Безопасность saas. Безкоровайный. risspa. cloudconf
TRANSCRIPT
![Page 1: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/1.jpg)
Безопасность SaaS –
разделение обязанностей между
клиентом и провайдером
Денис Безкоровайный, CISA, CISSP, CCSK
Вице-президент RISSPA,
Сооснователь Cloud Security Alliance Russian Chapter
Cloud Conf
15 мая 2012
Москва
![Page 2: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/2.jpg)
Безопасность наглядно
2
![Page 3: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/3.jpg)
Поедем?
3
![Page 4: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/4.jpg)
Важна ли SaaS-клиентам
безопасность?
Какой ущерб будет приченен компании если:
1. ее данные станут доступны всему
Интернету?
2. к ее данным получат доступ сотрудники
провайдера?
3. ее бизнес-процессы или данные будут
изменены третьей стороной?
4. данные или процесс будут недоступны?
4
![Page 5: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/5.jpg)
У кого контроль?
Серверы
Виртуализация
и частные
облака
Публичные
облака
PaaS
Публичные
облака
IaaS
Потребитель
Сервис-провайдер
Публичные
облака
SaaS
![Page 6: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/6.jpg)
Безопасность SaaS –
что должен делать провайдер
Защита физической инфраструктуры
(помещения, серверные стойки,
электроэнергия, охлаждение, серверы,
системы хранения)
Резервирование инфраструктуры и
обеспечение доступности, выполнение и
контроль SLA (сеть, системы хранения,
пропускная способность)
6
![Page 7: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/7.jpg)
Безопасность SaaS –
что должен делать провайдер
Защита операционных систем и управление
обновлениями/уязвимостями
Настройка и поддержка систем безопасности
(межсетевые экраны, системы
предотвращения атак, антивирус, фильтрация
пакетов, шифрование и тд)
Мониторинг работы систем безопасности и
сбор журналов событий
Непрерывность сервиса и восстановление
Кадровая безопасность 7
![Page 8: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/8.jpg)
Безопасность на уровне
приложения
Использует ли
провайдер:
отраслевые стандарты
для безопасного SDLC?
автоматизированные
средства анализа
исходного кода?
как насчет
аутсорсинговой
разработки? 8
![Page 9: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/9.jpg)
Безопасность SaaS –
задачи клиента
Управление учетными записями и правами
доступа пользователей
Управление системой аутентификации и
политиками аутентификации
блокировка учетных записей
при ошибках входа
настройка двухфакторной
аутентификации и тд
9
![Page 10: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/10.jpg)
Безопасность SaaS –
что часто клиенту недоступно
Настройка политики резервного копирования
Выгрузка резервных копий
Аудит систем обеспечения ИБ, анализ
защищенности
Настройка железа и ОС по своим стандартам
Анализ журналов регистрации и контроль
инцидентов
Применение собственных средств ИБ (кроме
редких исключений) 10
![Page 11: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/11.jpg)
Безопасность SaaS –
общие задачи
Выполнение нормативных требований и
требований законодательства в части
обрабатываемых данных
11
![Page 12: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/12.jpg)
Может ли провайдер убедить
клиентов что «все безопасно»
Подтверждение и
аудит эффективности
ИБ третьей стороной
Открытый диалог с
клиентами на тему ИБ
![Page 13: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/13.jpg)
Как клиенту выбрать
«правильного» SaaS-провайдера
13
![Page 14: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/14.jpg)
Признаки серьезного
SaaS-провайдера
Для него информационная безопасность –
один из ключевых аспектов сервиса
Он предоставляет клиентам сведения об
используемых системах и мерах защиты
Он подтверждает эффективность системы
управления ИБ сторонними аудитами
Он предоставляет рекомендации для клиентов
по информационной безопасности
14
![Page 15: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/15.jpg)
Что еще нужно знать
заказчикам о провайдере?
Способы защиты данных (гарантированное удаление,
разграничения между разными клиентами и тд)
Внутренний анализ рисков, тренинги, проверки персонала
Физическая защита и зависимость от внешних поставщиков
(надежность и безопасность датацентра, нижележащих
провайдеров и тд)
Порядок взаимодействия с органами (в каких случаях может быть
выдача данных и остановка сервиса, выемка данных у одного
заказчика не должна влиять на данные других и тд)
В какой стране находятся данные клиента
Список далеко не полный
![Page 16: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/16.jpg)
Оценка клиентом облачного
провайдера
Единая форма для ИБ-
вопросов на основе
лучших мировых
практик
Перевод документа от
Cloud Security Alliance:
«Опросник оценки
состояния безопасности
облачной среды»
www.risspa.ru/csa
![Page 17: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/17.jpg)
Равнение на лидеров
17
![Page 18: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/18.jpg)
Ситуация с безопасностью
облаков в России
Типичные фразы в описании
информационной безопасности у
провайдеров:
«Для защиты используется HTTPS»
«Мы делаем резервное
копирование»
«Дата-центр круглосуточно
охраняется»
Этого недостаточно!
![Page 19: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/19.jpg)
Текущие приоритеты
SaaS-провайдеров
Эффективность
Удобство
использования
Быстрые
изменения
Стоимость
.....
Безопасность??? 19
![Page 20: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/20.jpg)
Хороший SaaS провайдер
20
Эффективность
Безопасность
Удобство
использования
Быстрые
изменения
.....
![Page 21: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/21.jpg)
Cloud Security Alliance
Russian Chapter
Локализация руководств и результатов
исследований CSA
Адаптирование лучших практик CSA к
российским условиям и законодательству
Разработка рекомендаций для российских
потребителей облачных услуг
www.risspa.ru/csa
![Page 22: Безопасность SaaS. Безкоровайный. RISSPA. CloudConf](https://reader033.vdocuments.site/reader033/viewer/2022052412/557f1ce8d8b42a01678b51f6/html5/thumbnails/22.jpg)
22
Повышение уровня знаний специалистов ИБ Обмен опытом
Обсуждение актуальных проблем ИБ Формирование сообщества
профессионалов в области ИБ
Контакты и общение
Продвижение идей ИБ
Членство и участие в семинарах бесплатно
Регулярные очные и онлайн семинары
Что такое RISSPA?
Ассоциация профессионалов в области информационной безопасности
(Russian Information Security Systems Professional Association)Создана в июне 2006 года