среда, 22 января 2014 г.

Европейское агентство по кибербезопасности ENISA хочет, чтобы поставщики облачных услуг лучше раскрывали информацию об инцидентах


Данная заметка была опубликована 17 января 2014 года на сайте Infosecurity ( http://www.infosecurity-magazine.com )

В начале этой неделе Dropbox для некоторых пользователей был недоступен в течение 48 часов. Многие из этих пользователей решили, что Dropbox был взломан, и, соответственно, были обеспокоены по поводу безопасности своих персональных данных - особенно после того, как некий хакер взял на себя ответственность за якобы имевшую место атаку. На деле имело место обычная ошибка программирования, но Европейское агентство по кибербезопасности ENISA (European Network and Information Security Agency) использует сейчас этот случай как пример того, почему важно более полное и своевременное раскрытие информации об инцидентах.

Требования в отношении раскрытия сведений об инцидентах в Европе постоянно усиливаются, но делается это от случая к случаю. Организации в жёстко регулируемых отраслях, таких как финансовый и телекоммуникационный сектора, уже по закону обязаны сообщать об инцидентах. Положения, содержащиеся в Общих правилах защиты персональных данных (General Data Protection Regulation), от всех компаний потребуют сообщать об инцидентах, связанных с персональными данными – и никак иначе.

Чтобы закрыть имеющиеся пробелы, Европейская комиссия в 2013 году опубликовала предлагаемый проект Директивы по сетевой и информационной безопасности (Network and Information Security Directive, NIS, http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_en.pdf ) . Эта директива включает предложение о введении общего требовании об информировании об «инцидентах, имевших существенные последствия».

Выпущенный ENISA новый отчет под названием «Информирование об инцидентах облачной безопасности – Концепция информирования о серьёзных инцидентах» (Cloud Security Incident Reporting – Framework for reporting about major cloud security incidents,   https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/incident-reporting-for-cloud-computing/at_download/fullReport  - на рис.) не предназначен служить руководством по реализации директивы NIS - он исходит из того, что все более широкое использование в Европе облачных вычислений будет означать, что инциденты безопасности, связанные с облачными услугами, с большой вероятностью будут иметь существенные последствия.

Как объясняет профессор Удо Хельмбрехт (Udo Helmbrecht), «информирование об инцидентах имеет решающее значение для понимания уровня безопасности и жизнестойкости критически-важных информационных инфраструктур Европы. Облачные вычисления в настоящее время становится становым хребтом нашей электронного общества, поэтому важно, чтобы поставщики облачных услуг повысили прозрачность своей деятельности и доверие к ней, взяв на вооружение эффективные схемы оповещения об инцидентах».

В отчете рассматриваются четырех сценария оказания облачных услуг:
  • услуги, используемые оператором критически-важного объекта инфраструктуры;

  • услуги, используемые потребителями, действующими в нескольких важнейших секторах экономики;

  • государственные облака, и

  • облачных услуги, используемых малыми и средними предприятиями и общественностью.
Идентифицирован ряд имеющихся проблем. Во-первых, большинство европейских стран не имеет соответствующего национального уполномоченного органа. Во-вторых, облачные сервисы часто используют услуги других поставщиков облачных услуг, что увеличивает сложность и усложняет информирование об инцидентах. В-третьих, клиенты в настоящее время не настаивают в своих контрактах на оказание облачных услуг на информировании об инцидентах (всерьёз это можно говорить, с моей точки зрения, только о влиятельных государственных органах и о крупных корпорациях. У малых и средних организаций и частных лиц выбор один – или подписывать типовые контракты, или обходиться без облаков – Н.Х.).

«Цель отчета», говорится в документе, «заключается в том, чтобы дать государственным органам (министерствам, контролирующим органам, уполномоченным органам по компьютерной безопасности) представление о вопросах и проблемах, возникающих при реализации (национальных и общеевропейских) схем информирования о существенных инцидентах безопасности облачных вычислений».

Для решения этих проблем и развития общеевропейской практики информирования об инцидентах для облачных провайдеров, ENISA предлагает набор из восьми рекомендаций. Например, государственным органам рекомендуется включать обязательства по информированию об инцидентах в требования к закупаемым услугам. То же рекомендуется и представителям частного сектора. Поскольку организации ряда секторов уже обязаны сообщать о собственных инцидентах, и ещё больше организаций подпадут под аналогичные требования в соответствии с Общими правилами защиты персональных данных, то потребителям облачных услуг следует включать требования к информированию об инцидентах в соглашения о качестве услуг (SLA) с их поставщиками.

Предметом особой озабоченности является необходимость унификации законодательства в масштабах Европе. На данный момент предложенная Еврокомиссией директива NIS дает возможность различным государствам-членам Евросоюза по-своему интерпретировать вопросы её практической реализации. «Поставщики облачных услуг», - говорится в отчёте, - «часто действуют в международном масштабе, т.е. взаимодействуют с клиентами и контролирующими органами ряда стран. Для обеспечения равных условий и формирования единого конкурентного цифрового рынка важно, насколько это возможно, гармонизировать требования законодательства, касающиеся информирования об инцидентах».

Частью такой гармонизации должен стать более совершенный обмен информацией между различными национальными органами. «Благодаря обмену резюме сообщений об инцидентах со своими коллегами, национальные уполномоченные органы смогут обсудить друг с другом тенденции, общие угрозы, а также меры по обеспечению безопасности и передовой опыт. Только тогда уполномоченные органы смогут обеспечить надлежащую обратную связь с отраслью».

ENISA советует «мыслить масштабно, но начать с малого». Таким образом в результате эволюции может быть создана общеевропейская эффективная система информирования об инцидентах. И это, по мнению ENISA, будет взаимовыгодным результатом как для потребителей, так и для поставщиков облачных услуг.

Источник: сайт Infosecurity
http://www.infosecurity-magazine.com/view/36517/enisa-seeks-better-incident-reporting-from-cloud-providers/ 

Комментариев нет:

Отправить комментарий