Microsoft: Нельзя отдать данные в "облако" и забыть об их безопасности
Одна из ведущих идей текущего этапа развития информационного общества – это эксплуатация облачных вычислений. Виртуализация и централизация информационных ресурсов, и в особенности, данных ограниченного пользования, вызывают необходимость повышения гарантий безопасности. Об обеспечении надежности облачных вычислений и перспективах использования их в России состоялся разговор корреспондента CNews с директором по информационной безопасности Microsoft в России Владимиром Мамыкиным.
CNews: Как сегодня, на ваш взгляд, обстоят дела с защитой персональных данных в государственном секторе в нашей стране?
Владимир Мамыкин: В государственных организациях всегда заботились о защите государственных данных и умели их защищать. Введение нормативных требований по защите персональных данных значительно расширило спектр защищаемых данных, и, соответственно, значительно расширило круг организаций, которые должны эти данные защищать.
Многие небольшие организации, например муниципалитеты, впервые столкнулись с пониманием того, что для защиты персональных данных им надо использовать сертифицированное программное обеспечение. И это у них вызывает определенные проблемы – как убедиться в том, что все настроено правильно, где приобрести такое ПО, почему на рынке небольшой выбор такого ПО, и другие аналогичные вопросы.
Недавно в одном экономическом исследовании были названы три основных пункта обеспечения безопасности: защита интеллектуальной собственности, совместимость информационных систем, информационная безопасность. Информационная безопасность важна потому, что население не станет пользоваться информационной системой и, тем более, оплачивать через нее услуги, если оно не будет ей доверять.
Существует определенное недопонимание использования новшеств "облачной" технологии. Многие считают, что после передачи данных в "облако" остается только регулярно провайдеру и получать от него облачные услуги. Но это не так. Если вашей организации гражданин передал свои персональные данные, и вы заключили договор с оператором облачного сервиса и передали данные гражданина в облако, то в случае утечки его персональных данных перед гражданином в первую очередь будет отвечать не облачный оператор, а владелец данных – ваша организация. Поэтому при принятии решения о начале работы с таким провайдером надо быть готовым к необходимости создания новой ИТ-команды, с новыми задачами, которая обеспечит прозрачность процессов управления вашими данными в "облаке" у провайдера. Поэтому, если, например, какая-то госструктура собирается использовать облачные сервисы провайдеров услуг, то сотрудники этой госструктуры должны уметь делать очень многое, например, составлять документы для того, чтобы проводить аудит провайдера, которому переданы данные. Многие вопросы здесь, конечно, еще не до конца решены с юридической точки зрения - и не только у нас, в России, но и за рубежом. При этом хорошим правилом для развития инновационных процессов во всех странах является принятие законодательных конструкций, которые закрепляют утвердившиеся технологические практики
CNews: Какой вы видите архитектуру национальной платформы распределенной обработки данных, объединяющей госресурсы в "облаке"?
Владимир Мамыкин: Во-первых, провайдером облачного сервиса должна быть серьезная организация, которой государство доверяет по технологическим мощностям, по надежности персонала. Провайдеру следует иметь возможность выполнять все требования по безопасности: он обязан иметь свои ЦОДы, защищенные установленными сертифицированными средствами, регулярно контролируемые проверяющими органами. Эти дата-центры должны быть географически распределены, чтобы, с одной стороны, обеспечить катастрофоустойчивость и, с другой, - обеспечивать быстрый обмен данными. Очень важен вопрос персонала: все специалисты обязаны быть профессионалами самого высокого уровня, тут недостаточно аутсорсеров. И, конечно, очень важно достичь доверия граждан к подобной системе.
CNews: К основным задачам по обеспечению безопасности в "облаках" относятся соответствие законодательству "О персональных данных" и управление рисками, идентификация и контроль доступа, целостность сервиса, защита конечных точек, а также соблюдение других правил информационной безопасности. Соответствуют ли облачные продукты Microsoft российскому законодательству "О персональных данных"?
Владимир Мамыкин: Законы о защите персональных данных приняты многими странами, и во многих из них – много лет назад. Майкрософт выполняет законодательные требования в тех странах, где ведет свою деятельность, в том числе и в части защиты персональных данных. Для нас это процесс понятный, мы знаем, как сочетать в системе защиты персональных данных законодательства нескольких государств. Наши представительства во всем мире прошли через это. В России мы также соблюдаем российское законодательство. Например, все продукты, которые Microsoft сейчас предлагает для частных "облаков", сертифицированы в соответствии с требованиями ФСТЭК, некоторые – ФСБ. Если будет положительно рассмотрено предложение по использованию наших технологий в облачных национальных сервисах, закрытых центрах обработки данных (ЦОД) России, то можно сказать, что наши решения готовы к применению. Если говорить о публичных облаках, то пока требования по их сертифкации не сформулированы ни в одной стране. Идет процесс формирования таких документов, он очень непростой. Как только в России появятся требования, описывающие процедуры сертификации для публичных облаков, мы сразу начнем сертифицировать свои продукты на соответствие этим требованиям. Надеюсь, как и всегда, успешно.
http://www.cnews.ru/reviews/index.shtml?2011/11/16/464832