Эксперты создали рекомендации по снижению рисков при использовании новейших цифровых решений в сфере хранения больших данных Поделиться
Эволюция использования «облаков» идет так быстро, что давно обнажила связанные с ними риски. Речь идет о проблемах безопасности хранилищ в облачной платформе и издержках по соблюдению требований законодательства о персональных данных при предоставлении услуг в публичном секторе. О путях их решения «МК» рассказали Ольга Магомедова, Мария Гирич, Антонина Левашенко – эксперты Российского центра компетенций и анализа стандартов Организации экономического сотрудничества и развития (ОЭСР) Президентской академии.
Фото: creativeart-ru.freepik.com
По оценкам Gartner, к 2028 г. каждое второе предприятие на планете будет пользователем публичных облачных сервисов. Российский сегмент даже на мировом уровне развивается очень бурно, чему поспособствует продолжающаяся «цифровая трансформация» отечественной экономики. Так, в прошлом году рост рынка «облаков» в РФ обогнал мировой показатель и составил 24%. Отчасти это объясняется уходом из нашей страны зарубежных провайдеров в 2022 г. Дальнейшие перспективы развития рынка «облаков» в России еще более впечатляющие. Согласно исследованию iKS-Consulting, около 78% крупных компаний и более 84% национальных корпораций будут использовать облачную инфраструктуру к 2028 г.
Однако следует понимать, что действующее в нашей стране законодательство не охватывает риски, связанные с использованием «облаков». В сфере информационной безопасности они имеют многоуровневую структуру. Есть риски, касающиеся провайдеров: возможность атаки на облачную платформу. На уровне провайдера микросервисов существует опасность сбоев в работе инструментов на платформе. У интернет-браузера сохраняется угроза сбоя подключения к платформе. Есть риски и на уровне самого пользователя – например, опасность повреждения данных.
Кроме того, облачные провайдеры должны соблюдать требования законодательства о персональных данных, а также они несут издержки по соблюдению нормативов Федеральной службы по техническому и экспортному контролю (ФСТЭК) для государственных информационных систем (ГИС). На них же может лечь ответственность и за качество облачных сервисов в части обслуживания ИКТ-архитектуры. Все это обусловливает необходимость разработки стандартов по применению облачных технологий, что и предложили сделать эксперты Президентской академии.
Во-первых, рекомендуется ввести практику зачета соответствия стандартам отбора облачных провайдеров за подтверждение соответствия требованиям ФСТЭК путем введения поправки в приказ этого ведомства № 77 от 29 апреля 2021 года, где допускается такой зачет.
Во-вторых, Минцифры рекомендуется разработать руководящие принципы по безопасному использованию облачных технологий: отбору поставщиков, правилам составления договоров на поставку облачных сервисов. А все рекомендации ведомства лучше всего делать адресными для каждого сегмента, то есть для онлайн-банкинга они будут одни, для страховых услуг – другие и т.д.
Отдельное внимание эксперты Президентской академии уделили проблемам, которые возникают в сфере законодательства о персональных данных и их применении к облачным технологиям. Во-первых, нужно будет распределить ответственность за информационную безопасность между различными участниками. Во-вторых, следует прописать порядок доступа облачных провайдеров к госсектору. Для решения этих проблем эксперты рекомендуют обратить внимание на лучшие международные практики. Здесь может быть полезен опыт США, Индии и Сингапура. К примеру, в нашей стране возможно введение практики зачета подтверждения соответствия стандартам для облачных провайдеров (сертификации) – это могут быть специально разработанные национальные стандарты или признанные зарубежные образцы, такие как сингапурские стандарты многоуровневой облачной безопасности. Подобный подход смог бы упростить доступ облачных провайдеров к участию в проекте «ГосТех».
