Механізми безпеки в хмарному середовищі на базі міжнародних стандартів
DOI: 10.31673/2412-9070.2022.040916
Анотація
Удосконалено стандартизований функційний підхід до процедури оцінювання відповідності, ґрунтуючись на специфіці функціонування хмарних технологій. Здійснено огляд сучасних фреймворків, які використовуються для оцінювання та сертифікації надавачів хмарних послуг (НХП), щодо відповідності вимогам загальновизнаних стандартів безпеки. Запропоновані рівні гарантій передбачають розроблення особливих вимог стосовно забезпечення безпеки інформаційних систем НХП відповідно до класифікації критичності систем і даних потенційних споживачів хмарних послуг. Керуючись нормативними актами, нормами міжнародних стандартів і вже розглянутими національними схемами з оцінювання кібербезпеки хмарних продуктів, сервісів і послуг, сформулювано узагальнений список вимог до безпеки надавачів хмарних послуг, який охоплює всі необхідні умови та відповідає запропонованим рівням гарантій. Здійснено оцінювання відповідності стандартам безпеки, яке є відправною точкою для визначення політики інформаційної безпеки та боротьби із загрозами, що притаманні хмарним сервісам. Запропоновано розподіл на три рівні гарантій безпеки, яким має відповідати НХП під час оцінювання відповідності залежно від бізнес-потреб користувачів і критичності даних, котрі обробляє та зберігає хмарна інформаційна система. Розроблено узагальнену схему вимог безпеки до НХП, побудовану на основі загальновідомих фреймворків, яка бере до уваги різнорівневий підхід до гарантій безпеки, розподілену відповідальність за дотримання перелічених вимог залежно від моделі функціонування і визначає компоненти архітектури хмари, що є чутливими до тих чи інших умов. У статті поєднано всі найкращі стандарти Сполучених Штатів Америки та Європейського Союзу, а також найкращі практики безпеки для використання хмарного середовища, яке вважається найнебезпечнішим з погляду інформаційної безпеки, але зручним для використання.
Ключові слова: надавач послуг; хмара; хмарна інфраструктура; мережа.
Список використаної літератури
1. Матриця Cloud Controls і CAIQ v4 [Електронний ресурс] // CSA, 07.06.2021. URL: https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/.
2. Про хмарні послуги [Електронний ресурс]: Закон України від 17.02.2022 № 2075-IX. URL: https://zakon.rada.gov.ua/laws/show/2075-20#n69.
3. Жилін А., Дівіцький А., Козачок А. Проблематика захисту інформаційних ресурсів при використанні хмарних технологій // Information Technology and Security. 2019. № 7. P. 171–182.
4. The Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 [Електронний ресурс] // CSA, 07.26.2017. URL: https://downloads.cloudsecurityalliance.org/assets/research/security-guidance/security-guidance-v4-FINAL.pdf.
5. NIST Special Publication 500-292, NIST Cloud Computing Reference Architecture [Електронний ресурс]. URL: https://bigdatawg.nist.gov/_uploadfiles/M0008_v1_7256814129.pdf.
6. ISO/IEC 27001. Information technology — Security techniques — Information security management systems — Requirements [Електронний ресурс]. URL: https://www.iso.org/isoiec-27001-informationsecurity.html.
7. ISO/IEC 27017. Information technology - Security techniques - Information security management – Guidelines on information security controls for the use of cloud computing services based on ISO / IEC 27002 [Електронний ресурс]. URL: https://www.iso.org/standard/43757.html.
8. ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls [Електронний ресурс]. URL: https://www.iso.org/standard/75652.html.
9. Про технічні регламенти та оцінку відповідності [Електронний ресурс]: Закон України від 19.02.2022 № 124-VIII. URL: https://zakon.rada.gov.ua/laws/show/124-19#Text.
10. SOC 2 Compliance [Електронний ресурс] // Imperva, 12.07.2021. URL: https://www.imperva.com/learn/data-security/soc-2-compliance/.
11. EUCS – Cloud Services Scheme [Електронний ресурс] // ENISA, 22.12.2020. URL: https://www.enisa.europa.eu/publications/eucscloud-service-scheme.