Принципы информационной безопасности. Концепция разделения ответственности
Кратко:
- Развитие интернет-технологий и киберпреступности увеличивает число и долю преступлений в сфере информационно-телекоммуникационных технологий.
- Основные цели киберпреступников: доступ к персональным данным, финансовой информации, интеллектуальной собственности и внедрение шифровальщиков.
- Финансовая потеря для компаний-жертв может достигать миллионов долларов, а общий ущерб от киберпреступлений оценивается в 6 триллионов долларов в 2021 году.
- Принципы информационной безопасности: конфиденциальность, целостность и доступность информации.
- Обеспечение безопасности - постоянный процесс, основанный на планировании, выполнении, мониторинге и совершенствовании инструментов защиты.
- Использование облака имеет свои особенности, но облачный провайдер может предоставить больше ресурсов и специалистов для защиты данных.
- Разделяемая ответственность между провайдером и пользователем: провайдер отвечает за безопасность оборудования, пользователь - за безопасность программного обеспечения.
- Курс по информационной безопасности поможет настроить доступ к ресурсам, обеспечить сетевую безопасность и шифровать данные.
Принципы информационной безопасности. Концепция разделения ответственности
Среди специалистов в области информационной безопасности давно популярен мем — все компании можно разделить на две группы: те, которых уже взломали, и те, которые ещё об этом не знают. Действительно, развитие интернет-технологий и увеличение объёма цифровых данных сопровождается не менее быстрым ростом киберпреступности. Так, например, по данным Генпрокуратуры России, в 2020 году в стране было совершено более полумиллиона преступлений в сфере информационно-телекоммуникационных технологий. За последние пять лет число таких преступлений увеличилось в 11 раз, а их доля среди прочих правонарушений выросла с 2 до 25 процентов.
Основными целями киберпреступников является получение доступа к персональным данным, финансовой информации и интеллектуальной собственности, а также внедрение в компьютерные системы программ-шифровальщиков. Для компании, которая оказывается в роли жертвы, это означает не только удар по бизнесу и репутации, но и существенные финансовые потери. IBM Security проанализировала 537 недавно произошедших случаев утечки данных и пришла к выводу, что в среднем пострадавшая компания терпит финансовый ущерб в размере примерно от 3,5 до 5 миллионов долларов. А по оценкам экспертов Cybersecurity Ventures, общий ущерб от киберпреступлений в 2021 году составит около 6 триллионов долларов.
Может быть, ваша компания невелика и приведенные выше цифры кажутся вам нереальными. Как бы там ни было, информационная безопасность — это та проблема, которой необходимо уделять внимание. И делать это нужно независимо от того, в локальной или облачной инфраструктуре вы работаете. Принципы безопасности информационных систем одинаковы в обоих случаях: это защита конфиденциальности, целостности и доступности информации.
Конфиденциальность означает, что доступ к информации должны иметь только те, кто имеет на это право. К конфиденциальным данным относятся, например, персональные данные пользователей вашего приложения или коммерческие секреты вашей компании.
Целостность подразумевает защиту данных от несанкционированного изменения или удаления, а если такое всё-таки произошло — у вас должна быть возможность всё восстановить.
Доступность означает, что тот, кто владеет информацией, или тот, для кого она предназначена, имеет к ней надёжный бесперебойный доступ. То есть, например, вы должны знать, как защититься от распределённой сетевой атаки (DDoS, Distributed Denial of Service), направленной на то, чтобы вывести из строя ваш веб-ресурс.
И еще один момент. Обеспечение безопасности — это не разовое мероприятие, а постоянный процесс, основанный на следующих принципах:
- планирование технических и организационных мер с учетом имеющихся рисков и угроз;
- выполнение этих мер;
- мониторинг и анализ функционирования вашей системы;
- совершенствование применяемых инструментов защиты.
С точки зрения безопасности использование облака имеет свои особенности. Важные для вас данные находятся не на сервере, который надежно заперт в соседней комнате, а где-то в интернете. Многим кажется, что поэтому данные защищены хуже, и хранить их в облаке небезопасно. С другой стороны, к защите ваших данных подключается облачный провайдер, который, как правило, имеет для этого существенно больше ресурсов и квалифицированных специалистов.
В то, чтобы работа в облаке была безопасной, вносят вклад и облачный провайдер, и пользователь. Это называется разделяемой ответственностью (shared responsibility).
Есть аспекты безопасности, за которые отвечает провайдер, и вам не нужно о них заботиться. Например о том, кто имеет физический доступ к серверам или как утилизировать вышедший из строя жёсткий диск, чтобы данные не попали в чужие руки. Но какими бы возможностями для защиты данных ни обладал провайдер, он не может взять на себя полную ответственность за безопасность вашего облака.
Используя облачные инфраструктуру и сервисы, пользователь конфигурирует их под решение своих задач. Провайдер не видит, правильно ли вы настроили, например, права доступа к своим ресурсам или группы безопасности в виртуальной сети. Ответственность за это несёте вы сами.
Концепцию разделения ответственности за обеспечение безопасности проще всего проиллюстрировать такой схемой:
Если пользователь работает по модели IaaS, облачный провайдер отвечает за безопасность всего, что связано с оборудованием. При использовании моделей PaaS и SaaS провайдер несёт ответственность еще и за безопасность программного обеспечения, которое он предоставляет пользователю. И независимо от модели облачная платформа предоставляет пользователю инструменты для обеспечения безопасности.
В этом курсе мы разберём, как настроить доступ к своим ресурсам, обеспечить сетевую безопасность и шифровать данные. Но сначала кратко остановимся на требованиях к обеспечению безопасности и на том, как Yandex Cloud их выполняет.