Изучение принципов защиты информации в облачных сервисах
Общие методы обеспечения информационной безопасности. Плюсы и минусы использования облачных технологий. Телекоммуникационная составляющая доступа к ресурсам центра обработки данных. Технические и организационные меры по защите и безопасности данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 14.03.2016 |
Размер файла | 188,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Оглавление
Введение
1. Защита информации в облачных технологиях
1.1 Общие методы обеспечения информационной безопасности
1.1.1 Информационная безопасность и возможные угрозы
1.1.1.1 Понятие информационной безопасности
1.1.1.2 Угрозы информационной безопасности
1.1.2 Общие методы применяемые для безопасности информации
1.3 Характеристика услуг в облаке
1.3.1 Понятие облачных вычислений
1.3.2 Виды «облаков»
1.3.3 Плюсы и минусы использования облачных технологий
1.4 Проблематика защиты
1.4.1 Аппаратные компоненты центра обработки данных
1.4.2 Телекоммуникационная составляющая доступа к ресурсам центра обработки данных
1.4.3 Пользователи и их программно-аппаратное обеспечение
1.4.4 «Средний» (middleware) слой центра обработки данных
1.4.5 Прикладные сервисы
1.4.6 Системы хранения данных
2. Принципы защиты данных действующие в странах-членах Европейского союза
2.1 Риски по защите информационной безопасности в облачных вычислениях
2.1.1 Отсутствие контроля
2.1.2 Отсутствие прозрачности
2.2 Правовая основа
2.2.1 Структура защиты данных
2.2.2 Применяемы правовые нормы
2.2.3 Обязанности и ответственности сторон
2.2.3.1 Клиент и провайдер в облаке
2.2.3.2 Субподрядчики
2.2.4 Требования по защите данных в отношениях сторон
2.2.4.1 Соблюдение основных принципов
2.2.4.2 Договорные гарантии отношений «контроллер» - «процессор»
2.2.4.3 Технические и организационные меры по защите и безопасности данных
2.2.5 Международные передачи
2.2.5.1 SafeHarbor и отвечающие требованиям страны
2.2.5.2 Исключения
2.2.5.3 Стандартные условия договора
2.2.5.4 Обязательные корпоративные правила на пути к глобальному подходу
Заключение
Библиографический список
защита информационный безопасность облачный
Введение
Мы живем во время стремительного роста информационных технологий, идет колоссальное развитие программного обеспечения. Раньше разработанные программистами приложения распространялись на физических носителях, после чего их необходимо было устанавливать на компьютер. Для корректной работы программ персональный компьютер должен был отвечать минимальным системным требованиям, выставленными разработчиками программного обеспечения. Развивался Интернет, модернизировалось и серверное оборудование. И в какой-то момент оказалось, что можно объединить вычислительные мощности для поддержки программных сервисов - например, текстовые и табличные процессоры. Это и стало отправной точкой в развитии «облачных» вычислений.
Актуальность данной работы определяется тем обстоятельством, что на данный момент практически каждый пользователей компьютера сталкивался в своей работе с облачными вычислениями.
Повсеместное использование ЭВМ и, на их основе, всевозможных организационно-технических («человек-машина») систем, таких как «облачные» вычисления, влечет за собой возникновение проблем информационной безопасности.
В законе РФ «Об информации, информатизации и защите информации» подчеркивается, что «информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства».
Вопросы безопасности информации занимают особое место и в связи с возрастающей ролью в жизни общества требуют к себе все большего внимания. Успех практически любой деятельности в немалой степени зависит от умения распоряжаться такой ценностью, как информация.
Учитывая изложенное, целью настоящей работы является изучить специфику защиты информации клиентов облачных сетей, а именно исследовать положения по обеспечению безопасности информации в странах-членах ЕС.
Исходя из поставленной цели определен следующий круг задач:
1) Изучить общие понятия информационной безопасности и облачных вычислений;
2) Проанализировать общие методы обеспечения информационной безопасности;
3) Исследовать проблематику защиты информации в облачных технологиях.
Объектом исследования в настоящей работе являются
Предметом исследования в настоящей работе является изучение принципов защиты информации в облачных сервисах действующих в Европейском экономическом пространстве.
Структура настоящей работы состоит из:
1) Первая глава включает в себя
· рассмотрение общих понятий информационной и компьютерной безопасности, разбор видов возникающих угроз, а также разбор характеристик общих методов по защите от этих угроз.
· разбор структуры работы облачных вычислений, начиная с рассмотрения видов облаков и заканчивая проблематикой защиты данных на каждом этапе работы облачного сервиса.
2) Вовторой главе приведен подробный анализ ситуации по обеспечению безопасности информации в странах-членах Европейского союза: разобраны риски и правовая основа участников информационных отношений.
1. Защита информации в облачных технологиях
1.1 Общие методы обеспечения информационной безопасности
1.1.1 Информационная безопасность и возможные угрозы
1.1.1.1 Понятие информационной безопасности
Под термином «информационная безопасность» можно понимать несколько различных значений, в условии от контекста, в котором данное словосочетание употребляется. Если рассмотреть использование термина в Доктрине информационной безопасности Российской Федерации, там определение дано в большом спектре. В нем учитывается совокупность личностных, общественных и государственных интересов в национальных масштабахДоктрина информационной безопасности РФ 9 сентября 2000 г.
Понятие «информационной безопасности» в Законе РФ «Об информации, информационных технологиях и о защите информации» понимают примерно тоже самое - некое состояние информационной среды, при которой соблюдаются интересы граждан, организаций и государстваФедеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».
В ходе данной работы будут рассмотрены этапы хранения, обработки и передачи информации независимо от вида ее кодирования, от вида объекта или, непосредственно, от самой смысловой нагрузки. Из-за этого круг использования термина «информационная безопасность» значительно снижается.
В нашем случае, под «информационной безопасностью» мы будем понимать степень защиты информации и обеспечивающие ее существование инфраструктуры от нежелательного (случайного и специального) воздействия, которое в дальнейшем способно нанести неприемлемый ущерб участникам информационных отношений.
В защиту информации входит набор мероприятий по защите информационной безопасности.
Поэтому, для выявления проблем информационной безопасности, сначала необходимо определить участников данных отношений и их интересов, касательных использования информационных систем. Угрозы информационной безопасности это неотъемлемая часть, возникающая всегда при использовании информационных технологий.
Поэтому приведем два важных заключения:
1) В соответствии с различием категорий субъектов в информационных отношениях, проблемы, возникающие в процессе, существенно различаются. Эту ситуацию можно рассмотреть на контрастном примере в случае государственной организации и среднего учебного заведения. Для первого субъекта лучше уничтожить все данные, чем допустить вероятность их утечки. Во втором наоборот - главное чтобы все работало, никаких секретов не хранят.
2) В задачах информационной безопасности стоит не только защита, в целях предотвращения от нежелательного доступа к информации. Участники информационных отношений могут понести ущерб еще и от проблем, связанных с функционированием системы, которая ведет к сбоям в работе. Тем более, как упоминалось выше, защита от несанкционированного доступа к информации для таких организаций, как школьные заведения, стоит не на первом месте.
Возвращаясь к определениям, стоит сказать, что под термином «компьютерная безопасность» подразумевается не только процесс обработки хранения, происходящие на компьютере. Так как компьютер является лишь частью в цепочки обращения информации, лишь малая часть, которая составляет информационные системы. Поэтому информационная безопасность напрямую зависит от поддерживающей инфраструктуры, к элементам которой относятся системы электроснабжения, теплоснабжения, охлаждающие системы, обслуживающий персоналЯрочкин В.И. Информационная безопасность. Учебник для вузов.- М.: Академический Проект, Мир, 2004. - 544 с..
Невозможно предугадать и предотвратить все угрозы безопасности информации. Недаром в нашей трактовке термина «информационной безопасности» присутствует словосочетание «неприемлемый ущерб». Меры по обеспечению безопасности могут оказаться огромными, с экономической точки зрения. Поэтому, любые возможные риски нужно адекватно оценивать и сопоставлять с затратами по их предотвращению. Но есть ряд угроз, таких как, возможный ущерб состоянию здоровью человека или окружающей среды, которые относятся к категории недопустимых угроз. Поэтому в их отношении необходимо применять все меры по предотвращению.
1.1.1.2 Угрозы информационной безопасности
Существует два основных типа угроз информационной безопасностиШаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. ? М.: ДМК Пресс, 2008. - 544 с.:
· Искусственные,
· Естественные.
Непреднамеренными угрозами считаются действия, совершенные людьми из-за отсутствия должного внимания, необходимой осторожности, достаточных знаний.
К примерам непреднамеренному типу угроз можно отнести излишнею установку программного обеспечения, которое не является необходимым для работы. В дальнейшем эти избыточные продукты могут стать причиной сбоя в работе. Так же можно привести в пример такую человеческую особенность, как любопытство. Совершенные действия по незнанию не являются злым умыслом, но могут стать причиной ущерба. Такой тип угроз сложно предусмотреть и проконтролироватьУгрозы информационной безопасности \\ http://www.internet-technologies.ru/articles/article_1147.html. 3.10.2007.
Преднамеренными угрозами считаются угрозы, преднамеренно направленные на физическое разрушение с последующим выходом системы из строя.
К примерам такого типа угроз можно отнести атаки на информационную систему, внутреннего и внешнего характера. Зачастую внутренней защите информационной системы уделяют куда меньше внимания, чем внешней защиты. Истории известны случаи многомиллионных потерь в крупных компаниях из-за внутреннего взлома системы и кражи данных.
Также искусственные угрозы можно разбить по категориям:
1) Действия пользователей, которые авторизовались в системе:
· хищение или уничтожение данных,
· повреждение данных по неосторожности.
2) Воздействие «электронного» характера.
Под этим понимаются действия хакеров, с целенаправленным взломом системы для извлечения выгоды, либо просто из любопытства. Примером является несанкционированный доступ к данным, целью которого является проникновение в корпоративную сеть предприятия извне. При получении доступа к данным, хакеры используют ее для нанесения вреда. Используя сетевую инфраструктуру, хакеры могут производить атаки не только на узлы предприятия, но и на узлы третьих фирм, конфиденциальная информация о которых храниться на атакованном предприятии.
3) Компьютерные вирусы.
Для современного ведения бизнеса компьютерные вирусы являются серьезной угрозой. На данный момент практически любая компания имеет свою информационную систему и активно ее использует в работе. Заражение корпоративной сети компьютерными вирусами может привести к отказу работы всех информационных сервисов, перебоям в работе, хищению данных или их уничтожению. Проникновение вирусных программ в сеть предприятия может дать злоумышленником полный или частичный контроль над всеми операциями компании.
4) Спам.
Темпы роста воздействия угрозы спама с каждым годом все больше. Спам нагружает избыточной и ненужной информацией, которая может оказаться вредоносной. Большим каналом для распространения спама является электронная почта.
С естественными угрозами ситуация куда-более очевидна. К данному типу угроз относится кража физического оборудования с информацией, к примеру, компьютера или различных носителей. Так же к ним относятся все виды стихийных бедствий: цунами, ураганы, удары молний, пожары.
Угроза пожара случается наиболее часто. В данной ситуации, меры по обеспечению пожарной безопасности относятся не только к обеспечению безопасности жизни людей, но и безопасности информации.
1.1.2 Общие методы применяемые для безопасности информации
Правовые методы
Правовые методы по обесп6ечению безопасности включают в себя разработку нормативно-правовых актов, регламентирующих информационные отношения между участниками, и нормативно-методических документов, отражающих вопросы по обеспечению информационной безопасностиХореев П.В. Методы и средства защиты информации в компьютерных системах. - М.: издательский центр "Академия", 2005. - с. 205.
Особенно важными в этой деятельности являются следующие действия:
· своевременное внесение изменений и дополнений, касающихся регулированию отношений в сфере безопасности информации, в законодательство государства;
· устранение противоречий, связанных с международными соглашениями;
· установление ответственности за правонарушения;
· разграничение полномочий в области обеспечения информационной безопасности;
· разработка и принятие нормативных правовых актов.
Организационно-технические
К такие методам относятся:
· создание и модернизация системы по обеспечению информационной безопасности;
· усиление исполнительной власти касательно правоприменительной деятельности;
· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;
· выявление технических устройств и программ, представляющих опасность для безопасности информации;
· сертификация средств защиты информации;
· контроль за действиями персонала в защищенных информационных системах;
· формирование системы мониторинга показателей и характеристик информационной безопасности.
Экономические
Экономические методы по предоставлению безопасности в себя включают:
· разработка планов по обеспечению информационной безопасности;
· совершенствование системы финансирования работ, связанных с организацией правовых и организационно-технических методов.
1.3 Характеристика услуг в облаке
1.3.1 Понятие облачных вычислений
Cloud computing, что в переводе с английского означает - облачные вычисления. Cloud computing -- технология предоставления пользователю по средствам сети Интернет возможности использования удаленных ресурсов и мощностей. Данная технологи происходит по принципу распределенной обработки данных. Ее суть заключается в обеспечении пользователя удаленным доступом к предоставляемым в облаке услугам. Потребность в экономии средств за счет эффективных мер по оказанию услуг в сфере хостинга повлияла на развитие технологииПриходько А.Я. Словарь-справочник по информационной безопасности. М.СИНТЕГ, 2001. 124 с..
Под термином «облачные вычисления» сегодня понимают набор различных сервисов, доступ к которым осуществляется через сеть Интернет. Облачные технологии представляют собой мощное решение, связанное с решением ресурсоемких задач. Популярность использования все время растет. Все пользователи персональных компьютеров либо обращались к услугам облачных сервисов, либо уже активно их используют.
1.3.2 Виды «облаков»
Понятие облачных вычислений имеет широкий спектр применения. Поэтому имеет смысл его логического разделения на несколько групп.
1) SaaS: программное обеспечение как услуга
SaaS - услуга облачных приложений или "Software as a Service ", вероятно, наиболее популярная простая в использовании форма облачных вычислений. SaaS использует сеть Интернет для доставки приложений, которые управляются сторонними поставщиками и чей интерфейс доступен клиентской стороне. Большинство SaaS приложений можно запускать непосредственно из веб-браузера, без необходимости загрузки или предварительной установки. SaaS избавляет от необходимости устанавливать и запускать приложения на персональных компьютерах. С использованием SaaS, упрощается задача предприятий по рационализированию технического обслуживания и поддержки, потому что в услуги поставщика входит обслуживание: приложений, времени выполнения, данных, промежуточного ПО, операционных систем, виртуализации серверов, хранилищ и сеть. Gmail является одним известным примером почтового оператора SaaS.
2) PaaS: платформа как услуга
PaaS - самый сложный из трех видов - облачная платформа услуг или "Platformas as Service" распределяет вычислительным ресурсы через платформу. Разработчики получают с PaaS возможность, где они могут создать для разработки или настройки приложений. PaaS делает разработку, тестирование и развертывание приложений быстрее, проще и экономично эффективным, избавляя пользователя от необходимости покупать нижележащие слои аппаратного и программного обеспечения. Одно различие между SaaS и PaaS связано с тем, что некоторые аспекты в PaaS должны уже управляться пользователями, а не поставщиками: С PaaS, поставщики до сих пор контролируют: время выполнения, промежуточное ПО, операционную систему, виртуализацию серверов, хранилище и сети, но пользователям управлять приложениями и данными.
PaaS предоставляет вычислительные инфраструктуры, оборудование и платформы, которые установлены на верхней части аппаратного обеспечения. Подобно тому, как вы можете создавать макросы в Excel, PaaS позволяет создавать приложения, используя программные компоненты, которые управляются с помощью стороннего поставщика. PaaS является хорошо масштабируемым, и пользователям не придется беспокоиться об обновлении платформы или их сайт выйдет из строя во время технического обслуживания. Пользователи, которые получают наибольшую отдачу от PaaS, составляют компанию, которая хочет повысить эффективность и интерактивность большого штата. Для нужд крупных компаний и независимых поставщиков программного обеспечения Apprenda является одним поставщиком для личного PaaS разработки и развертывания бизнес-приложений.
3) IaaS: инфраструктура как услуга
IaaS - облачная инфраструктура услуг, известная как "Infrastructure as a Service " поставляет компьютеру инфраструктуру (например, платформу виртуализации среды), хранилище и сеть. Вместо того, чтобы приобретать программное обеспечение, сервера или сетевое оборудование, пользователь может купить все это как полностью внешний сервис, счет за который обычно зависимости от количества потребляемых ресурсов. Другими словами, третья сторона за арендную плату позволяет установить виртуальный сервер на их ИТ-инфраструктуре. По сравнению с SaaS и PaaS, IaaS пользователи несут большую ответственность за управление: приложениями, данными, временем выполнения, промежуточным ПО и операционными системами. Поставщики услуги по-прежнему контролируют виртуализацию, сервера, жесткие диски, хранилища и сеть. Пользователи IaaS получают возможность полного доступа к готовой информационной инфраструктуре, внутри которой они могут установить необходимые платформы. Пользователи несут ответственность за обновление, если новые версии платформ вышли.
Еще необходимо назвать одно ключевое разделение облаков: публичные и частные. Услуги, предоставляемые публичными облаками, могут быть доступны любому пользователю. Ярким примером публичного облака является Amazon Web Services. Главная разница между публичными и частными облаками в том, что к последним осуществляется закрытый доступ только для ограниченного числа пользователей.
1.3.3 Плюсы и минусы использования облачных технологий
Достоинства:
*Сравнительно дешевые компьютеры для пользователей. Проподает необходимость приобретать компьютеры высокой мощности с большим объемом памяти и дисков, так как вся информация и все программы хранятся на серверах в «облаке» и запускаются удаленно. С больших стационарных персональных компьютеров и обычных ноутбуков пользователи могут перейти на компактные нетбукиБелогрудов В.М. Облачные вычисления - достоинства и недостатки \\ http://www.smart-cloud.org/sorted-articles/44-for-all/96-cloud-computing-plus-minus. 03.03.2012.
*Выросла производительность компьютеров для пользователей. Из-за удаленного запуска большей части файлов и программ компьютеры пользователей, не обремененные этой работой и с меньшим числом приложений, функционируют быстрее. Как пример можно рассмотреть работу Panda Cloud Antivirus - программа антивирус, доступная как вебсервис. Panda Cloud Antivirus предоставляет возможность сканировать данные на вирусы удаленно на мощных серверах. Запуск этой же программы непосредственно на самом компьютере пользователя с помощью его собственных ресурсов увеличивало бы нагрузку в 2 раза.
*Повышается эффективность использования IT инфраструктуры и идет снижение затрат. Если взять среднюю оценку загрузки сервера для компании, то она составит около 13%. Иногда для компании появляется необходимость использовать дополнительные мощностные ресурсы, но большинство времени вычислительные ресурсы ничем не заняты. Идет простой - деньги на ветер. Если же использовать вычислительные ресурсы на удаленных серверах в «облаке» по мере необходимости, то затраты компании по этой части могут сократиться вдвое. С учетом непостоянной экономической обстановки гибкость производства возрастает. Компании, которые не доверяют сохранность своих данных сторонним организациям, имеют возможность построить свое собственное облако и получать все преимущества от виртуализации инфраструктуры.
*Снижение затрат на обслуживание и приобретаемое ПО. С использованием технологии CloudCimputing собственных серверов у компаний становится меньше, поэтому обслуживать их становится легче. С избавлением от большого количества физических серверов проблемы с приобретением программного обеспечения также уменьшаются. Так как сервисы и приложения находятся в «облаке», нет необходимости приобретать ПО для каждого пользователя. Компания приобретает нужные программы в «облаке». Стоимость сервисов, предлагаемых с доступом через Инернет, на порядок ниже аналогов, которые существуют для персональных компьютеров. Более того, есть возможность повременной аренды использования программ, а затраты на поддержку ПО в рабочем состоянии и его обновление равны нулю.
*Рост вычислительной мощности. В сравнении с персональным компьютером, вычислительные ресурсы облака предоставляют огромные возможности. Вычислительная мощность облака определяется количеством его серверов. Иначе говоря, пользователям предоставляется удаленный доступ к суперкомпьютеру, который дает возможность решать более сложные и объемные задачи, непосильные обычному ПК.
*Неограниченный объем для хранения данных. Объем предоставляемого места в облаке для хранения данных может гибко и автоматически подстраиваться, в зависимости от пожеланий пользователя. Если для пользователя персональным компьютером обычна ситуация недостатка места для данных, то для пользователя облачных вычислений это практически невозможно.
*Совместимость с операционными системами. Для облачных технологий неважно, какая операционная система стоит у пользователя. Клиент с системой Microsoft Windows может без проблем обмениваться данными через облако с пользователями системы Unix. Что касается доступа к сервисам облачных вычислений, то они предоставляются с помощью стандартных для каждой операционной системы браузеров.
*Совместимость форматов документов. На персональном компьюторе файл, сделанный в программе MicrosotWord 2007, не сможет открытся более ранней версией MicrosoftWord 2003. В облачных вычислениях отсутствует понятие несовместимости форматов документов, созданных в разных версиях одной облачной программы.
*Легкость совместной работы для группы пользователей. В системе облачных вычислений появляется удобная возможность одновременной работы нескольких участников. Нет нужды заниматься переносом документов с компьютера на компьютер. Редактирование документов отражается мгновенно, причем пользователю всегда доступна последняя версия обновленного документа.
*Повсеместный доступ к файлам пользователя является большим преимуществом использования облачных вычислений. Если данные хранятся в облаке, они всегда доступны для их обладателя при наличии доступа в сеть Интернет. Также перед пользователем открывается широкий выбор различных устройст, с которых он может осуществить этот доступ. Клиент облака может воспользоваться персональным компьютером, нетбуком, ноутбуком, планшетным компьютером, смартфоном.
*Уменьшение использования ресурсов природы. С технологией облачных вычислений экономия идет не только на электроэнергии, вычислительных мощностях и физическом пространстве, но и и на ресурсах природы. Центры обработки данных можно располагать уже заведома в прохладном климате. Оборудование для доступа к данным теперь более компактное, требует для изготовления меньше материалов.
*Устойчивость данных к потере. Данные, хранящиеся на облаке, распределяют свои копии по нескольким серверам. Вероятность потери данных в облаке куда меньше вероятности их потери при хранении на обычных физических носителях информации.
Недостатки:
*Постоянная необходимость соединения с сетью Интернет. Для технологии облачных вычислений всегда необходимо соединение с сетью Интернет. Существует, конечно, ряд приложений, которые загружаются на компьютер и позволяют дальнейшую работу не смотря на соединение. В остальных случаях все просто: нет соединения - нет работы. По мнению многих, это самый большой недостаток облачных вычислений. Но если учесть развитие информационных технологий в наше время, то можно с уверенностью сказать, что доступ в сеть Интернет есть практически везде. Поэтому в скором времени такая проблема и вовсе исчезнет.
*Плохо работает с медленным соединением. Большинство облачных сервисов требуют для нормальной работы быстрое Интернет-соединение. Но как говорилось выше, информационные технологии не стоят на месте, поэтому сейчас нет проблем с пропускной способностью соединений сети Интернет.
*Программы могут работать медленно и с неполными функциональными возможностями. Некоторые из программ, предоставляемые облачными услугами, работают на локальном компьютере быстрее. Это может быть связано как с невысокой пропускной способностью соединения сети Интернет, так и загруженностью удаленных серверов. Также, программы, представленные в облаке, имеют ограниченный функционал, в отличии от их версий для локального компьютера.
*Существует угроза безопасности данных. Безусловно, если вы передаете ваши данные в облако, то сразу возникает возможность угрозы безопасности информации. Но тут все дело заключается в доверии к провайдеру. Если поставщик облачной технологии надежно шифрует передвижение информации, создает резервные копии и уже имеет большой опыт на рынке в данной сфере, то нарушение системы безопасности может никогда не случится.
Факт, что потеря данных в облаке является безвозвратной. Но довести до такого состояния куда более сложно, чем потерять их на локальном компьютере.
Не смотря на преобладающие множество достоинств над недостатками, в каждой ситуации все происходит по-разному. Каждый сам оценивает все критерии и принимает выбор: использовать облачные вычисления или нет.
1.4 Проблематика защиты
В течение последнего времени постоянно поднимается вопрос о перспективе развитие облачных вычислений, рассматриваются планы развития данной технологии. Это связано с колоссальным приростом бизнеса, который с каждым годом увеличивает свой темп. Основная суть технологии облака заключается в предоставлении различных информационных платформ, приложений для пользователя через сеть Интернет. Принцип идеи заключается в освобождении ресурсов персонального компьютера пользователя, и перенос этой нагрузки на удаленные вычислительные мощности. ЦОДы, или центры обработки данных - решение к данному подходу. Гигантские вычислительные мощности, находящиеся удаленно, предоставляют возможность практически неограниченного места для хранения данных, огромную вычислительную производительность и мгновенный доступ к данным любому пользователю-клиенту по средствам интернет соединения. Аналогично имеется возможность для компаний создавать собственные облака, где сотрудники пользуются всеми привилегиями данной технологии, рядовому сотруднику достаточно лишь иметь доступ к корпоративной сети. В таких условиях пользовательская сторона процесса является наиболее важнойФатьянов А.А. Концептуальные основы обеспечения безопасности на современно этапе \\ Безопасность информационных технологий - 1999 - №1. С.26-40.. При данной ситуации вопрос об информационной безопасности отодвигается на второй план. Идет интенсивная рекламная компания, представляющая облачные вычисления как нечто принципиально новое, поэтому решенные проблемы информационной безопасности откладываются на позднее время, ставя под угрозу не только данные пользователей, но и устойчивость всей структуры в целом. Данная ситуация напоминает процесс развития электронного «банкинга» в течение последних десяти лет, где вопросы по безопасности информации стали интенсивно решаться вследствие больших потерь, достигающих десять, а то и пятнадцать процентов от прибыли.
Аналогию процессов облачных вычислений можно увидеть в больших вычислительных системах 80-х годов прошлого века, где основным различием была лишь широта возможностей по высокоскоростному доступу пользователей к ресурсам вычислительных центров. И такой доступ был возможен только на территории отдельных организаций, которые использовали эти центры для вычислений. Но уже в 90-х годах, когда скорость вычислений превзошла скорость обработки и подготовки информации в периферийных устройствах, была реализована возможность параллельного решения задач на одном вычислительном устройствеКондрашин М.С. Безопасность облачных вычислений \\ http://www.pcmag.ru/solutions/detail.php?ID=38248. 15.02.2010.
Как процесс развития «облачных» вычислений зародился несколько десятков лет назад, так и подходы к информационной безопасности. Основные принципы по обеспечению безопасности информации в компьютерных системах, которые удалось разработать за последние 20 лет, можно использовать и в облачных вычислениях. В статье Баранова А.П. «Можно ли защитить в облаке конфиденциальную информацию?» рассмотрена эта возможность применения, а так же раскрыты нерешенные проблемы, которые сдерживают развитие в области безопасности информации для вычислений в «облаке».
Для анализа взята организация «облачных» вычислений на основе центра обработки данных, реализующего принцип виртуализации вычислений.
Автор разбивает систему вычислений в «облаке» на шесть основных частейБаранов А.П «Можно ли защитить в «облаке» конфиденциальную информацию?» \\ Системывысокойдоступности, 2012. Т. 8. № 2. C. 12--15:
1. Аппаратные компоненты центра обработки данных.
2. Телекоммуникационная составляющая доступа к ресурсам центра обработки данных.
3. Пользователи и их программно-аппаратное обеспечение.
4. «Средний» (middleware) слой центра обработки данных.
5. Прикладные сервисы.
6. Системы хранения данных (СУБД).
В своей статье автор рассматривает проблему обеспечений безопасности информации в каждой из приведенных выше частей, подразделяя применение каждой из них по двум возможным направлениям: корпоративные и публичные системы.
1.4.1 Аппаратные компоненты центра обработки данных
Основные принципы выбора аппаратных средств, с последующей их аттестацией, для обработки конфиденциальной информации в корпоративных сетях хорошо и давно известны. Выбор основывается на гарантии качества, отличающейся надежностью и устойчивостью в работе. Гарантию предоставляют производители аппаратных компонентов. Также необходимо отметить ряд необходимых организационных и технических мер по предотвращению несанкционированного доступа к аппаратной части центров обработки данных. Бывают ситуации, когда хакер пытается нарушить режим информационной безопасности. Поэтому постоянно ведется контроль на определение побочных сигналов или электромагнитных воздействий. В таких случаях определенными методами проводится исследование сигналов и защита от внешнего воздействия. Подобные действия при аналогичной ситуации проводятся для систем облачных вычислений с публичным доступомТейер Т., Липов М., Нельсон Э. Надежность программного обеспечения. - Пер. с англ. - М.: Мир, 1981..
1.4.2 Телекоммуникационная составляющая доступа к ресурсам центра обработки данных
Принцип работы завязан на двух основных методах: шифрование IP-пакетов при помощи аппаратных и программных средств, либо просто на открытом трафике. Практически всегда в корпоративных сетях компаний необходимо сохранять конфиденциальность обрабатываемых персональных данных для того, чтобы была возможность доступа через IP-сети. Поэтому, как правило, телекоммуникационная составляющая основывается на шифровании IP-пакетов. Все кодирование пакетов занимает у системы значительную часть ресурсов и может растягиваться во времени. Снижение уровня шифрования приводит к увеличению открытого трафика, что способствует падению уровня защиты конфиденциальной информации. В некоторых сферах деятельности человека данная ситуация недопустима. Поэтому, актуальной задачей является повышение скорости IP-шифрования.
1.4.3 Пользователи и их программно-аппаратное обеспечение
В настоящее время не составляет никаких проблем, с точки зрения программных и аппаратных средств, по шифрованию IP-потока по SSL протоколу на пользовательском рабочем месте. Скорость обработки без проблем может достигать 1Мбит/с. На данный момент имеется достаточно сертифицированных фирм, предоставляющих соответствующие услуги. Гораздо сложнее обеспечить информационную безопасность по защите ключей пользователя, его операционной системы и личной информации в корпоративном облаке. На персональные компьютеры сотрудника устанавливаются электронные замки. Данную блокировку может контролировать не только пользователь заблокированного рабочего места, но и служба информационной безопасности компании. Но это все касается частных систем, все более сложно складывается для публичных облаков. Получить легальные права доступа к системе может любой пользователь. Здесь нарушителям, с помощью специальных программных и технических средств, устанавливаемых непосредственно на рабочем месте, гораздо легче преодолеть защиту системы безопасности. Невозможно проконтролировать всех пользователей сети Интернет на состав рабочего места и предугадать их намерения. Поэтому в ЦОД публичных сетей должны быть максимально эффективные средства защиты, которые постоянно находились бы под жестким контролем.
1.4.4 «Средний» (middleware) слой центра обработки данных
Центр обработки данных по своей структуре - это виртуальная машина. Соответственно, в роли гипервизора и набора различных гостевых операционных систем в данной машине можно считать «средний» слой ЦОД. К виртуальным машинам также относится и управляющая система. Известный факт, что при создании и последующей эксплуатации виртуальных машин, гипервизор играет ключевую роль, как основной элемент системы информационной безопасности. Являясь, в свою очередь, операционной системой, гипервизор работает с аппаратным программным обеспечением, имеет возможность распределять функции от базовой системы гостевым. Поэтому, гипервизор можно смело сравнивать со стандартной операционной системой. Таким образом, для обеспечения нормального функционирования системы в режиме информационной безопасности, необходимо применять к гипервизору требования, которые используются для классических операционных систем.
1.4.5 Прикладные сервисы
Прикладные сервисы можно сравнивать с прикладным программным обеспечением операционных систем, которые проходят сертифицированную аттестацию в сфере информационной безопасности. Период проверки всех требований к программному обеспечению во время этапов сертификации операционных систем занимал не более квартала. Для крупных сервисов облачных вычислений, таких как MicrosoftWord или Explorer, потратили около года на первичную проверку соответствия системы сертифицированным стандартам. При вторичных проверках, конечно, этот период сократился. Основным направлением в решении данной задачи является разработка наименьшего необходимого количества требований к ПО при процессе аттестации операционных систем. Аналогично можно рассмотреть данные действия к гипервизору.
1.4.6 Системы хранения данных
Уровень сертифицированных в соответствии с требованиями информационной безопасности систем хранения данных не занимает должного уровня и оставляет желать только лучшего. На данном этапе единственной аттестованной системой является СУБД MSSQL. Мощные системы управления базами данных, такие как, DB2 или Oracle, необходимо поднимать свою категорию сертификации. При отсутствии документов, подтверждающих соответствие требованиям системы информационной безопасности, остается только полагаться на примененные средства защиты, которые не затрагивают внутренние механизмы упомянутых баз данных. Предложения по решению проблем защиты в этой области практически отсутствуют на рынке.
2. Принципы защиты данных действующие в странах-членах Европейского союза
2.1 Риски по защите информационной безопасности в облачных вычислениях
Поскольку это мнение сфокусировано на операциях по обработке персональных данных в облачных вычислениях, далее будем рассматривать риски только связанные с этим. Большинство из этих рисков входят в две основные категории, а именно: отсутствие контроля над данными, и недостаточность информации относительно самой операции обработки (отсутствие прозрачности). Подробное рассмотрение этих риски облачных вычислений приведено далее.
2.1.1 Отсутствие контроля
Передав свои личные данные системе, управляемой провайдером облака, клиенты больше не могут обладать исключительным контролем этих данных и не могут принять какие-либо технические и организационные меры, необходимые для обеспечения доступности, целостности, конфиденциальности, прозрачности, изоляции, совместимости и защиты от вмешательства. Это отсутствие контроля может проявляться следующим образом:
Недоступность из-за отсутствия взаимодействия (вендора): если поставщик облака опирается на патентованную технологию, то может оказаться затруднительным для клиента перемещать данные и документы между различными облачными системами (переносимость данных) или для обмена информацией с лицами, которые используют облачные сервисы других поставщиков (функциональная совместимость).
Отсутствие целостности вызвано из-за совместного использования ресурсов: облака состоят из общих систем и инфраструктур. Облако поставщика обрабатывает персональные данные, поступающие из широкого круга источников. И с точки зрения данных субъектов и организаций может произойти конфликт интересов или возникнуть неясность цели.
Отсутствие конфиденциальности, а конкретно в запросах полиции напрямую к поставщику облака: личные данные, обрабатываемые в облаке, могут быть запрошены от представителей правоохранительных органов государств-членов ЕС и третьих стран. Существует риск того, что личные данные могут быть раскрыты (иностранных граждан) представителями правоохранительных органов без уважительной и законной основы.
Отсутствие способности вмешательства из-за сложности и динамики цепи аутсорсинга: облачные сервисы, предлагаемые одним поставщиком, могут изготавливаться путем комбинирования услуг из ряда других провайдеров облачных вычислений, которые могут быть динамически добавлены или удалены в процессе контракта клиента.
Отсутствие способности вмешаться (прав субъектов данных): провайдер облака не может обеспечить необходимыми мерами и инструментами для оказания помощи контроллеру для управления данными, например, доступ, удаление или исправление данных.
Отсутствие изоляции: облачные услуги могут использовать свой физический контроль над данным различных клиентов и связать персональные данные. Если администраторы обладали достаточными привилегированными правами доступа (с высокой степенью риска ролей), они могли бы взять это под контроль.
2.1.2 Отсутствие прозрачности
Недостаточная прозрачность операций облачного сервиса при обработке информации представляет опасность для контроллеров. А также для субъектов данных, потому что они не могут знать о потенциальных угрозах и рисках, и поэтому не могут принять меры, которые они сочтут необходимыми.
Некоторые потенциальные угрозы могут возникать в контроллере из-за того, что:
Технологическая цепочка проходит с участием нескольких процессоров и субподрядчиков.
Личные данные обрабатываются в различных географических районах, в рамках Европейского Экономического Пространства (ЕЭП). Это непосредственно влияет на права, применимые к любым спорам по защите данных, которые могут возникнуть между пользователем и поставщиком.
Личные данные передаются в третьи страны за пределами ЕЭП. Трети страны могут не иметь возможность обеспечивать адекватный уровень защиты данных и ее передача не могут гарантировать безопасность передачи данных путем принятия соответствующих мер (например, стандартных статей договора или обязательных корпоративных правил) и, следовательно, могут быть незаконными.
Это риски, о которых клиенты облачных сервисов, чьи персональные данные обрабатываются в облаке, должны быть оповещены (Существующее требование для всех контроллеров попадающие под Директиву о защите данных 95/46/ЕС). Учитывая потенциальные сложности цепочки обработки в среде облачных вычислений, с тем чтобы гарантировать справедливое рассмотрение прав в отношении субъекта данных (статья 10 Директивы 95/46/ЕС), контроллеры должны также, как это предусмотрено надлежащей практикой, представить дополнительную информацию, касающуюся (суб-) процессоров предоставления облачных сервисов.
2.2 Правовая основа
2.2.1 Структура защиты данных
Директива 95/46/ЕС о защите данных - соответствующая законодательная база. Эта Директива применяется в каждом случае, когда личные данные обрабатываются в результате использования вычислительных услуг облака. Электронная Директива Конфиденциальности 2002/58/EC (в редакции от 2009/136/EC) применяется при обработке персональных данных в связи с предоставлением общедоступных услуг электронной связи в сетях связи общего пользования (операторов связи) и, следовательно, очень важна, если такие услуги предоставляются посредством облачных решений.Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector
2.2.2 Применяемы правовые нормы
Критерии для установления применимости законодательства содержатся Директивы 95/46/ЕС, в которой говорится о применении закона к контроллерамКонцепциюконтроллераможнонайтивстатье 2 Директивы, которуюпроанализировалив Article 29 Working Party Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites (WP56 of 30 May 2002) с одним или более учреждений в рамках ЕЭП, а также закон, регламентирующий контроллеры, которые находятся за пределами ЕЭП, но используют оборудование на обработку персональных данных, расположенное в рамках ЕЭП. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_en.pdf
В первом случае, фактором вызывающим применение законодательства ЕС для контроллера является расположение его учреждения и осуществляемой ей деятельности в соответствии со статьей 4.1.(а) Директивы, в зависимости от типа модели облачных сервисов. Действующим законодательством является закон страны, в которой устанавливается контроллер договаривающихся сторон о предоставлении облачных услуг, а не место, в которой провайдеры облачных вычислений расположены.
Если контроллер устанавливается в различных государствах-членах ЕС, обработка данных в рамках своей деятельности в этих странах, будет правом каждого из государств-членов ЕС, в которых эта обработка происходит.
Статья 4.1.(c) гласит, как законодательство о защите данных применяется к контроллерам, учреждения которых расположены не в ЕЭП, но которые используют автоматизированное или не автоматизированное оборудования, расположенное на территории государств-членов ЕС, за исключением случаев использования в целях транзита. Это означает, что, если облако клиента будет установлено за пределами ЕЭП, но комиссия облачных услуг расположен в ЕЭП, то поставщик экспортирует законодательства защиты данных клиента.
2.2.3 Обязанности и ответственности сторон
Как указывалось ранее, облачные вычисления включают в себя целый ряд различных игроков. Важно оценить и уточнить роль каждого из этих игроков для того, чтобы установить их конкретные обязательства в отношении действующего законодательства о защите данных.
В первую очередь роль контроллера является определить, кто несет ответственность за соблюдение правил защиты данных, и как субъекты данных могут осуществлять свои права на практике. Другими словами: распределить ответственность. Эти два главных критерия отвечают за соблюдение и распределение ответственности и должны быть учтены заинтересованными сторонами в этом вопросе на протяжении всего времени.
2.2.3.1 Клиент и провайдер в облаке
Клиент определяет конечную цель обработки и принимает решение об аутсорсинге этой обработки и делегации всех или части деятельности по обработке для внешней организации. Следовательно, клиент действует как контроллер данных. Директива определяет контроллер как "физическое или юридическое лицо, государственный орган, учреждение или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных". Клиент, как контроллер, несет ответственность за соблюдение защиты данных законодательством. Пользователь облака может указать провайдерам облачных услуг на методы и технические или организационные меры, которые будут использоваться для достижения целей управления.
Провайдером облачных услуг является лицо, оказывающее услуги облачных вычислений в различных формах, что обсуждалось выше. Когда поставщик облака предоставляет средства и платформу, действуя от имени клиента, поставщик рассматривается как процессор данных, т.е. в соответствии с Директивой 95/46/ЕС "физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими, обрабатывает персональные данные от имени контроллера".
На самом деле, могут быть ситуации, в которых поставщик облачных услуг может рассматриваться, либо как совместно с контроллером, либо в качестве контроллера в зависимости от конкретных обстоятельств. Например, это может быть в случае, когда провайдер обрабатывает данные для своих собственных целей.
Следует отметить, что даже в сложных средах обработки данных, где контроллеры играют важную роль в обработке персональных данных, соблюдение правил защиты данных и ответственность за возможное нарушение этих правил должно быть четко выделено для того, чтобы избежать снижения защиты личных данных. Или при "негативном конфликте компетенций" возникают пробелы, из-за чего обязательства или права, вытекающие из Директивы, не обеспечиваются какой-либо из сторон.
В текущем сценарии облачных вычислений, клиенты услуг облачных вычислений могут не иметь возможности для переговоров по контрактным условиям использования облачных сервисов, поэтому стандартизированные предложения являются характерной чертой многих услуг облачных вычислений. Тем не менее, в конечном счете это клиент принимает решение о распределении части или совокупность операций по переработке к облачным сервисам для конкретных целей; роль поставщика облачных услуг - подрядчик по отношению к клиенту, который является ключевым моментом в этом случае. Дисбаланс в условии договора между небольшим контроллером в отношении крупных поставщиков услуг не должен рассматриваться в качестве оправдания для контроллера при принятии положений и условий договора, которые не являются пунктами закона о защите данных http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. По этой причине, контроллер должен выбрать поставщика облачных услуг, который гарантирует соблюдение законодательства о защите данных. Особый акцент должен быть сделан на особенностях соответствия с условиями договора - они должны включать в себя набор стандартных гарантий защиты данных, также гарантии на дополнительные механизмы, которые могут оказаться непригодными для облегчения должной осмотрительности и ответственности.
...Подобные документы
Анализ рынка облачных вычислений и средств для обеспечения безопасности в них. Распространение облачных вычислений, негарантированный уровень безопасности обрабатываемой информации как их основная проблема. Расследование инцидентов и криминалистика.
курсовая работа [4,3 M], добавлен 26.02.2015Модели развертывания и облачные модели. Анализ существующих методов информационной безопасности. Обеспечение надежного шифрования данных при передаче их от пользователя к провайдеру услуг по хранению данных. Минимизация нагрузки на облачные сервисы.
дипломная работа [839,1 K], добавлен 17.09.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015История возникновения облачных технологий. Суть и задачи облачных технологий, их классификация, достоинства и недостатки. Исследование применения облачных технологий на примере Google диск. Сравнение Google диск с аналогом компании Apple(iCloud).
курсовая работа [573,1 K], добавлен 05.12.2016Понятие облачных вычислений, их преимущества и недостатки; виды облаков. Сравнительный анализ рисков использования облачных сервисов в России и ЕС. Регуляторы в области информационной безопасности, их концепции, особенности и регулирующие органы власти.
курсовая работа [79,1 K], добавлен 14.05.2014История и факторы развития облачных вычислений. Роль виртуализации в развитии облачных технологий. Модели обслуживания и принципы работы облачных сервисов. Преимущества облака для Интернет-стартапов. Применение технологии облачных вычислений в бизнесе.
реферат [56,6 K], добавлен 18.03.2015Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016Анализ облачных сервисов для автоматизации бизнеса и обоснование преимуществ перехода на облачную обработку данных. Виды и модели облачных сервисов для бизнеса, принципы их работы и характеристики. Задачи автоматизации бизнеса на примере облачных решений.
дипломная работа [2,3 M], добавлен 06.09.2017Модели обслуживания облачных технологий (IaaS, PaaS, SaaS). Определение облачных технологий, их основные характеристики, достоинства и недостатки. Функции и возможности облачного решения Kaspersky Endpoint Security Cloud от "Лаборатории Касперского".
курсовая работа [626,7 K], добавлен 29.06.2017Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Эволюция облачных сервисов. Характеристики и классификация облачных сервисов. Анализ возможностей облачных сервисов, предлагаемых для использования в малом бизнесе. Анализ стоимости владения локальным решением по автоматизации деятельности бухгалтерии.
курсовая работа [2,7 M], добавлен 10.05.2015Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Реализация "облачных" технологий в корпоративных информационных системах. Применение "облачных" технологий на РУП "Белоруснефть". Пуско-наладочные работы, установка и запуск облачного сервиса, начальное конфигурирование и предложения по масштабированию.
курсовая работа [2,9 M], добавлен 24.07.2014Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013