CC BY
7
УДК 004
Барашко Е.Н.
старший преподаватель кафедры «Информационные технологии» Донской государственный технический университет
Россия, г. Ростов-на-Дону Маркевич С.Л. студент
2 курс, факультет «информатика и вычислительная техник» Донской государственный технический университет
Россия, г. Ростов-на-Дону Глазунова О.Д. студент
2 курс, факультет «информатика и вычислительная техник» Донской государственный технический университет
Россия, г. Ростов-на-Дону АНАЛИЗ ВОПРОСТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОБЛАЧНЫХ ТЕХНОЛОГИЯХ Аннотация: Статья посвящена основным вопросам и проблемам информационной безопасности в облачных технологиях. В статье проводится сравнительный анализ подходов и сущностей классификации различных организаций. На основе свойств, отражающих уровень информационной безопасности, выделены плюсы и минусы тех или иных организаций.
Ключевые слова: Скорость, Ресурсы, Сетевой доступ, Облачные технологии, Безопасность.
Barashko E. N.
senior lecturer, Department of Information technologies
Don state technical University Russia, Rostov-on-don Markevich S. L. student
2 course, faculty "Informatics and computer engineering»
Don state technical University Russia, Rostov-on-don Glazunova O.D. student
2 course, faculty "Informatics and computer engineering»
Don state technical University Russia, Rostov-on-don ANALYSIS OF INFORMATION SECURITY ISSUES IN CLOUD
TECHNOLOGIES Abstract: the Article is devoted to the main issues and problems of information security in cloud technologies. The article provides a comparative analysis of approaches and entities of classification of different organizations. On
the basis of the properties reflecting the level of information security, the pros and cons of various organizations are highlighted.
Keywords: Speed, Resources , Network access, Cloud technologies, Security.
Введение. В условиях стремительного развития современных информационных технологий и сети Интернет, а также спада мировой экономики, организации отходят от использования собственного оборудования и программного обеспечения в сторону сервис -ориентированных технологий. Облачные информационные системы (англ. Cloud Computing) - информационные системы, в которых пользователь получает компьютерные ресурсы и мощности как Интернет-сервис, станут одной из главных технологий развития ИТ в течение следующих 5 лет.
При проектировании и реализации различных информационных проектов встает вопрос построения информационной инфраструктуры для хранения, обработки и анализа данных. Одним из вариантов решения проблемы является аренда оборудования и программного обеспечения у других компаний.
Целью данной статьи является сравнительный анализ подходов и сущностей классификации информационной безопасности организаций CSA, ENISA, NIST.
Основная часть. По определению NIST [1], облачные ИС должны обладать следующими свойствами:
•использование ресурсов по требованию на основе самообслуживания;
• повсеместный сетевой доступ;
• объединения ресурсов в пул и их многократная аренда;
• быстрая, эластичная перенастройка;
• измеримость услуги
Приведенные свойства отражают пять групп технологий, которые уже давно работают на рынке, а их совместное использование в ИС получило название "облачные вычисления".
Пользователь не контактируя с представителем поставщика услуг может в одностороннем порядке выявлять и изменять серверное время, скорость обработки данных, объем хранимых данных, скорость доступа данных и мн. др. Все эти функции поддерживает технология использования ресурсов по требованию на основе самообслуживания (англ. on-demand selfservice).
Независимо от вида клиентских платформ (как пример, планшеты, ноутбуки и прочие гаджеты) услуги могут быть предоставлены пользователям через сети передачи информации. Данный функционал поддерживает технология broad network access - повсеместный сетевой доступ.
Применение многопользовательской модели с множественными виртуальными и физическими ресурсами, поддерживающие возможность перераспределения между потребителями согласно спроса выполняется при
помощи технологии resource pooling или иными словами объединение ресурсов в пул и их многократная аренда. Данная технология поддерживает функцию объединения всех ресурсов обслуживания многими пользователями.
В данной технологии поддерживается возможность указать конкретное местоположение на более высоком уровне абстракции (например, штат, страну или место обработки данных), при этом на стороне клиента вовсе необязательным является осуществление контроля расположения ресурса. В качестве примеров таких ресурсов можно привести: память, пропускную способность сети, хранилища данных, вычислительные мощности.
Обеспечение расширения, сужения, предоставления в автоматическом режиме ресурсов пользователю в любой момент времени, без временных затрат на взаимодействие с поставщиком предоставляет rapid elasticity -эластичная, быстрая перенастройка.
На сегодняшний день главенствующими фирмами, которые занимаются вопросами безопасности облачных технологий, являются Альянс безопасности в облаке (Cloud Security Alliance, CSA), который содержит в своем составе представителей из IT-индустрии, а также двух национальных организаций США и Европы: Европейское агентство сетевой и информационной безопасности (ENISA) и Национальный институт стандартов и технологий (NIST).
Каждая из приведенных организаций разработала и внедрила сопутствующий документ классификации всех имеющихся проблем информационной безопасности в облачных технологиях. Рассмотрим их и проведем их сравнительный анализ.
CSA - это некоммерческая организация, которая берет свое существование с конца 2008 года. При этом ее учредителями выступили мощнейшие ИТ-компании, связанные с внедрением и разработкой облачных технологий: Google, Microsoft, IBM, Salesforce.com, VMware и другие.
Агентство (ENISA) - это организация, работа которой состоит в «повышении способности Европейского Союза, государств-членов ЕС и бизнес-сообщества на предупреждение, ликвидацию и реагирование на проблемы сетевой и информационной безопасности».
Разработка стандарта по обеспечению конфиденциальности и безопасности в общественных облачных технологиях была поручена компании NIST с целью внедрения облачных вычислений правительством США. В связи с этим организация NIST, начиная с 2011 года опубликовала перечень документов, которые рассматривали вопросы информационной безопасности в облаке, предоставляли четкое определение облачным вычислениям, предоставляли соответствующие рекомендации по ликвидации и оценке имеющихся рисков информационной безопасности в облаке.
Сравнение осуществлено по двум основным группами составляющих: правовые и организационные вопросы информационной безопасности в
облаке. Основываясь на рассмотренных классификациях, был выделен вопрос информационной безопасности в каждой из групп, приведены в таблицах 1, 2. Если вопросы информационной безопасности были рассмотрены в классификации полностью, оно отмечено как «+», если частично - «+/-», в случае отсутствия - «-».
Таблица 1
_Сравнение правовых составляющих ИБ_
№ Правовые вопросы ИБ Классификация
СБА Б№8А N181
1 Соблюдение международных и государственных стандартов, законов и правил + + +
2 Договор между поставщиком и клиентом + + +
3 Право собственности на электронные данные + + +
4 Несоответствие законодательства различных стран в области электронных данных + + +
5 Защита авторского права (БЯМ) +
6 Соблюдение законов и правил государств к данным в облаке + + +
7 Изменение поставщика услуг или его покупка другим поставщиком + + +
Таблица 2
Сравнение о
)ганизационных составляющих ИБ
Правовые вопросы Классификация
ИБ CSA ENISA NIST
Управление рисками (корпоративными, + + +
предприятия, информационными,
поставщика услуг)
Управление безопасностью информации + + +
пользователя
Доверие к поставщику услуг (проведение аудита, тестирование, обновление обеспечения, + + +
поддержка в проведении экспертизы)
Защита от инсайдеров + + +
Реагирование на + + +
инциденты ИБ, их
мониторинг, решение
Защита персональных - - +
данных пользователя
Отказ сервисов облака + + +
по причине стихийного бедствия, сбоев в работе
сервисов облака, которые
поддерживаются третьей
стороной
Анализ данных таблиц показывает, что в основном составляющие информационной безопасности совпадают во всех классификациях. Наиболее всеохватывающая и детализированная классификация была предложена организацией CSA, однако ее существенным минусом является интеграция организационных и правовых проблем информационной безопасности.
В качестве главного достоинства классификации, предоставленной организацией ENISA является возможность оценивания вероятности происхождения рисков, связанных с информационной безопасностью, возможными причинами их появления, взаимосвязь с иными рисками. В качестве весомых недостатков классификации NIST можно назвать отсутствие разбиения проблем информационной безопасности на три главных группы, как это было осуществлено в классификации ENISA.
Выводы. Облачные вычисления представляют собой комбинацию из нескольких ключевых технологий, которые были разработаны в течение
многих лет и рассматриваются многими исследователями как следующее поколение IT-архитектуры предприятий.
Со всем объемом достоинств, которые предоставляет применение облачных вычислений, есть много вопросов безопасности, которые на сегодняшний день недостаточно хорошо проанализированы и находятся еще на стадии обсуждения.
Отметим, что одной из самых весомых проблем, является доверие пользователей к поставщику услуг. Эта проблема достаточно глобальна не только для организаций и фирм, использующих сторонних поставщиков, но и простых пользователей, персональные данные которых также нуждаются в защите и гарантиях безопасности.
Поэтому целесообразным решением является внедрение механизмов контроля поставщиков облачных услуг на международном уровне или на уровне страны, с целью осуществления аудита безопасности и контроля их соразмерности международным или государственным стандартам и предъявляемым к ним условий.
Использованные источники:
1. The NIST Definition of Cloud Computing, NIST Special Publication 800145, 2019.
2. Guidelines on Security and Privacy in Public Cloud Computing, NIST SP800-144, 2019.
3. Security Guidance for Critical Areas of Focus in Cloud Computing, Version 3.0. Technical report, Cloud Security Alliance, 2017
