Ассоциация профессионалов в области информационной безопасности RISSPA подготовила и опубликовала брошюру «Проблема выбора средств защиты информации для виртуализированных инфраструктур».

Эксперты RISSPA проанализировали новые приказы ФСТЭК России № 17 и № 21 в части требований к защите среды виртуализации и сформировали набор практических рекомендаций по выбору средств защиты для виртуализированных инфраструктур в соответствии с новыми требованиями ФСТЭК России. Рекомендации дополняют сводные таблицы по средствам защиты для среды виртуализации, структурирующие продукты по наличию у них сертификатов соответствия требованиям ФСТЭК России и их соответствию техническим мерам по обеспечению безопасности, указанным в приказе ФСТЭК России от 18 февраля 2013 г. № 21.

Разработка рекомендаций по выбору СЗИ для виртуализированных инфраструктур является первой инициативой Санкт-петербургского отделения RISSPA, открытого в начале июня 2013 года. В рабочую группу по подготовке брошюры вошли Мария Сидорова, вице-президент ассоциации RISSPA, и Евгений Родыгин, член экспертного совета RISSPA. Брошюра предназначена для широкого круга экспертов в области информационной безопасности.

«Защита сред виртуализации до сих остается малоизученным явлением среди современных средств обеспечения безопасности данных. Во многом это обусловлено неопределенностью уровня сопутствующего риска и степенью осведомленности CISO в предметной области. Цель данного документа — обобщить опыт экспертов в области существующих решений, вариантов их применения, а также выполнения требований законодательства по защите персональных данных. На мой взгляд, очевидна высокая практическая ценность документа, который поможет специалистам ориентироваться в теме безопасности виртуальных сред и эффективнее выстраивать систему защиты», — поделился мнением Евгений Климов, президент ассоциации RISSPA.

«Сегодня специалисты по информационной безопасности находятся в непростой ситуации. Организациям выгодно использовать виртуализацию, поэтому руководство стремится виртуализировать те задачи, которые не виртуализовались ранее. И все чаще специалистам по ИБ требуется понимание того, какими средствами можно обеспечить безопасность в виртуальной среде с учетом требований к уровням безопасности. Данная брошюра является отличным источником информации для тех, кто находится в начале этого пути», — пояснил один из известных блогеров, пишущих про виртуализацию, автор блога «VM4.RU», Михаил Михеев.

«Мне довелось одним из первых прочитать материал коллег. И мне понравилось! Несмотря на то, что тема уже давно является актуальной, простых и полезных статьей не так много. Ну, а аналитики, взаимоувязывающей требования регуляторов (приказы ФСТЭК № 17 и № 21) и перечень сертифицированных СЗИ, я до этого момента не встречал. Коллеги смогли довольно успешно это совместить. Отдельное спасибо авторам за практические рекомендации, они полезны», — сказал Андрей Прозоров, эксперт по информационной безопасности, автор блога «Жизнь 80 на 20», член RISSPA.

«Считаю, что данное исследование будет весьма полезно для пресейла по вопросам защиты виртуализованной инфраструктуры, так как при выборе СЗИ большинство заказчиков требует сравнить предлагаемые решения по защите. Данный документ помогает это сделать. Налицо достаточно проработанный анализ средств защиты виртуализованной инфраструктуры, и за это стоит сказать отдельное спасибо коллективу авторов. Must have для успешных продаж решений по защите виртуализованной инфраструктуры», — отметил Александр Кузьмин, генеральный директор «Альтирикс системс», член RISSPA.

«Документ, подготовленный ассоциацией RISSPA, хорошо описывает проблематику вопроса по защите ВИ и рассчитан на самую широкую аудиторию. Сравнение всегда является одним из самых интересных аспектов работы над проектами. Незначительным минусом брошюры можно считать несколько некорректное сравнение возможностей средств защиты ВИ, закрывающих требования ФСТЭК России, указанных в таблице 1. Однако данный вопрос следует адресовать скорее разработчикам средств защиты и их методикам оценки соответствия требованиям ФСТЭК России, а не авторам работы. В целом документ будет, несомненно, полезен в работе», — прокомментировал Максим Федотенко, ведущий инженер Управления информационной безопасности ОАО «СБЕРБАНК РОССИИ», член RISSPA.

Брошюра доступна на сайте ассоциации RISSPA.