Анкета для выбора “облачного” провайдера по требованиям безопасности

Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг свои процессы обработки данных коммерческим провайдерам, стали популярным и быстрорастущим рынком. Но сама природа таких услуг заставляет клиентов задуматься в первую очередь о защищенности данных.

Специалистами Альянса по «облачной» безопасности (Cloud Security Alliance), в состав которого входят такие компании как eBay, Intuit, DuPont и ING, была составлена анкета для аттестации сервис-провайдера по требованиям безопасности (Consensus Assessments Initiative Questionnaire), перевод которой мы вам и предоставляем.

Конечно, в идеале было бы, лично осмотреть дата-центр и познакомится с персоналом. Хотя бы уже для того, чтобы воочию убедиться, что все, оговоренное в вашем контракте, существует в реальности. Но по сути – это режимный объект с очень строгой контрольно-пропускной системой, на территорию которого, в большинстве случаев, обычных клиентов не пускают.

Так что если Вам и не удастся побывать в ЦОД-е провайдера, то всё необходимое можно выяснить с помощью зондирующих вопросов анкеты. «Данный набор вопросов облегчит выявление основных проблем, выработку оптимальных методов и способов контроля, он должен помочь организациям выстроить процесс аттестации облачных провайдеров по требованиям безопасности», — утверждают в CSA.
Итак:

– Выполняет ли провайдер регулярные испытания на возможность проникновения в систему, а также внутренние и внешние аудиты безопасности, с результатами которых могут ознакомиться заказчики?

– Имеют ли заказчики возможность самостоятельно выполнять тесты на уязвимости?

– Разделены ли данные разных клиентов логически и зашифрованы ли они для каждого клиента, чтобы данные одного из них случайно не были выданы вместе с данными другого, например, по требованию правоохранительных органов?

– Сможет ли провайдер восстановить данные каждого клиента в случае утраты?

– Какие меры по охране интеллектуальной собственности предпринимает провайдер?

– Ведет ли провайдер учет виртуальных и физических серверов, используемых каждым клиентом, и может ли он гарантировать, что данные хранятся лишь в определенных странах, если этого требует соответствующее национальное законодательство о хранении информации?

– Какова используемая провайдером политика ответа на запросы о данных по клиентам от госорганов?

– Какова применяемая провайдером политика сохранения данных клиентов и имеет ли он возможность следовать политике заказчика, требующей удаления данных из сети провайдера?

– Ведет ли провайдер инвентаризацию своих активов и историю взаимоотношений с поставщиками?

– Обучает ли он свой персонал использованию средств контроля безопасности — своих собственных и клиентских — и документируется ли такое обучение?

– Ведётся ли мониторинг и контроль пользовательских прав доступа?

– Каковы меры и масштабы реагирования на инциденты безопасности. А также какова при этом ответственность провайдера и клиента.

И хотя это далеко не полный список советов, но даже этого хватит чтобы получить представление про уровень безопасности и определиться с выбором.