NIST поможет американским госведомствам правильно использовать "облачные" технологии

Соответствующие цели преследует доклад Национального института технологий и стандартизации США, вышедший в свет 2 февраля текущего года. Согласно документу, одними из основных задач, которые необходимо решать при использовании "облачных" технологий, являются обеспечение надлежащей безопасности и управление рисками.

Доклад под названием "Руководство по обеспечению безопасности и конфиденциальности при использовании общедоступных "облачных" вычислений" был подготовлен институтом по запросу федерального инфокомиссара Вивека Кандры. С помощью этого документа г-н Кандра намерен ускорить процесс перехода правительственных учреждений к широкому использованию cloud-технологий: доклад NIST, в сущности, представляет собой набор стандартов и директив, которыми те или иные ведомства могут руководствоваться при переводе приложений и данных в "облако".

В документе, в частности, утверждается, что "сочетание легкодоступности "облачных" сервисов и отсутствия организационных мер контроля деятельности работников, пользующихся подобными службами в произвольном порядке, может создавать серьезные проблемы". По мнению авторов, "без надлежащего управления вычислительная инфраструктура организации может превратиться в нестабильное и неуправляемое смешение уязвимых сервисов". 

Разработчики документа постарались подробно проанализировать наиболее существенные вопросы и проблемы безопасности и конфиденциальности информации, обрабатываемой в "облаке". К примеру, в докладе освещен ряд моментов, связанных с локализацией информации: часто поставщик услуг не может или не желает предоставить клиенту точную информацию о том, где именно хранятся и обрабатываются его данные - а, следовательно, организация не располагает возможностью определить, установлены ли необходимые контуры защиты сведений и выполнены ли поставщиком требования, предъявляемые к системе защиты информации различными нормативными актами.

Ставит NIST и иные вопросы - например, об ответственности поставщика услуг за вверенные ему сведения (что имеет особое значение для государственных ведомств), об утрате непосредственного контроля над многими аспектами безопасности и необходимости оказания "беспрецедентного" доверия оператору "облака", об обострении инсайдерской угрозы, о проблематичности установления владельца информации, об усложнении процессов оценки и управления рисками и т.д.

Авторы документа призывают обратить особое внимание на архитектуру "облачной" системы, на поддержку оператором механизмов авторизации и аутентификации, а также на комплекс мер по обеспечению безопасности серверов и хранящихся там данных, которые принимает поставщик услуг делегированных вычислений. При этом подчеркивается, что все подобные вопросы должны быть рассмотрены и обработаны еще на стадии планирования, а не после того, как приложения и данные уже портированы в "облако".

Не менее важны и юридические аспекты. Операторы часто не имеют никакого представления о том, каковы требования к безопасности и конфиденциальности, принятые отдельными организациями-клиентами; в силу этого те или иные ведомства могут обнаружить, что предлагаемые "облачным" поставщиком условия обслуживания им попросту не подходят. В таких случаях NIST рекомендует инициировать переговоры с оператором в целях заключения дополнительных соглашений - например, по типу стандартного договора на делегирование выполняемых работ.

Ознакомиться с оригиналом документа можно здесь.