Стандарт по ИБ виртуализации

Сегодня проблемы защиты виртуализированных инфраструктур встают перед многими российскими компаниями, использующими технологии виртуализации. И одним из препятствий является отсутствие адекватных рекомендаций по защите виртуализированных инфраструктур, в том числе и в контексте требований российских регуляторов в области информационной безопасности.

С целью решения этой проблемы мы, представители экспертного сообщества, создаем инициативную группу по разработке проекта стандарта по безопасности виртуализированных инфраструктур, который может стать отправной точкой для создания собственных, а также отраслевых или национальных рекомендаций к выбору средств виртуализации и требований к обеспечению безопасности инфраструктур, построенных с использованием этих технологий.

Приглашаем профессиональные ассоциации и экспертов поддержать эту инициативу!

Предварительная структура данного стандарта:

  1. Введение
  2. Термины и определения
  3. Виртуализация.
    • Типы виртуализации
      • Серверная виртуализация
        • гипервизорная
        • контейнерная
      •  Виртуализация рабочих станций
        • гипервизорная
        • контейнерная
      • Виртуализация приложений
      • Виртуализация сервисов
      • Виртуализация сети
      • Виртуализация СХД
      • Виртуализация аппаратного обеспечения
    •  Жизненный цикл системы защиты виртуализированных инфраструктур
    • Общие рекомендации по защите виртуализированных инфраструктур
  4. Серверная виртуализация
    • Модель угроз
    • Рекомендации по защите
  5. Виртуализация рабочих станций
    • Модель угроз
    • Рекомендации по защите
  6. Виртуализация приложений
    • Модель угроз
    • Рекомендации по защите
  7. Виртуализация сервисов
    • Модель угроз
    • Рекомендации по защите
  8. Виртуализация сети
    • Модель угроз
    • Рекомендации по защите
  9. Виртуализация СХД
    • Модель угроз
    • Рекомендации по защите
  10. Виртуализация аппаратного обеспечения
    • Модель угроз
    • Рекомендации по защите
  11. Внедрение и эксплуатация системы защиты виртуализированных инфраструктур
  12. Оценка соответствия
  13. Заключение

Результатом данной работы должен явиться документ, который планируется направить российским регуляторам для анализа и разработки на его основе соответствующего руководящего документа или стандарта. В случае невозможности присвоения результатам данной работы официального статуса мы планируем придать ей статус «лучшей практики», которой смогут воспользоваться все российские предприятия, активно внедряющие технологии виртуализации.

Разработка проекта стандарта по безопасности виртуализированных инфраструктур будет проводиться под эгидой Ассоциации профессионалов в области информационной безопасности RISSPA.

Авторами документа будут указаны все эксперты, принявшие участие в его разработке.

Присоединиться к инициативной группе можно написав по адресу — virtual[at]risspa[dot]ru

Алексей Лукацкий
Мария Сидорова

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Шаломович Максим

    Алексей, прошел почти год с момента публикации данного поста. Мне очень интересно, изменилось ли что-то? Интересуюсь со вполне практической целью, сталкиваюсь в профессиональной деятельности с необходимости развертывания высоконадежной системы на базе виртуализации серверов, включая систему защиты, включая задачи оценки соответствия. Знаю, что ФСБ в рамках принципиального вопроса виртуальную среду за безопасную не признают. ФСТЭК более демократичны, однако, итог все равно спорный, ибо нет критериев оценки. Сертифицированный vGate — это, конечно, хорошо, но дальше идти тоже надо.. среда не изучена, хотелось бы иметь хоть какие-то формальные, признаваемые регуляторами, признаки защищенности (о реальности помолчим). Вот…

    Ответить