Чи можливо реалізувати вимоги інформаційної безпеки та захистити дані в публічній хмарі? На кому лежить відповідальність за дотримання правових норм та стандарту? Чи може користувач купити готову хмарну інфраструктуру і самостійно нічого не робити?
Найпоширеніші питання, які виникають у більшості компаній перед переходом в хмари:
Слідуючи тенденціям ринку зараз все більше хмарних провайдерів пропонують своїм клієнтам широкий перелік послуг з інформаційної безпеки. Але на практиці часто можна зіткнутися зі складнощами, як в організаційних моментах всередині вендора, так і у взаємодії зі службами клієнтів.
Багато компаній бояться навіть не повністю втратити дані в хмарі, а їх крадіжки, тому до питання ІБ підходять особливо ретельно. Одним з перших у замовника хмарних послуг виникає питання:
А чи можна захистити дані, що зберігаються на чужому обладнанні, а здійснення адміністрування здійснюється фахівцями, які не входять в структурні підрозділи компанії - замовника?
Потреба в інформаційній безпеці можна умовно розділити на дві великі групи:
Реалізувати вимоги інформаційної безпеки та захисту даних в публічній хмарі можна. Хоча, безумовно, використання хмарних технологій накладає свої особливості і на процес забезпечення безпеки, і на процес перевірки захищеності екзаменаторам, і навіть на вибір IaaS-провайдера і проектування готової системи на базі хмари.
Необхідно правильно розмежовувати відповідальність за дотримання безпеки серед клієнтів та провайдера хмарних технологій. У будь якому випадку, згідно нормативно-правової бази, відповідальність за дотримання безпеки інформації в інформаційно-телекомунікаційній системі (ІТС) покладається на власника ІТС. Однак у випадку з використанням хмарних технологій, замовник, чия система розгорнута на хмарному сховищі не може повністю контролювати стан цієї ІТС. Враховуючи це, розподіл відповідальності надзвичайно важливий задля уникнення неприємних ситуацій.
Можна навести приклад, якщо використовується система IaaS, відповідальність за порушення стійкості можна покласти на провайдера, так як він може контролювати розподілення ресурсів та фізичну складову хмарної технології. Якщо відбувається порушення цілісності файлів, тобто, файли які знаходяться на «хмарі» зашифровані, та не можуть бути видозміненими сторонніми особами, окрім привілейованих користувачів, то в такому випадку відповідальність покладається на клієнта, те ж саме стосується каналу зв’язку, клієнта та «хмари», за безпеку якого відповідає також замовник.
Студенти кафедри систем інформаційного та кібернетичного захисту вивчаються дисципліну «Хмарні технології», де вони отримують знання про створення та забезпечення функціонування хмарних технологій. А використовуючи знання з інших дисциплін знають і вміють як забезпечити безпеку та захист інформації, що циркулює на хмарній інфраструктурі.