Кафедра информационных систем и технологий. Сравнительный анализ рисков при использовании облачных сервисов в России и ЕС

Стр 1 из 3Следующая ⇒

Факультет бизнес-информатики и прикладной математики

Кафедра информационных систем и технологий

КУРСОВАЯ РАБОТА

На тему:

Сравнительный анализ рисков при использовании облачных сервисов в России и ЕС

Нижний Новгород - 2014

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

. Понятие облака

2. Преимущества и недостатки облачных вычислений

Преимущества облачных вычислений

2.2 Недостатки облачных вычислений

. Ситуация в России

3.1 Регуляторы в области Информационной безопасности

Система сертификации по требованиям безопасности

. Ситуация в Европе

Европейские законодательные инициативы

Общеевропейская стратегия

. Риски

Оценка «облачных» рисков

Информационные активы и риски

Секретность и конфиденциальность

Управление данными

5.5 Метрика безопасности

ЗАКЛЮЧЕНИЕ

СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ

В последние годы популярность облачных архитектур резко возросла.

Например, у популярного сервиса Dropbox количество зарегистрированных пользователей превысило 100 миллионов. Эти услуги используются для хранения огромного количества цифровых данных, которые нужны для частного и коммерческого пользования.

Большинство бизнес-процессов стало существовать в цифровом виде, т. е. счета, договоры, рекламные материалы или бизнес-планы стали электронными. Эти данные часто представляют собой большую ценность и их безвозвратная утрата или повреждение может стать полной катастрофой для их владельца.

Для компании потеря данных может разрушить основу для бизнеса. Кроме того, компании по закону обязаны сохранять налоговые отчеты за определенный период и обеспечивать доступ к ним властям.

Главная цель моей работы - составление сравнительного анализа рисков использования облачных сервисов в России и ЕС.

Для достижения данной цели я поставила для себя следующие задачи:

. дать определение облака;

2. рассмотреть существующие виды облаков;

. описать существующие риски использования облачных архитектур;

. найти отличия между рисками России и Евросоюза.

Объект исследования - риски использования облачных сервисов в России и ЕС. Предметом исследования является сравнительный анализ рисков использования облачных сервисов в России и ЕС.

Понятие облака

Облачное хранилище данных (англ. cloud storage) - онлайн-хранилище, в котором данные хранятся на многочисленных распределённых в сети серверах, предоставляемых в пользование клиентам, в основном, третьей стороной. В противовес модели хранения данных на собственных выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна.

В зависимости от модели развертывания облака бывают:

· private cloud

· public cloud

· hybrid cloud

Частное облако (англ. private cloud) - инфраструктура, предназначенная для использования одной организацией, включающей несколько потребителей (например, подразделений одной организации), возможно также клиентами и подрядчиками данной организации. Частное облако может находиться в собственности, управлении и эксплуатации как самой организации, так и третьей стороны (или какой-либо их комбинации), и оно может физически существовать как внутри, так и вне юрисдикции владельца.

Публичное облако (англ. public cloud) - инфраструктура, предназначенная для свободного использования широкой публикой. Публичное облако может находиться в собственности, управлении и эксплуатации коммерческих, научных и правительственных организаций (или какой-либо их комбинации). Публичное облако физически существует в юрисдикции владельца - поставщика услуг.

Гибридное облако (англ. hybrid cloud) - это комбинация из двух или более различных облачных инфраструктур (частных, публичных или общественных), остающихся уникальными объектами, но связанных между собой стандартизованными или частными технологиями передачи данных и приложений (например, кратковременное использование ресурсов публичных облаков для балансировки нагрузки между облаками).

В зависимости от модели обслуживания выделяют:

· SaaS

· PaaS

· IaaS

Программное обеспечение как услуга (SaaS, англ. Software-as-a-Service) - модель, в которой потребителю предоставляется возможность использования прикладного программного обеспечения провайдера, работающего в облачной инфраструктуре и доступного из различных клиентских устройств или посредством тонкого клиента, например, из браузера (например, веб-почта) или интерфейс программы. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения, или даже индивидуальных возможностей приложения (за исключением ограниченного набора пользовательских настроек конфигурации приложения) осуществляется облачным провайдером.

Платформа как услуга (PaaS, англ. Platform-as-a-Service) - модель, когда потребителю предоставляется возможность использования облачной инфраструктуры для размещения базового программного обеспечения для последующего размещения на нём новых или существующих приложений (собственных, разработанных на заказ или приобретённых тиражируемых приложений). В состав таких платформ входят инструментальные средства создания, тестирования и выполнения прикладного программного обеспечения - системы управления базами данных, связующее программное обеспечение, среды исполнения языков программирования - предоставляемые облачным провайдером. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения осуществляется облачным провайдером, за исключением разработанных или установленных приложений, а также, по возможности, параметров конфигурации среды (платформы).

Инфраструктура как услуга (IaaS, англ. IaaS or Infrastructure-as-a-Service) предоставляется как возможность использования облачной инфраструктуры для самостоятельного управления ресурсами обработки, хранения, сетей и другими фундаментальными вычислительными ресурсами, например, потребитель может устанавливать и запускать произвольное программное обеспечение, которое может включать в себя операционные системы, платформенное и прикладное программное обеспечение. Потребитель может контролировать операционные системы, виртуальные системы хранения данных и установленные приложения, а также ограниченный контроль набора доступных сервисов (например, межсетевой экран, DNS). Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, типов используемых операционных систем, систем хранения осуществляется облачным провайдером.

Преимущества и недостатки облачных вычислений

Облачные вычисления в настоящее время развиваются как никогда раньше, и предприятиями всех форм и размеров адаптируются к этой новой технологии. Отраслевые эксперты считают, что эта тенденция будет только продолжать расти и развиваться дальше в ближайшие несколько лет. В то время как облачные вычисления, несомненно, полезны для средних и крупных компаний, не обошлось и без минусов, особенно для малого бизнеса. Теперь рассмотрим список достоинств и недостатков облачных вычислений.

Ситуация в России

Ситуация в Евросоюзе

Общеевропейская стратегия

Несмотря на отсутствие общеевропейских руководящих документов, облачные вычисления уже осознаются как стратегическое направление для европейской экономики. Так, во время своего выступления на Давосском форуме в январе 2011 года вице-президент Еврокомиссии по цифровому развитию Нили Крус (Neelie Kroes) сообщила, что Евросоюз уже выполнил необходимый объем подготовительных работ и в 2012 году представит документ, «который будет сочетать анализ и план дальнейших действий».

В состав стратегии вошло три блока проблем. В рамках юридического блока освещены такие вопросы, как защита данных и обеспечение приватности, в том числе в международных масштабах. В рамках технического блока затронуты вопросы перспективных исследований по таким направлениям, как безопасность и бесперебойность облачных сервисов, стандартизация API и форматов данных, а также разработка типовых контрактов и соглашений об уровне сервиса (service level agreements). Наконец, в рамках рыночного (market) блока обеспечена поддержка пилотных проектов по развертыванию облачных систем.

Чего европейская экономика может ждать от «облаков»?

Существует несколько работ, в которых даны оценки влияния облачных вычислений на европейскую экономику. Согласно отчету швейцарского Центра экономических и бизнес-исследований, профинансированному компанией EMC, в период с 2010 по 2015 год облачные вычисления принесут крупнейшим европейским экономикам (Великобритания, Германия, Испания, Италия и Франция) 763 млрд. евро, что эквивалентно 1, 57% их совокупного ВВП. За счет облачных вычислений в этих странах будет создано 2, 3 млн. новых рабочих мест.

Оценивая экономическую значимость различных моделей развертывания облачных вычислений, исследователи Центра экономических и бизнес-исследований утверждают, что 39, 3% экономических выгод придется на гибридную модель, 35, 1% - на приватные облака и лишь 25, 6% - на публичные облачные сервисы.

Несколько более ранняя попытка оценки влияния облачных вычислений на европейскую экономику принадлежит исследователю из Миланского университета Федерико Этро (Federico Etro). По его мнению, облачные вычисления в перспективе 5 лет увеличат европейский ВВП на 0, 1-0, 3%, снизят безработицу на 0, 2-3% и приведут к созданию порядка 1 млн рабочих мест (240 тыс. в Великобритании, 160 тыс. в Германии, 100 тыс. во Франции, 94 тыс. в Польше, 76 тыс. в Италии и 69 тыс. в Испании). При этом Федерико Этро указывает, что «облака» не просто создадут новые рабочие места, но и станут причиной масштабной реструктуризации рынка и перемещения рабочей силы в новые отрасли.

Поскольку положительный эффект от облачных вычислений связан со скоростью восприятия новых технологий, Фредерико Этро рекомендует европейским политикам «как можно сильнее содействовать скорейшему внедрению облачных вычислений». Среди конкретных шагов итальянский исследователь предлагает фискальные поощрения для компаний, ведущих деятельность в определенных динамичных отраслях, а также снятие законодательных препятствий для свободного обмена данными между странами.

Несмотря на то, что Европейский союз в настоящее время еще не выработал целостной стратегии в области облачных вычислений, они уже рассматриваются европейскими политиками как важнейшее направление для координационных действий, законодательных реформ и многомиллионных инвестиций. Вероятно, в ближайшие два-три года в Евросоюзе будут предприняты законодательные реформы, которые создадут более благоприятный правовой режим для развития облачных вычислений. В то же время естественное развитие европейского ИТ-рынка и масштабные инвестиции в облачные исследования приведут к появлению разработок, обладающих конкурентоспособностью как на европейском, так и на глобальном рынке.

В отличие от Евросоюза в России пока что уделяется мало внимания как перспективным разработкам в области облачных вычислений, так и связанным с ними законодательным проблемам. Если учесть, что активные исследовательские работы по облачным вычислениям начались в 2009 году, то наша страна отстает от Евросоюза. Если Россия в ближайшее время не приступит к разработке собственной стратегии в сфере облачных вычислений и не начнет финансировать собственные перспективные разработки, то мы рискуем еще более утвердить свой нынешний статус импортера и потребителя зарубежных ИТ-инноваций.

облачный сервис информационный безопасность

Риски

Время, когда вы храните все ваши документы, фотографии и музыку на компьютере и жестком диске постепенно подходит к концу. Сегодня, облачные хранилища помогают решить задачу увеличения места для хранения всей вашей цифровой собственности. Но в безопасности ли ваши личные данные в Интернете?

Следует отметить следующие важные моменты безопасности:

· Пароли могут быть взломаны. Это не означает, что пароли не являются безопасными, это означает, что они уязвимы к dictionary и brute force attacks. Если вы выбираете решение облачного хранения, которое опирается на пароль для доступа к данным, выбирайте пароль, который трудно взломать с dictionary attacks, а также регулярно меняйте свой пароль, чтобы уменьшить риск взлома от brute force attacks.

· Данные могут быть захвачены в пути (en route.). К счастью, большинство сервисов хранения шифруют данные, пока они путешествуют туда и обратно, что делает невозможным их чтение, даже если кто-то захватывает файл. Если ваше облачное хранилище работает через веб-приложение, вы должны увидеть " HTTPS" вместо " HTTP" перед URL в адресной строке браузера. Это дополнительный " S" указывает на форму с использованием безопасного протокола HTTP. Если у вас есть отдельное приложение облачного хранения установленных на вашем компьютере, убедитесь в том, что приложение использует некоторый тип шифрования для обмена информацией в Интернете.

· Люди становятся более опасными, чем компьютеры, когда дело доходит до взлома. Не сообщайте свой пароль никому, даже если кто-то якобы от технической поддержки просит вас его озвучить. Одной из самых больших угроз безопасности является социальная инженерия: создание доверия между хакером и конечным пользователем, что заставляет конечного пользователя с радостью передать личную информацию. Обратите внимание, что когда вы говорите с реальным специалистам технической поддержки, они требуют лишь минимальную идентифицирующую информацию от вас, и, скорее всего, не ваш пароль.

· Хакеры обычно хотят получить больше информации с наименьшими усилиями. Это означает, что, чаще всего, они атакуют сердце облачного сервиса хранения, а не его отдельных пользователей. Таким образом, следует найти провайдера с хорошей историей сохранения счетов и данных своих клиентов в безопасности.

· Ваши данные не всегда недоступны для поиска и захвата местными органами власти. В США, например, от любой компании облачного хранения могут потребовать открыть данные своих клиентов для государственной проверки.

Оценка «облачных» рисков

Безопасно ли использовать общедоступное облако? Это основной вопрос об облачных вычислениях. Однако полный ответ зависит от четкого понимания степени допустимого риска в вашей организации. Понимание того, какой уровень риска является допустимым, зависит от оценки ваших требований к безопасности и насколько ценны ваши информационные активы - данные, приложения и процессы.

Только когда вы полностью уясните эти вопросы, можно принимать обоснованное решение о том, какие модели развертывания и модели предоставления услуг соответствуют вашим потребностям и допустимому риску. Прежде чем принять общедоступную или гибридную модель важно определить свои информационные активы. Любой выбор будет включать в себя как минимум некоторое снижение контроля над тем, каким образом эта информация будет защищена, и где она может находиться (место хранения и юрисдикция). При внутрикорпоративном хостинге и наличии локальных частных облаков требуются дополнительные усилия по организации инфраструктуры облаков.

И не забывайте, что сумма ваших информационных активов не ограничивается информацией или данными. Приложения и процессы могут легко оказаться столь же жизненно важными, как сама информация. Во многих сферах, таких как аналитика и финансы, используемые алгоритмы и программы часто являются собственностью и строго секретными для организации. Их раскрытие может повлечь катастрофические потери для организации.

Необходимо ответить на следующие вопросы:

§ Категория угрозы: что может случиться с вашими информационными активами?

§ Воздействие угрозы: насколько это может быть серьезным?

§ Повторяемость угрозы: как часто это может происходить?

§ Фактор неопределенности: насколько вы уверены в своих ответах на приведенные выше три вопроса?

Основная проблема в оценке рисков является неопределенность, выраженная в терминах вероятности. Что действительно нужно знать, так это то, что делать со всем этим (предпринимать контрмеры или минимизировать возможные потери при реализации рисков). После проведения анализа и изучения рисков, можно задать несколько дополнительных вопросов:

§ Минимизация последствий рисков: что можно предпринять, чтобы уменьшить риск?

§ Стоимость и последствий: во что обойдется минимизация последствий рисков?

§ Соотношение стоимости минимизация последствий и получаемых преимуществ: является ли минимизация последствий экономически эффективной?

Нужно понимать, что эти три вопроса в большей степени риторические, когда речь идет об общедоступном облаке, если его сравнивать с частными или гибридными облачными решениями. В общедоступном облаке вы получаете то, за что платите. Провайдеры облачных вычислений частично несут ответственность за ответы на эти три вопроса. Кроме того, эти вопросы также менее актуальны для SaaS-сервисов (Software as a Service), чем для PaaS-сервисов (Platform as a Service), но еще более актуальны для сервиса IaaS (Infrastructure as a Service).

Управление данными

Необходимо осознавать, что безопасность конфиденциальных данных и управления ими - две разных проблемы. В рамках процедуры полной юридической проверки необходимо иметь полное понимание процесса управления конфиденциальностью, а также руководящих принципов обеспечения безопасности поставщиком сервисов.

Обработка информации подчиняется законодательству о неприкосновенности частной жизни. Другие виды бизнес-информации и все, что связано с национальной безопасностью, подчиняется гораздо более жестким правилам и законам. Безопасность государственной информации и процессов ее обработки регулируется строгим и развитым сводом законов, правил и руководств.

Хотя облако представляет собой относительно новую модель, изложенного в этой статье достаточно, чтобы понять, что никакая секретная информации не должна храниться в общедоступном облаке. Вызывают озабоченность другие государственные структуры, которые не работают с конфиденциальными или секретными данными.

Достаточно сказать, что при изучении возможности использования общедоступного облака существует много различных и самостоятельных сфер деятельности - от правительств государств до местных органов власти. Так как размер и количество уровней в государственных структурах значительно, более разумным кажется использование ряда «коммунальных» облаков - это позволяет избежать применения публичных облаков и связанных с ними проблем.

С другой стороны, если государственные структуры используют публичное облако, то этот сервис должен в полной мере отвечать интересам арендатора и обеспечивать выполнение всех правил и законов. Вполне возможно, что арендатор может реализовать дополнительные меры контроля безопасности, которые отвечают нормативным или законодательным требованиям, даже если лежащие в основе облака общедоступные IaaS- или PaaS-сервисы не полностью отвечает этим требованиям.

Однако вы должны понимать, что набор дополнительных средств управления, которые могут добавляться арендатором, ограничен и не всегда позволяет закрыть пробелы в некоторых публичных облачных сервисах. Какую бы модель облака вы не выбрали, не упускайте из виду вопросы безопасности.

Как правило, в компании с высоким уровнем информационной безопасности существуют некие модели рисков, которые предписывают реагировать на определенные угрозы безопасности четко определенным образом. Реакцией может быть как внедрение технического решения, так и создание процедур, соблюдение которых способствует снижению того или иного риска. У руководства нередко возникает вопрос: насколько эффективно тратятся деньги компании. Этот вопрос неизбежно сопряжен с тем, что ответить на него можно только в отрицательной форме: " компания не потеряла", " у компании не украли", " в компании не остановились бизнес-процессы" и т.п. Какова в этом случае вероятность, что все эти потери действительно могли бы реализоваться, если бы у компании не было систем информационной безопасности? Точно оценить вероятность возникновения того или иного риска непросто, а значит, нелегко будет доказать и экономическую оправданность затрат.

Для поставщика решений в области информационной безопасности идеальной была бы ситуация, когда клиент, заплатив за внедрение соответствующей системы условно 100 тыс. долл., был бы уверен в том, что приобретенное решение покрывает риски/убытки стоимостью 200 тыс. долл. Но как подсчитать стоимость предотвращенных рисков и какова вообще вероятность их возникновения?

В России количественная оценка рисков затруднена, поскольку еще не сложилась практика передачи статистических данных по внутренним и внешним угрозам информационной безопасности в некие открытые источники. В Европе подобная статистика существует, но в России эти данные либо вовсе не применимы в силу несопоставимости рыночных условий, уровня развития ИТ и применяемых технологий, либо не вызывают особого доверия.

Приведем пример. Допустим, перед банком стоит задача оценить вероятность DDoS-атаки на его веб-сайт, а также понять, насколько серьезны будут последствия. Для этого необходимо владеть статистическими данными: сколько сайтов в России реализовано на той же платформе, сколько проводится атак в единицу времени, в каком проценте случаев эти атаки успешны, сколько времени занимает ликвидация последствий и каков ущерб от кибер-нападений. Такой статистики, как уже сказано, в национальном масштабе не существует. Есть только мировая статистика по ущербу, который способны нанести некоторые наиболее распространенные типы атак и вирусы, выводящие из строя ключевые информационные системы банка. Так, для кредитных организаций подсчитано, что пятиминутный простой системы процессинга равнозначен банкротству банка. Понятно, что это усредненная оценка, но она довольно наглядно демонстрирует описанный подход. Вопрос заключается в том, насколько руководство российской компании доверяет международному опыту и накопленным данным. Впрочем, и применяемые в мировой практике методики оценки не позволяют измерить в деньгах возникающие репутационные потери или уровень квалификации ИТ-персонала. Для подобного анализа крупнейшие консалтинговые компании уже многие годы пытаются ввести косвенные модели оценки, но пока ни одна из этих моделей не получила массового признания.

Что касается качественной оценки рисков, то и ее трудно переложить на денежные показатели. Градация определенного риска по степени критичности - в общем случае низкая, средняя и высокая критичность - позволяет для каждого уровня опасности установить лишь весьма примерный диапазон возможных финансовых потерь. В каждом случае параметры " от" и " до" будут зависеть от множества накладывающихся друг на друга показателей: масштаб бизнеса, отрасль, первоначальное состояние ИТ-инфраструктуры и т.п.

Есть риски, по которым достаточно трудно подсчитать не только убытки в деньгах, но и корректно определить критичность угрозы. Иллюстрацией здесь может служить риск утечки коммерчески значимой информации, например годового бизнес-плана компании. Если этот документ окажется в руках случайного человека, в частности родственника сотрудника компании, получившего данные по недоразумению вместе с личным электронным сообщением, то ущерб для бизнеса можно считать нулевым. Если же подобная информация умышленно передана конкурентам, убытки могут быть весьма значительными, вплоть до существенного сокращения рыночной доли компании. Но с учетом такого разброса вариантов корректно подсчитать экономическую эффективность расходов на внедрение DLP-системы (Data Leak Prevention - предотвращение утечки данных) не представляется возможным, поскольку затруднена оценка стоимости утечки данных. Однако попытки составить такое обоснование, в основном при продаже DLP-систем, все же делаются, но в таких случаях продавец ИБ-решения заведомо рассчитывает на низкую квалификацию заказчика.

Таким образом, аргументированно доказать покупателю, что приобретение ИТ-продукта обеспечит защиту от определенного типа рисков с некоторой конкретной стоимостью - задача фактически невыполнимая.

Для оценки экономической эффективности затрат на информационную безопасность существует две модели подсчетов - доходная и затратная.

Доходная модель применяется для внутренних расчетов и только в тех компаниях, для которых информационная безопасность - это сервис на продажу. Такие услуги предоставляют, например, сервис-провайдеры, предлагающие корпоративным и частным клиентам антивирусное программное обеспечение, услуги фильтрации трафика, предотвращения кибер-атак, услуги антиспама и родительского контроля для физических лиц и т.п. Это, пожалуй, единственный случай, когда расчет эффективности вложений в информационную безопасность не является проблемой. Достаточно подсчитать, сколько инвестировано в приобретение и/или развитие решения и сколько удалось заработать на продаже сервиса.

Затратная модель оценки используется, когда речь идет о приобретении систем информационной безопасности или утверждении годового бюджета, т.е. о тех случаях, когда компания либо приобретает некий новый продукт, либо принимает решение о поддержке уже существующих решений. Обычно при согласовании соответствующих бюджетов принимают в расчет три основные статьи расходов.

Первая - сопровождение существующих систем. Необходимость такого сопровождения обосновать сравнительно просто, даже не вдаваясь в сложные расчеты: деньги на внедрение уже потрачены, система работает и отказываться от действующего решения нецелесообразно.

Вторая - расходы на выполнение требований регуляторов в области информационной безопасности. Такие требования предъявляются к организациям, которым выданы лицензии ФСБ России, ФСТЭК и Банка России, сертификаты ISO в области информационной безопасности. Жестко регламентируются нормы информационной безопасности для публичных компаний, акции которых котируются на биржах США и других международных площадках - можно вспомнить закон Sarbanes-Oxley Act. Начиная с 2011 г. российским компаниям придется соблюдать требования Федерального закона от 27.07.2006 №152-ФЗ " О персональных данных" (в ред. от 23.12.2010). Для одной компании набирается до десятка законодательных актов, в которых содержатся нормы информационной безопасности. Как видно, требований достаточно много, и поэтому расходы на соответствие им составляют ощутимую часть ИБ-бюджета. В большинстве компаний идут по пути разумного компромисса - стараются обеспечить соответствие собственных ИБ-систем не всем, но наиболее значимым требованиям. Под значимостью обычно понимают объем возможных штрафных санкций, которые будут применены к компании при нарушении требований, т.е. риски можно хотя бы примерно оценить экономически. Причем если раньше компании выбирали решение по принципу " лишь бы получить сертификат аттестационной комиссии", то сейчас заказчики все чаще ориентируются на фактическую работоспособность системы - чтобы она не только формально соответствовала требованиям регулятора, но и обеспечивала бы безопасность и работала с минимальным количеством сбоев. Но такие системы в любом случае не являются бизнес-ориентированными: их внедрение в большей степени направлено на обеспечение безопасности государства, а не самой компании.

Третья - внедрение систем, которые позволяют минимизировать бизнес-риски, присущие компании и способные повлиять на ее работу, на финансовый результат. Несмотря на то что эта группа решений относится к наиболее дорогостоящим, обоснование соответствующих расходов редко строится на конкретных финансовых показателях. Финансовое обоснование может быть представлено только в единичных случаях. Это связано с тем, что оценка рисков, как было показано, носит весьма приблизительный характер.

Метрика безопасности

Если говорить о внутренних службах безопасности, работающих в корпорациях, то подразделение информационной безопасности выступает в качестве внутреннего сервиса, которым пользуются другие функциональные подразделения компании. Попытка оценить эффективность службы сводится к тому, чтобы установить: в чем вести измерения и что считать критерием оценки.

Разумнее говорить не о денежной оценке эффективности вложений, а об оценке эффективности работы ИБ-службы. В компаниях должна действовать комплексная система риск-менеджмента, охватывающая в том числе и системы информационной безопасности, причем оценка эффективности здесь почти никогда не выражается в деньгах. В этом случае риски информационной безопасности рассматриваются как одна из разновидностей операционных рисков компании.

Оценивают, как правило, уровни критичности рисков, последствия их реализации для непрерывности бизнеса и т.п. В качестве критериев выступают внутренние статистические показатели, такие как, например, количество обнаруженных и предотвращенных инцидентов. Измерению в этом случае подлежат интеграционные показатели - те, по которым ведется постоянный мониторинг. Если из года в год ИБ-служба подтверждает на основе внутренней корпоративной статистики, что количество обнаруженных и обезвреженных угроз растет, а число реализованных рисков, напротив, падает, то на этапе обоснования бюджетов проблем с предоставлением необходимых средств скорее всего не возникнет. Нужно помнить, что специалист в области информационной безопасности никогда не станет финансовым специалистом - требовать от него детальных финансовых выкладок нелогично.

Для проведения оценки лучше всего использовать метрики информационной безопасности, зафиксированные в многочисленных международных стандартах, таких как NIST 800-55, ISO 27004 и др. В этих документах речь идет о метриках для конкретных технических решений и процедур, т.е. существует возможность проанализировать на основе статистических данных, насколько грамотно организована работа той или иной системы. Причем внутреннюю статистику в отличие от внешней можно проверить. В крупных компаниях таким анализом занимаются службы внутреннего аудита, нередко привлекаются для проведения экспертизы и независимые аудиторы. Важно также, чтобы специалисты по безопасности учитывали текущие тренды в своей сфере. Например, сейчас наблюдается бум DDoS-атак, и в компаниях, чей бизнес напрямую зависит от работы web-приложений, делается особый упор на борьбу с интернет-угрозами.

Таким образом, нужно признать, что количественная оценка эффективности вложений в информационную безопасность возможна, но она лежит в сфере статистических, но не финансовых показателей, а реальную эффективность работы ИБ-службы следует оценивать на основе ощущений владельцев бизнеса: грамотная и продуктивная работа будет всегда заметна и оценена руководством.

Заключение

Персональные данные стали неотъемлемой частью нашей жизни, а необходимость их защиты - одной из самых важных проблем.

Поставленные мной в начале работы задачи были выполнены. Я изучила основные определения облачных вычислений и рисков, связанных с их использованием, правовое регулирование этой сферы в России и Европейских государствах, рассмотрела их концепции, особенности и регулирующие органы власти.

В ходе изучения я выявила ряд проблем в российском законодательстве, которые указывают на то, что в России еще не сформировалась такая база защиты персональных данных, которая могла бы соответствовать европейскому законодательству, а значит, Российская Федерация во многом отстаем от Европы.

Нам предстоит еще много пройти, чтобы приблизиться к уровню Европейских и Западных держав. России стоит брать пример с других государств, учиться на их ошибках, анализировать концепции их законодательств, создавать на этой основе что-то свое.