Парадигма безопасности облачных вычислений


 Собственник активов «облака» никогда не знает наверняка о готовящемся нападении. Момент нападения для него всегда оказывается неожиданным. 4



бет2/3
Дата14.09.2022
өлшемі28.56 Kb.
#290231
1   2   3
Байланысты:
облоко выч парадигмы
АСЫЛХАН ОЧЕТ 5, 1. Елбасы – Қазақстан көшбасшысы,21,09,2021, макала, 921 шартты
3. Собственник активов «облака» никогда не знает наверняка о готовящемся нападении. Момент нападения для него всегда оказывается неожиданным.
4. Злоумышленник изучает объект нападения как теоретически (никак себя не обнаруживая), так и практически (путем исследования объекта и его системы безопасности). Таким образом, он находит точки уязвимости в системе защиты и с учетом этих знаний отрабатывает наиболее эффективный алгоритм атаки. Чем сложнее объект нападения, тем тщательнее он должен быть изучен и тем больше следов своей активности оставит злоумышленник. Авторизованный пользователь маскирует активность под служебную деятельность, а субъект НСД просто оставляет следы своей деятельности.
5. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности.
6. Атаки злоумышленника, как правило, носят характер локальный и конкретный по месту, цели и времени. Также, локальны и конкретны угрозы природного характера, хотя по своей разрушительной силе они часто бывают исключительно сильны. Однако именно локальность катастроф такого типа дает возможность обеспечить высокую катастрофоустойчивость системы в целом, создавая и размещая резервные центры обработки данных (центры резервного копирования информации) на достаточном удалении друг от друга (тысячи километров). Одновременное поражение этих центров возможно только при катастрофе такой силы, что будет поставлено под вопрос само существование человеческой цивилизации, например, в случае глобальной ядерной войны или столкновении с крупным космическим объектом.
7. Однако сложно и исключительно ресурсоемко (следовательно, затратно и малоэффективно) искать следы активности потенциального субъекта угроз везде и по факту корректировать работу собственной системы защиты. Поэтому главный инструмент собственника — прогноз, основанный на опыте. Лучше всего, когда используется собственный опыт. Прогноз осуществляется путем составления модели угроз и модели субъекта угроз. В данном контексте специально использовано понятие «субъект угроз» вместо понятия «злоумышленник». Понятие «субъект угроз» включает в себя все возможные источники угроз, начиная от злонамеренной деятельности и заканчивая неграмотной эксплуатацией техники кондиционирования машинных залов. Чем точнее сделан прогноз, тем ниже риски нарушения безопасности при минимальных материальных и ресурсных затратах.
8. Следует отдавать себе отчет, что ни один риск в принципе нельзя уменьшить до нуля. Всегда будет оставаться некий остаточный риск, который, в крайнем случае, при необходимости, может быть сведён к страховому случаю. Задача минимизации рисков заключается в правильном определении уровня остаточного риска и его учете в практической деятельности. Однако часто бывает так, что остаточный риск вдруг резко увеличивается до неприемлемого уровня и может нанести вполне реальный ущерб. Так происходит, например, когда появляется новый компьютерный вирус, незнакомый средствам антивирусной защиты. В этом случае должен существовать резервный план действий, позволяющий минимизировать ущерб, наносимый этим вирусом после его проникновения в систему.
9. Наиболее правильный и эффективный способ минимизировать риски безопасности — на основе правильно сделанного прогноза разработать политику безопасности, отвечающую интересам собственника, и в соответствии с ней построить систему безопасности. Такая система безопасности способна выдержать практически все известные атаки, актуальные для актива, который защищает собственник.
10. Однако далеко не каждый собственник располагает необходимым потенциалом и достаточным опытом для подготовки грамотного прогноза. Поэтому прогноз может составляться на корпоративной основе в тесном сотрудничестве с провайдером облачных услуг, централизованно, с учетом опыта ведущих специалистов по обеспечению безопасности ИКТ, а также с учетом международного опыта. Также на корпоративной основе, централизованно могут разрабатываться и основные требования по безопасности, определяющие общий для всех субъектов облачных вычислений необходимый и достаточный уровень безопасности.
11. Политика безопасности должна разрабатываться конкретно для каждого собственника «облачных» ресурсов, c учетом его особенностей, масштаба организации, степени зрелости процессов управления безопасностью и информационными ресурсами.
12. Соблюдение мер безопасности в значительной степени является элементом корпоративной и личной этики, поэтому на общий уровень безопасности организации облачных вычислений оказывает большое влияние личное «зрелое» отношение сотрудника к своим собственным обязанностям и к бизнесу организации, а также взаимоотношения сотрудников внутри коллектива и между коллективом провайдера «облака» и собственником «облачных» активов. Всем этим необходимо управлять и проводить ясную кадровую политику.


Достарыңызбен бөлісу:
1   2   3




©melimde.com 2022
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
бойынша жиынтық
жиынтық бағалау
Сабақ тақырыбы
Сабақтың мақсаты
ғылым министрлігі
бағдарламасына сәйкес
тоқсан бойынша
бағалауға арналған
Сабақ жоспары
Реферат тақырыбы
сәйкес оқыту
жиынтық бағалауға
арналған тапсырмалар
оқыту мақсаттары
білім беретін
Қазақстан республикасы
бағалау тапсырмалары
республикасы білім
Жалпы ережелер
жиынтық бағалаудың
бекіту туралы
рсетілетін қызмет
Қазақстан тарихы
мерзімді жоспар
тоқсанға арналған
Қазақстан республикасының
болып табылады
арналған жиынтық
нтізбелік тақырыптық
жалпы білім
қызмет стандарты
оқыту әдістемесі
арналған әдістемелік
Мектепке дейінгі
Қазақ әдебиеті
Зертханалық жұмыс
бағалаудың тапсырмалары
Инклюзивті білім
пәнінен тоқсанға
білім берудің
тақырыптық жоспар
Әдістемелік кешені
Қысқа мерзімді
туралы жалпы
республикасының білім
атындағы жалпы
Жұмыс бағдарламасы
Қазақстанның қазіргі
пайда болуы
қазақ тілінде