06.11.2014

Как защитить данные в "облаке"

Интернет-портал bosfera.ru (журнал "Банковское обозрение"), ноябрь, 2014 <br>Экспертный комментарий Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."

На первый взгляд, перемещение информационной системы (ИС) в "облако" инфраструктуры (IaaS, или Infrastructure as a Service) или платформы (PaaS, или Platform as a Service) имеет очевидные преимущества для банка. Стоимость площадей под серверные помещения, да и само их обслуживание может быть весьма существенна. Несмотря на то, что переход в "облако" на первом этапе обычно требует достаточно большого бюджета, организации идут на этот шаг с целью сокращения затрат в будущем.

Однако такое перемещение, как правило, тормозится двумя главными причинами: доступность и безопасность. Доступность намеренно выделена, так как большинство "облачных" сервисов расположены вне юрисдикции РФ, и из-за нестабильной политической обстановки риск потерять доступ к своим данным несомненно возрастает. Эту проблему отчасти решают национальные "облачные системы", которые активно развиваются в последнее время, но даже в этом случае нет никакой гарантии лояльности персонала хостера, которому будет доступно всё, что хранится и обрабатывается в ИС. Так как степень защиты информации оценить практически невозможно, то целесообразно использование шифрования данных в "облаке" при управлении ключами шифрования внутри контролируемой зоны. При этом следует помнить, что шифрование потребует больших вычислительных мощностей, что, скорее всего, скажется на стоимости аренды процессоров.

В случае применения схемы SaaS (SaaS, или Software as a Service) защита информации вовсе выходит из-под контроля банка. В российских реалиях ситуация усугубляется ещё и тем, что регуляторы пока не выработали концепции защиты таких ИС. Возможный выход из данной ситуации — применение шифрующего прокси. Он представляет собой шлюз, настроенный на "облачное" приложение. Подобный подход позволяет не беспокоиться о сохранении конфиденциальности данных, отправленных в "облако", так как без ключа шифрования они бесполезны и не представляют интереса для потенциальных злоумышленников. Попутно решается задача с соответствием требованиям регуляторов, так как данные в итоге обезличенные, а управление ключами и сам процесс шифрования происходит в контролируемой зоне, для которой все методы защиты известны и имеются соответствующие руководящие документы.

Все публикации