Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг свои процессы обработки данных коммерческим провайдерам, стали популярным и быстрорастущим рынком. Но сама природа таких услуг заставляет клиентов задуматься в первую очередь о защищенности данных.
Специалистами Альянса по «облачной» безопасности (Cloud Security Alliance), в состав которого входят такие компании как eBay, Intuit, DuPont и ING, была составлена анкета для аттестации сервис-провайдера по требованиям безопасности (Consensus Assessments Initiative Questionnaire), перевод которой мы вам и предоставляем.
Конечно, в идеале было бы, лично осмотреть дата-центр и познакомится с персоналом. Хотя бы уже для того, чтобы воочию убедиться, что все, оговоренное в вашем контракте, существует в реальности. Но по сути – это режимный объект с очень строгой контрольно-пропускной системой, на территорию которого, в большинстве случаев, обычных клиентов не пускают.
Так что если Вам и не удастся побывать в ЦОД-е провайдера, то всё необходимое можно выяснить с помощью зондирующих вопросов анкеты. «Данный набор вопросов облегчит выявление основных проблем, выработку оптимальных методов и способов контроля, он должен помочь организациям выстроить процесс аттестации облачных провайдеров по требованиям безопасности», — утверждают в CSA.
Итак:
– Выполняет ли провайдер регулярные испытания на возможность проникновения в систему, а также внутренние и внешние аудиты безопасности, с результатами которых могут ознакомиться заказчики?
– Имеют ли заказчики возможность самостоятельно выполнять тесты на уязвимости?
– Разделены ли данные разных клиентов логически и зашифрованы ли они для каждого клиента, чтобы данные одного из них случайно не были выданы вместе с данными другого, например, по требованию правоохранительных органов?
– Сможет ли провайдер восстановить данные каждого клиента в случае утраты?
– Какие меры по охране интеллектуальной собственности предпринимает провайдер?
– Ведет ли провайдер учет виртуальных и физических серверов, используемых каждым клиентом, и может ли он гарантировать, что данные хранятся лишь в определенных странах, если этого требует соответствующее национальное законодательство о хранении информации?
– Какова используемая провайдером политика ответа на запросы о данных по клиентам от госорганов?
– Какова применяемая провайдером политика сохранения данных клиентов и имеет ли он возможность следовать политике заказчика, требующей удаления данных из сети провайдера?
– Ведет ли провайдер инвентаризацию своих активов и историю взаимоотношений с поставщиками?
– Обучает ли он свой персонал использованию средств контроля безопасности — своих собственных и клиентских — и документируется ли такое обучение?
– Ведётся ли мониторинг и контроль пользовательских прав доступа?
– Каковы меры и масштабы реагирования на инциденты безопасности. А также какова при этом ответственность провайдера и клиента.
И хотя это далеко не полный список советов, но даже этого хватит чтобы получить представление про уровень безопасности и определиться с выбором.