: http:// cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf
- Cebit – 2013. Безопасность в «облаках» / SoftLine Company [Электронный ресурс]. – Режим доступа: http://www.softline.kiev.ua/ru/blog/blog-kompanii/cebit-2013/729-cebit-2013-bezopasnost-v-oblakakh.html
- ISO/IEC CD 27040 Information technology – Security techniques – Storage security [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail. htm?csnumber=44404
- IT-специалисты не спешат доверить свои данные «облаку» / NEWS.ru.com. Технологии, 14.12.2012 [Электронный ресурс]. – Режим доступа: http://hitech.newsru.com/article/14dec2012/cloudrisk
- Lieberman Software : IT-специалисты не доверяют облачным сервисам / SecurityLab.ru. 14.12.2012 [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/435160.php
- Personal data in the cloud : A global survey of consumer attitudes / Fujitsu [Электронный ресурс]. – Режим доступа: http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf
- Symantec создает новую систему безопасности для облаков [Электронный ресурс]. – Режим доступа: http://www.symantec.com/ru/ru/about/news/release/article.jsp?prid=20120314_01
- Безопасность в облаке / Cisco [Электронный ресурс]. – Режим доступа: http://www.cisco.com/ web/UA/about/news/2011/11152011b.html
- Защита из облака – что такое Kaspersky Security Network [Электронный ресурс]. – Режим доступа: http://blog.kaspersky.ru/ksn/
- Инвестировать в бизнес будущего: облачные технологии [Электронный ресурс]. – Режим доступа: http://blog.tezis.io/investirovat-v-biznes-budushchego-oblachnye-tekhnologii
- ИСО : Идет работа над группой стандартов, касающихся облачных вычислений [Электронный ре-сурс]. – Режим доступа: http://rusrim.blogspot.com/2013/03/blog-post_14.html
- Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934
- Мошеннические облачные сервисы – бич 77 % компаний / SecurityLab.ru. 23.01.13 [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/436587.php
- Облачные провайдеры прячут данные от заказчиков [Электронный ресурс]. – Режим доступа: http://www.cnews.ru/news/top/index.shtml?2012/11/21/510449
- Облачные сервисы (рынок России) [Электронный ресурс]. – Режим доступа: http://www.tadviser.ru/index.php
-
2013 BSA Global Cloud Computing Scorecard [Электронный ресурс]. – Режим доступа: http:// cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf ↑
-
Инвестировать в бизнес будущего: облачные технологии [Электронный ресурс]. – Режим доступа: http://blog.tezis.io/investirovat-v-biznes-budushchego-oblachnye-tekhnologii ↑
-
Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934 ↑
-
ISO/IEC CD 27040 Information technology – Security techniques – Storage security [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail. htm?csnumber=44404 ↑
-
Инвестировать в бизнес будущего: облачные технологии [Электронный ресурс]. – Режим доступа: http://blog.tezis.io/investirovat-v-biznes-budushchego-oblachnye-tekhnologii ↑
-
Personal data in the cloud : A global survey of consumer attitudes / Fujitsu [Электронный ресурс]. – Режим доступа: http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf ↑
-
ISO/IEC CD 27040 Information technology – Security techniques – Storage security [Электронный ресурс].– Режим доступа: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail. htm?csnumber=44404 ↑
-
Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934 ↑
-
Lieberman Software : IT-специалисты не доверяют облачным сервисам / SecurityLab.ru. 14.12.2012 [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/435160.php ↑
-
Инвестировать в бизнес будущего: облачные технологии [Электронный ресурс]. – Режим доступа: http://blog.tezis.io/investirovat-v-biznes-budushchego-oblachnye-tekhnologii ↑
-
Облачные сервисы (рынок России) [Электронный ресурс]. – Режим доступа: http://www.tadviser.ru/index.php ↑
-
Облачные провайдеры прячут данные от заказчиков [Электронный ресурс]. – Режим доступа: http://www.cnews.ru/news/top/index.shtml?2012/11/21/510449 ↑
-
ИСО: Идет работа над группой стандартов, касающихся облачных вычислений [Электронный ре-сурс]. – Режим доступа: http://rusrim.blogspot.com/2013/03/blog-post_14.html ↑
-
Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934 ↑
-
ИСО: Идет работа над группой стандартов, касающихся облачных вычислений [Электронный ре-сурс]. – Режим доступа: http://rusrim.blogspot.com/2013/03/blog-post_14.html ↑
-
Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934 ↑
-
Облачные провайдеры прячут данные от заказчиков [Электронный ресурс]. – Режим доступа: http://www.cnews.ru/news/top/index.shtml?2012/11/21/510449 ↑
-
Cebit – 2013. Безопасность в «облаках» / SoftLine Company [Электронный ресурс]. – Режим доступа: http://www.softline.kiev.ua/ru/blog/blog-kompanii/cebit-2013/729-cebit-2013-bezopasnost-v-oblakakh.html ↑
-
Колеров Ю. Облачный рынок в цифрах и фактах: взгляд Parallels : докл. на CLOUD Computing Summit 2013 (1 марта, Киев) / Ю. Колеров [Электронный ресурс]. – Режим доступа: http://www.ex.ua/ view_storage/271113003934 ↑
-
ISO/IEC CD 27040 Information technology – Security techniques – Storage security [Электронный ресурс]. – Режим доступа: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail. htm?csnumber=44404 ↑
-
Cebit – 2013. Безопасность в «облаках» / SoftLine Company [Электронный ресурс]. – Режим доступа: http://www.softline.kiev.ua/ru/blog/blog-kompanii/cebit-2013/729-cebit-2013-bezopasnost-v-oblakakh.html ↑
-
2013 BSA Global Cloud Computing Scorecard [Электронный ресурс]. – Режим доступа: http:// cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf ↑
-
Cebit – 2013. Безопасность в «облаках» / SoftLine Company [Электронный ресурс]. – Режим доступа: http://www.softline.kiev.ua/ru/blog/blog-kompanii/cebit-2013/729-cebit-2013-bezopasnost-v-oblakakh.html ↑
-
Personal data in the cloud : A global survey of consumer attitudes / Fujitsu [Электронный ресурс]. – Режим доступа: http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf ↑
-
Защита из облака – что такое Kaspersky Security Network [Электронный ресурс]. – Режим доступа: http://blog.kaspersky.ru/ksn/ ↑
-
Symantec создает новую систему безопасности для облаков [Электронный ресурс]. – Режим доступа: http://www.symantec.com/ru/ru/about/news/release/article.jsp?prid=20120314_01 ↑
-
Personal data in the cloud : A global survey of consumer attitudes / Fujitsu [Электронный ресурс]. – Режим доступа: http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf ↑
-
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" ↑
-
Там же ↑
-
Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации" ↑