В облака с юридическим «приложением»
20.05.2015
Александр ШИБАЕВ, начальник управления эксплуатации обеспечивающих систем Межрегионального центра информатизации ЦБ РФ
В облака с юридическим «приложением»
Основная проблема, которая ожидает любую компанию при внедрении облачных сервисов, – трудности сопряжения технологии и требований нормативных документов.
Сегодня мы наблюдаем весьма болезненный конфликт: технология и нормативная база развиваются независимо и с разной скоростью. Использование облачных сервисов фактически предполагает два варианта: используй, что есть, и верь своему провайдеру или строй свое собственное облако. В обоих случаях имеет смысл обратиться к юридической компании, специализирующейся в области ИТ, чтобы разобраться, удовлетворяет ли используемая технология требованиям регуляторов. Требования зачастую противоречивы, некоторые можно трактовать так, что пользователь должен буквально пальцем показать, на каком сервере и на каком диске лежат его данные в каждый момент времени. Поэтому для реализации требований, многие из которых сохранились с 90-х годов прошлого века, необходимо «юридически выверенное» проектирование. Услуг системного интегратора, облачного провайдера, боюсь, может оказаться недостаточно.
Привлекать юристов при переходе в облако следует и крупной компании, и госорганизации, потому что иногда требования разных регуляторов противоречат друг другу, а бывает, что различаются и требования одного регулятора в разных документах. А нарушения караются болезненно! К юристам следует обратиться и системным интеграторам: вполне вероятно, что ваш специалист по информационной безопасности не волне корректно трактует положения нормативных документов. Прогресс в нормативной базе для «виртуального мира» пока минимален, но ИТ-юристы уже начали взаимодействовать с регуляторами. Юристов стали выслушивать, так что можно надеяться, что через некоторое время к ним начнут прислушиваться.
Экономические реалии таковы, что переход в облако или его создание должны подчиняться твердо поставленным целям: либо больше сервиса за имеющиеся деньги, либо имеющийся сервис по меньшей цене. По моему мнению, некоторая экономия не помешает достижению бизнес-целей. Так, несколько проще выполнить требования по информационной безопасности при переносе серверов в корпоративный или коммерческий дата-центр. Такая конфигурация, по сути, не является облачной системой, поскольку аренда ресурсов (квадратных метров или выделенных серверов) в ЦОДе – это не аренда ресурсов в облаке. Заказчик фактически пользуется собственными ресурсами, которые размещены в стороннем дата-центре. Но расходы заказчика могут быть снижены, а сервис расширен!
Для мелких и средних компаний слишком дорого самостоятельно разбираться и реализовать все нормативные требования по ИБ, и в этом вопросе они всецело полагаются на операторов облачных сервисов. Однако используемые провайдерами облачные платформы и платформы виртуализации имеют разные средства безопасности, и не всегда можно с уверенностью сказать, что их реализация соответствует российским нормативным документам. Во всяком случае, клиенту трудно это проверить. Ему остается только доверять своему провайдеру. Например, некоторые международные банки перенесли тысячи своих рабочих мест в облака Amazon, но российским банкам использование облаков сторонних провайдеров прямо запрещено. Нашим заказчикам прежде, чем переходить в облака, нужно как минимум узнать, где находится дата-центр провайдера, исследовать организацию защиты информации и средства, обеспечивающие отделение друг от друга данных разных клиентов в облачной среде. Наша нормативная база позволяет создать свое частное облако либо на собственной инфраструктуре, либо на инфраструктуре провайдера (в последнем случае частное облако должно быть четко отделено от облаков других клиентов). Для этого требуется наличие поблизости надежного дата-центра и скоростные (и надежные!) каналы связи. Многие организации эту проблему решили.