Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

На пороге виртуального завтра…

Аватар пользователя m.e.sidorova
Автор: Сидорова Мария, Russian Information Security Club (RISC)
(0)
()
Опубликовано в: ,

Долгое время стандарт индустрии платежных карт PCI DSS был единственным документом, в котором были учтены отдельные особенности защиты информации в виртуальной среде. И вот 18 февраля 2013 года ФСТЭК России выпускает приказ № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в котором впервые в российской практике указывает меры по защите информации, обрабатываемой в виртуальной среде. Сейчас этот приказ находится на регистрации в Минюсте, поэтому пока финальная версия приказа нам недоступна. Однако какое-то время назад на сайте ФСТЭК России был опубликован проект этого приказа, который дает некоторое представление о том, что нас ожидает.

В проекте приказа определены 11 мер по защите информации, обрабатываемой в виртуальной среде. Они включают в себя:

  1. Аутентификацию компонентов виртуализированной инфраструктуры, администраторов управления средствами виртуализации, терминальных устройств виртуализированной инфраструктуры.
  2. Управление доступом к компонентам виртуализированной инфраструктуры.
  3. Управление потоками информации между компонентами виртуализированной инфраструктуры, а также по периметру виртуализированной инфраструктуры.
  4. Доверенную загрузку серверов виртуализации, виртуальных машин и серверов управления виртуализированной инфраструктурой.
  5. Разграничение доступа к данным, обрабатываемым в виртуальных машинах, и изоляцию виртуальных машин.
  6. Управление перемещением виртуальных машин и обрабатываемых на них данных.
  7. Регистрацию событий в виртуализированной инфраструктуре, относящихся к безопасности персональных данных.
  8. Контроль целостности конфигураций компонентов виртуализированной инфраструктуры и самих компонентов.
  9. Резервное копирование данных, резервирование технических средств и программного обеспечения виртуализированной инфраструктуры, а также каналов связи виртуализированной инфраструктуры.
  10. Распределенное хранение данных и восстановление информации после сбоев.
  11. Реализацию и управление антивирусной защитой и обнаружение вторжений, направленных на виртуализированную инфраструктуру.

Проект приказа, где перечислены вышеупомянутые меры, был опубликован на сайте ФСТЭК России в середине февраля 2013 года, однако позже некоторые эксперты (в частности, Алексей Лукацкий на вебинаре ассоциации RISSPA от 15.03.2013) заявляли уже о 10 мерах.

Так как это пока только проект, документ может еще претерпеть некоторые изменения, но в той или иной степени эти меры войдут и в финальную версию. Если приказ будет утвержден в том виде, в котором он нам доступен сейчас, то применение специализированных инструментов защиты для виртуализированных инфраструктур станет обязательным. Часть требований просто невозможно выполнить, используя только традиционные средства защиты информации. Кроме того, если применять и последовательно внедрять только их, тем самым выполняя требования регуляторов, то можно легко набрать целый «зоопарк» средств защиты информации, в то время как специализированные инструменты позволят выполнить от 5 до 8 необходимых мер сразу и тем самым сократить количество используемых средств защиты.

Что изменится с принятием приказа? Необходимы ли такие требования? Своевременны ли они? Работают ли на реальную безопасность? И что они принесут?  Следование требованиям действительно усилит безопасность данных в виртуальной среде или приведет к формальному закрытию требований и безопасности «на бумаге»?

Оцените материал:
Total votes: 408
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.