Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области — каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.
Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут), то есть неплохой документ от NIST — «Guide to Security for Full Virtualization Technologies» (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.
С моделью угроз для облачных вычислений все обстоит еще проще — образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.
Алексей, а составление самой Модели угроз оператором — ТЗКИ? Я так понимаю, что выполнение любых документов ФСТЭКа по ПДн (БМУ, П 58) подпадает под ТЗКИ.
Ну раньше и покупка книг по криптографии была ограниченной 😉 Читать и писать нам пока никто запретить не может и лицензия на это не нужна. Иначе мне придется получать лицензию ФСТЭК на публикацию в блоге 😉
да, csa нормалек.
почитываю иногда