29.09.2011

Финсектор готов к "облакам" лишь теоретически

CNews, сентябрь, 2011<br>Экспертное мнение Евгения Модина, руководителя отдела консалтинга компании "Аладдин Р.Д."

По мнению большинства банковских CIO, концепция облачных вычислений в исполнении внешних поставщиков для отечественной отрасли - пока завтрашний день. Однако частные облака на корпоративном уровне уже дают ощутимый эффект экономии, что заставляет всех участников рынка по крайней мере задуматься об их использовании.

Информационную безопасность обычно рассматривают как комплекс организационных и технических мероприятий, находящийся в постоянном совершенствовании. Именно проработанность мероприятий такого комплекса позволяет обеспечить приемлемый уровень безопасности. Основополагающее значение при этом имеют организационные мероприятия. Оно и понятно - неправильно организованная эксплуатация средств защиты ни к чему хорошему не приведёт. При этом проработанность организационной составляющей напрямую зависит от наличия нормативно-правовой базы документов, в состав которой входят законодательные акты, стандарты, рекомендации регуляторов, проработанные юристами договора, регламенты, инструкции и т.д.

К сожалению, на сегодняшний день для облачных вычислений такой нормативно-правовой базы документов не существует, следовательно, обеспечение безопасности для тех же провайдеров, предоставляющих облачные сервисы, является делом добровольным и во многом зависит от их компетенции и того, насколько грамотно будут прописаны эти вопросы в договорных отношениях с клиентами. Это с одной стороны; с другой стороны, учитывая возможность динамического изменения инфраструктуры, должна быть отрегулирована ответственность между провайдерами за возможный ущерб. Нет полной ясности в вопросах проведения расследования инцидентов и сбора доказательной базы.

Нет полной уверенности в эффективности использования существующих средств защиты в среде виртуализации, кластеризации, балансировки, автоматической установки и настройки приложений. Ключевую роль начинают играть вопросы организации доступа клиентов к сервисам, предоставляемым облачными средами, и контроль за правомочностью их действий, а здесь тоже есть нерешенные вопросы.

Подводя итог, можно сказать, что отсутствие нормативно правовой базы, низкий уровень статистических данных по инцидентам и, как следствие, слабая изученность имеющихся в этой технологии угроз делает её использование достаточно рискованным. Готовность к её использованию должна определяться, исходя из взвешенной оценки существующих рисков и тех преимуществ, которые она предоставляет.