Рациональный подход к обеспечению ИБ предприятия для гибридной модели

Иван Бадеха, руководитель направления отдела проектов и технических решений департамента информационной безопасности, «Ай-Теко»

Принятие гибридной модели инфраструктуры и ИТ-сервисов подразумевает, в частности, использование предприятием публичных облачных ресурсов. Процессы обслуживания частично находятся на аутсорсинге, а связанные с этими риски остаются вне зоны непосредственного контроля организации. Другая часть сервисов при такой модели, соответственно, обслуживается внутренним ИТ-подразделением и располагается в общем случае в частном облаке.

Предприятия пользуются внешними облачными сервисами, а степень их применения должна определяться оптимальным соотношением эффективности информационных технологий и их безопасности для бизнеса.

Предпосылки использования гибридной модели в современных российских реалиях Для среднего и малого бизнеса, как правило, процент сервисов, реализуемых с помощью публичных облаков, существенно выше, чем для крупного бизнеса и государственного сектора. Это связано как с возможностями в области создания собственной инфраструктуры и поддерживающих ИТ-процессов, так и с разным отношением к вопросам обеспечения информационной безопасности. Однако при грамотном подходе к выбору и конфигурации сервисов, передаваемых в публичное облако, у крупных компаний их число может увеличиваться, в итоге приводя к повышению эффективности информационных технологий.

Целесообразно выводить в облако те сервисы, от которых будет наибольший положительный экономический эффект. В такой набор войдут сервисы:

• поддержка которых требует максимальной концентрации различных компетенций (за счет снижения требований к квалификации и числу собственного ИТ-персонала);
• имеющие динамически изменяющиеся требования к ресурсам (путем снижения требований к запасу мощностей в собственной ИТ-инфраструктуре);
• доступность которых прямо или косвенно существенным образом влияет как на показатели бизнеса, так и на выполнение тех или иных обязательных функций, в том числе государственных.

Особенности рисков ИБ при гибридной модели и механизмы их нивелирования

Риски ИБ при гибридной модели связаны в первую очередь со снижением контроля за процессами обработки информации при их выполнении на стороне внешнего провайдера. Например, у службы безопасности предприятия могут возникнуть следующие закономерные вопросы:

• где гарантия, что к данным, связанным с предоставлением сервиса и хранящимся на облачном сервере, не получит доступа злоумышленник;
• можно ли будет провести полноценное расследование, если злоумышленники смогут воспользоваться облачным сервисом для проведения мошеннических действий;
• что если облачный провайдер не справится с взятыми на себя обязательствами и не сможет обеспечить доступность сервиса и/или целостность данных; хватит ли денежной компенсации, если пострадает репутация;
• что делать, если серверы провайдера будут изъяты силовыми структурами по вине «соседнего» клиента;
• будет ли обработка персональных данных на стороне провайдера легитимной с точки зрения законодательства?

Попробуем классифицировать основные риски ИБ гибридной модели ИТ-сервисов (см. рисунок).

Рисунок

Полностью уйти от рисков ИБ в данном случае невозможно, поскольку риски эти зачастую возникают в зоне контроля облачного провайдера. Однако существуют различные способы их снижения и переноса. Снизить риск можно следующими способами.

1. Грамотное составление основного договора и Service level agreement (SLA), предусматривающих четкое разделение зон ответственности провайдера и клиента в случае возникновения тех или иных нештатных ситуаций или инцидентов информационной безопасности.
2. Выстраивание корректной правовой позиции в части выполнения действующего законодательства в области информации и защиты информации, включая вопросы обработки персональных данных, в том числе:

• проведение исследования в целях определения юридического лица, являющегося оператором информационных систем персональных данных, которые размещаются в облаке;
• при возложении роли оператора на провайдера облачных услуг – фиксирование и/или формирование достаточных правовых оснований для обработки персональных данных в информационной системе внешнего оператора, проверка наличия у провайдера комплекта лицензий, необходимых при оказании услуг по защите информации, в том числе с применением средств криптографической защиты информации (если таковые применяются);
• выполнение других мероприятий, связанных с созданием стройной системы инструментов реализации принятой правовой позиции.

3. Применение таких современных технологических решений, как:

• механизмы репликации и создания бэкапов данных, которые переносятся в публичное облако;
• средства шифрования файлов, дисков и целиком виртуальных машин;
• специализированные механизмы мониторинга выделяемой части ИТ-инфраструктуры провайдера;
• любые другие средства и механизмы, способствующие нивелированию рисков ИБ.

4. Тщательный выбор поставщика услуг исходя из репутации провайдера на рынке; сертификация центра обработки данных и обеспечивающих процессов по различным стандартам: сертификация системы менеджмента информационной безопасности по стандарту ISO/IEC 27001, сертификация центра обработки данных по уровню Tier по стандарту Uptime Institute, другие сертификации в зависимости от рода деятельности предприятия и типа сервиса (PCI DSS, ISAE3402, требования законодательства о персональных данных и пр.). Кроме того, при выборе поставщика услуг следует учитывать степень открытости провайдера для контроля выполняемых клиентом мероприятий и, безусловно, его платежеспособность для возмещения гипотетических убытков.

Существуют и варианты переноса риска, например путем их страхования. Однако такие услуги на данный момент не получили достаточного распространения на российском рынке страхования.

Исходя из существующих реалий можно сказать, что доступные механизмы нивелирования рисков ИБ, как правило, ограничены финансовыми возможностями выбранного облачного провайдера и степенью его клиентоориентированности.

Как создать наиболее сбалансированную гибридную модель?

Для создания сбалансированной гибридной модели необходимо, чтобы на предприятии уже была выстроена сервисная модель управления ИТ. Список сервисов нужно актуализировать и для каждого из них оценить такие параметры, как:

• возможности минимизации затрат в связи с переводом сервиса в облако в течение определенного периода времени:

а) сокращение издержек на содержание штата обслуживающего персонала;

б) утилизация высвобождающегося сетевого и серверного оборудования, систем хранения данных, задействованных при оказании сервиса, а также использование этих ресурсов под другие задачи и определение экономии с учетом амортизации;

в) снижение затрат на сопутствующие расходы (энергопотребление, аренда и пр.);

• размер оплаты для облачного провайдера за размещение необходимого объема ресурсов в облаке;
• наличие и величина рисков, связанных с информационной безопасностью;
• варианты снижения связанных с ИБ рисков с расчетом объемов затрат на реализацию.

С учетом оценки указанных параметров для каждого сервиса можно приступать к построению гибридной модели. Для этого требуется определить не только перечень сервисов, которые будут переведены в облако, но и набор сопутствующих мероприятий, в том числе снижающих риски информационной безопасности. Формулы, по которым проводятся вычисления, в каждом случае будут уникальными.

Таким образом, можно резюмировать: в первую очередь во внешнее облако имеет смысл выводить сервисы, обладающие наиболее высокими требованиями к доступности, но возникающие в связи с этим риски ИБ должны быть или изначально крайне малы, или минимизированы путем выполнения сопутствующих мероприятий.

Однако для современных средних и крупных предприятий становятся весьма существенными количество и сложность ИТ-сервисов, а также обеспечение их взаимодействия между собой. По этой причине при построении гибридной модели требуется детальное определение ее параметров на базе рационального подхода с использованием достаточно точных числовых экономических величин.

Эффективность модели во многом зависит от точности расчетов, поэтому для оценки параметров желательно привлекать экспертов, обладающих компетенциями в различных областях, включающих, как минимум:

• способы организации предоставления сервисов в области информационных технологий в соответствии с библиотекой ITIL;
• технические и организационные вопросы обеспечения информационной безопасности;
• особенности российского законодательства в области информации и защиты информации;
• специфические знания для применения технологий, используемых в рамках сервиса.

В данном случае рациональный подход позволяет детально определить параметры создаваемой гибридной модели ИТ, в том числе выбрать сервисы для переведения в публичное облако и способы минимизации рисков информационной безопасности, которые должны быть применены. К сожалению, сегодня мы сталкиваемся с тем, что далеко не все компании реализуют такой подход, в большей степени полагаясь на экспертные мнения ответственных лиц. Эта сложившаяся практика является единственно возможной в условиях, когда проведение предлагаемых детальных оценок в силу различных причин невозможно. Но рано или поздно любая организация сталкивается с ситуацией, когда один человек не в состоянии в полной мере оценить сложившееся положение дел, и тогда рекомендовано привлечение профильных экспертов.