NIST поможет американским госведомствам правильно использовать "облачные" технологии

NIST поможет американским госведомствам правильно использовать "облачные" технологии

Соответствующие цели преследует доклад Национального института технологий и стандартизации США, вышедший в свет 2 февраля текущего года. Согласно документу, одними из основных задач, которые необходимо решать при использовании "облачных" технологий, являются обеспечение надлежащей безопасности и управление рисками.



Доклад под названием "Руководство по обеспечению безопасности и конфиденциальности при использовании общедоступных "облачных" вычислений" был подготовлен институтом по запросу федерального инфокомиссара Вивека Кандры. С помощью этого документа г-н Кандра намерен ускорить процесс перехода правительственных учреждений к широкому использованию cloud-технологий: доклад NIST, в сущности, представляет собой набор стандартов и директив, которыми те или иные ведомства могут руководствоваться при переводе приложений и данных в "облако".


В документе, в частности, утверждается, что "сочетание легкодоступности "облачных" сервисов и отсутствия организационных мер контроля деятельности работников, пользующихся подобными службами в произвольном порядке, может создавать серьезные проблемы". По мнению авторов, "без надлежащего управления вычислительная инфраструктура организации может превратиться в нестабильное и неуправляемое смешение уязвимых сервисов". 


Разработчики документа постарались подробно проанализировать наиболее существенные вопросы и проблемы безопасности и конфиденциальности информации, обрабатываемой в "облаке". К примеру, в докладе освещен ряд моментов, связанных с локализацией информации: часто поставщик услуг не может или не желает предоставить клиенту точную информацию о том, где именно хранятся и обрабатываются его данные - а, следовательно, организация не располагает возможностью определить, установлены ли необходимые контуры защиты сведений и выполнены ли поставщиком требования, предъявляемые к системе защиты информации различными нормативными актами.


Ставит NIST и иные вопросы - например, об ответственности поставщика услуг за вверенные ему сведения (что имеет особое значение для государственных ведомств), об утрате непосредственного контроля над многими аспектами безопасности и необходимости оказания "беспрецедентного" доверия оператору "облака", об обострении инсайдерской угрозы, о проблематичности установления владельца информации, об усложнении процессов оценки и управления рисками и т.д.


Авторы документа призывают обратить особое внимание на архитектуру "облачной" системы, на поддержку оператором механизмов авторизации и аутентификации, а также на комплекс мер по обеспечению безопасности серверов и хранящихся там данных, которые принимает поставщик услуг делегированных вычислений. При этом подчеркивается, что все подобные вопросы должны быть рассмотрены и обработаны еще на стадии планирования, а не после того, как приложения и данные уже портированы в "облако".


Не менее важны и юридические аспекты. Операторы часто не имеют никакого представления о том, каковы требования к безопасности и конфиденциальности, принятые отдельными организациями-клиентами; в силу этого те или иные ведомства могут обнаружить, что предлагаемые "облачным" поставщиком условия обслуживания им попросту не подходят. В таких случаях NIST рекомендует инициировать переговоры с оператором в целях заключения дополнительных соглашений - например, по типу стандартного договора на делегирование выполняемых работ.


Ознакомиться с оригиналом документа можно здесь.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru