"Защита информации и соответствие требованиям регуляторов в облачных инфраструктурах"

Обеспечение информационной безопасности своей информационной инфраструктуры – это ежедневная насущная задача компаний любого масштаба и сферы деятельности. При этом необходимо помнить, что постоянно появляются новые угрозы, а старые угрозы изменяются, «перетекая» в новое качество. Поэтому задача подразделений информационной безопасности современного предприятия – как минимум, оперативно реагировать на эти изменения, а как максимум, опережать их.В последнее время все большую  востребованность приобретают технологии облачных вычислений. И это вполне оправдано: облачные среды помогают предприятиям достигать высокий уровень бесперебойности и доступности сервисов, предоставляемых клиентам. Тем не менее, облачные инфраструктуры не всегда способны обеспечить надёжную и продуманную защиту обрабатываемых данных. Однако с развитием этих технологий необходимость в средствах, обеспечивающих защиту и конфиденциальность информации, хранящейся в облаке, становится все более очевидной.Проблема обеспечения информационной безопасности в облачных инфраструктурах не всегда сводится лишь к решению технологических задач. Иногда важнее реализовать организационные меры и решить юридические задачи. И в этом отношении современной ИТ-индустрии есть куда развиваться. Так, например, на данный момент не очень понятно, что происходит, когда пользователь передает свои данные в облако. В то же время, очевидно, что клиент, доверяющий важную информацию (возможно, персональные данные) для хранения и обработки в облаке, должен полностью  контролировать каждый этап: как хранятся данные, как они обрабатываются и т.д.Итак, условно всех тех, кого интересуют данные, хранящиеся в облачных средах, можно разделить на две категории: киберпреступники и, как это ни странно, регуляторы.К киберпреступникам можно отнести злоумышленников, которые используют краденые данные для обогащения, адреса электронной почты, номера телефонов для рассылки спама или конфиденциальную информацию своих конкурентов для нанесения им экономического или репутационного ущерба. Если же говорить о регуляторах, то при использовании облачных вычислений перестает существовать такое важное понятие, как «границы контролируемой зоны», которые определяют периметр безопасной обработки информации. К тому же применение традиционных средств защиты на площадке «облачного» хостера представляется проблематичным. Что делать в таком случае? Самым простым для регуляторов является запрет на использование облачных сервисов, особенно когда речь идёт об обработке персональных данных. Таким образом, задача обеспечения легитимной обработки информации сводится к тому, чтобы сделать информацию неинтересной как злоумышленникам, так и регуляторам. Ответ на вопрос, как этого добиться, очень прост. По большому счету, требуется лишь выполнить преобразование осмысленной информации в бессмысленные данные средствами шифрования. Причём выполнение шифрования следует производить в границах контролируемой зоны, а на хранение в «облако» передавать уже обезличенные данные.Стоит заметить, что сами алгоритмы шифрования – это еще не все. В контролируемой зоне должны находиться системы управления ключами шифрования и системы распределения ключей шифрования. Также желательно, чтобы все алгоритмы были также на контролируемой территории, доступной для контроля со стороны  регуляторов. Такие разработки уже ведутся компанией «Аладдин Р.Д.» совместно с корпорацией Oracle. Сейчас в стадии тестирования находится решение, которое работает с облачным сервисом Oracle CRM On Demand. Разрабатываемое решение позволяет шифровать данные, которые организацией, использующей Oracle CRM on Demand, определены как информация ограниченного пользования. В первую очередь, наименования организаций, имена заказчиков, все адресные данные, т.е. все то, что можно объявить конфиденциальной информацией, в том числе персональные данные. Это средство представляет собой «прокси-сервер», который может работать в двух режимах. Первая схема работы такова: на каждом рабочем месте пользователя устанавливается индивидуальный прокси-сервер, который по заданным параметрам (алгоритм, ключ шифрования, тег данных) преобразует требуемую информацию, которая отправляется  на сервер облачных вычислений в виде обезличенных данных. Аналогично, данные, получаемые от сервера, преобразуются в осмысленную информацию и передаются в браузер пользователя. Шифрование происходит на рабочей станции пользователя, управление ключами шифрования - в контролируемой зоне организации, недоступной для хостера. Кроме того, зашифрованные данные, которые хранятся у хостера, уже не представляют никакого для киберпреступников. Зашифрованные данные не попадают под определение персональных данных и, следовательно, облако становится приемлемой средой хранения с точки зрения регуляторов.Второй способ включения: мы можем делать то же самое, но применяя некий большой appliance, т.е. один прокси-сервер используется для преобразования информации в обезличенные данные и обратно для многих пользователей внутри локальной сети организации. Помимо безопасности такой подход позволяет разгрузить виртуальную среду от операций шифрования, а также отказаться от шифрования трафика при передаче - вся важная информация передаётся в зашифрованном виде.Криптографическое ядро решения имеет сертификат ФСБ по уровням защиты КС1 и КС2 и предоставляет полный набор для управления шифрованием. Именно ядро реализует криптографию на стороне заказчика, и именно оно обеспечивает защиту персональных данных.Очевидно, что аналогичные решения на рынке представлены и иностранными производителями, но это не всегда устраивает регуляторов. По их мнению, иногда лучше вообще не шифровать, чем шифровать иностранными алгоритмами. В принципе заказчик может по своему усмотрению использовать и несертифицированные шифросредства. Но определенные классы систем должны защищаться только сертифицированными средствами защиты информации.