НовостиСобытияКонференцииФорумыIT@Work
Облака/ИТ-сервисы:

Блог

К вопросу о безопасности облаков. И не только облаков

Андрей Колесов
24.11.2012 12:01:07

Вчера, когда до окончания рабочей недели оставалось всего несколько часов, в облачной группе Фейсбука произошел очень интересный и показательный случай. Даже целый набор "случаев", поскольку в ходе обсуждения вопроса о безопасности облачных SaaS-сервисов, возникла некоторая конфликтная ситуация в соцсети, в результате которые члены группы стали терять права доступа, причем создалось впечатление, что процесс этот стал каким-то слабо управляемым.

Сам же исходный вопрос был поставлен так:

Цитата
Вячеслав Гилев:
"Поскольку в этой группе много знатоков теории «облаков» и «туманов», а какая классификация уровней безопасности, доступа, контроля хранения информации и т.п., существует в общепринятой практике? Или каждый сам себе изобретает велосипед. Конкретный пример: gmail безопаснее mail.ru? Или какая разница между gmail и госуслугам? Как померить?"


По сути вопроса там – несмотря на пятничный вечер – развернулась довольно живая дискуссия, познакомившись с которой уже в субботу утром, я решил тоже высказать некоторые соображения. Вот тут.

Ход дискуссии показывает то, что я уже давно наблюдаю, -- неопределенность понятия "безопасность". Ситуация довольно странная и при это – очень типичная. Как и с "облаками". Вроде бы термин "расхожий" и используется на каждом шагу, но когда доходит до дела, что выясняется, что в его понимании какая-то сплошная "каша".

По ходу дискуссии была приведена ссылка на определение "информационная безопасность" в Вики, но, признаться, лично мне эта статья в Вики видится (я по этому поводу писал и раньше) видится какой-то весьма слабой и путанной.
Хотя бы потому, что "информационная безопасность" и "безопасность информационные систем" – это вроде бы не очень одно и то же.
К тому же "безопасность информационных систем" почему-то постоянно путают с темой надежности и доступности систем.

Поэтому я бы предложил бы все же сначала сформулировать: что именно обсуждается?
Что понимается под "безопасностью облачных сервисов"?
И в чем "безопасность облачных сервисов" отличается от "безопасности информационных систем"?

Я по своему интуитивному понимаю вопроса считаю, что понятие "безопасность" связано с обеспечением нормального (в соответствии с требованиями и регламентами) функционирования системы в условиях "злонамеренных" (! можно даже сказать "враждебных"), в обход установленный правил (в том числе прав доступа), попыток нарушить нормальную работы системы.

А информационная безопасность – это частный случай "безопасности", связанный с защитой информации от "злонамеренных умыслов".

Т.е. получается, что "безопасность" связана с наличием противника, причем субъекта, человека.

А как же с природными катаклизмами? Тут зависит уже от того, как мы договоримся. Я бы в любом случае "безопасность от природы" отделил от "безопасности от субъектов". В моем представлении, обеспечение работоспособности систем в условиях природных катаклизмов относится к теме технической надежности.

Если же говорить о "безопасности от субъектов", то из данного выше определения очевидно, что сама тема безопасности связана с наличием описания "нормального функционирования системы", т.е. наличия требования, правил, регламентов. Нельзя говорить о нарушении регламентов, если нет регламентов…

Так вот теперь вернем к конфликтной ситуации в облачной группе с нарушением прав доступ. Этот случай, на мой взгляд, хорошо показывает, что одних только технических средств управления работой той же социальной группой – явно недостаточно. Что нужны прописанные словами правила работы группы, регламенты.

Помню, давно-давно, сразу после окончания вуза мне пришлось возглавить (все начиналоть тогда "с нуля", кроме "молодых специалистов" никого не было) группу разработки ПО по весьма секретному проекту. Система управления реальным объектом с многопользовательским (больше трех – это точно) доступом. И мы тогда изучали вопросы обеспечения безопасности с нуля (МИФИ считался тогда ведущим вузом по подготовке ИТ-специалистов, но даже слова "безопасность" в наших курсах не было. Надежность - была, а безопасности не было. Кстати, вчера было 70 лет МИФИ). Пароли доступа, шифрование данных…

И на одном из совещаний по теме, начальник "первого отдела", который был приглашен как консультант, сказал правильную фразу, которую я запомнил навсегда:

"Вы тут можете придумывать что угодно. Но безопасность системы в плане нарушения прав доступ (от людей) изначально определяется качеством работы отдела кадров".
А он был как раз уже далеко не "молодым специалистом", знал жизнь, в том числе в ее аспектах безопасности.

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии