Приказ суров, но справедлив. Часть 6. Защита информации буквой закона: "виртуализация" vs "облачные вычисления"



Чуть ранее мы поговорили о двух проектах ГОСТ - "Требования по защите информации, обрабатываемой с использованием технологий виртуализации" и "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений"

Первый из них сфокусирован на технологическом стеке и описывает требования и меры необходимые при использовании:
  • виртуализации апаратного обеспечения;
  • виртуализации программного обеспечения;
  • виртуализации с использованием гипервизора 1 типа;
  • виртуализации с использованием гипервизора второго типа;
  • виртуализации вычислительных сетей;
  • виртуализации систем хранения данных.
Второй, на требованиях и мерах при оказании услуг:
  • HaaS;
  • SecaaS;
  • BPaaS;
  • DaaS;
  • TaaS;
  • IaaS;
  • SDPaaS;
  • CaaS;
  • PaaS;
  • NaaS;
  • SaaS;
  • Traaas;
  • WaaS.
Такое разделение в контексте названия документа и области применения выглядит совершенно верным и логичным. А вот что выглядит совершенно нелогичным, это содержание разделов:
"Объекты, подлежащие защите, при использовании технологий виртуализации" и 
"Объекты, подлежащие защите, и угрозы безопасности информации, обрабатываемой с использованием технологий "облачных вычислений" соответсвенно.

Складывается впечатление, что Уважаемые люди, которые писали первый документ, и не менее Уважаемые люди, которые писали второй документ, друг друга не знают, документы друг друга не читают, глоссарии/язык у них разные и пользуются они ими по-разному.

Для любителей читать все на языке оригинала ссылки на документы были приведены ранее, для все остальных от уже знакомого вам Славы Аксенова структурировано и в картинках.

Объекты, подлежащие защите, при использовании технологий виртуализации и/или технологий "облачных вычислений".


Приказ суров, но справедлив. Часть 5. Проект ГОСТа "Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений»"


В продолжение предыдущего поста о защите информации, обрабатываемой с использованием технологии виртуализации, поговорим о еще одном удивительном ГОСТ, находящемся на стадии проекта.

Проект ГОСТа Р XXXXX-20XX "Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений»". Указанный проект не подлежит применению до его утверждения, содержит 188 страниц, 25546 слов, Arial 12, что больше ГОСТ про виртуализацию в 3 раза.

Данный документ унаследовал очень многое из предыдущего, а именно: не увлекательно, скучно, утомительно. И снова на помощь приходит Слава Аксенов, который, невзирая на большое количество букв, изучил данный документ и консолидировал в крайне удобном формате крупицы полезного и интересного.

Угрозы безопасности информации, обрабатываемой с использованием технологий "облачных вычислений", а там про: угрозы для моделей IaaS, PaaS, SaaS и немного общей пыли. Как всегда - "кликабельно" и "качабельно":


Приказ суров, но справедлив. Часть 4. Проект ГОСТа "Требования по защите информации, обрабатываемой с использованием технологий виртуализации"



На страже информации, обрабатываемой с использованием технологий виртуализации, стоит проект ГОСТа "Требования по защите информации, обрабатываемой с использованием технологий виртуализации".

Документ на данный момент находятся в стадии проекта и ранее был доступен для свободного скачивания без регистрации и sms. На данный момент документа для скачивания на сайте Федерального Агенства по Техническому регулированию и метрологии я не нашел. Однако в интернете есть места, где данный проект ГОСТ доступен для скачивания и последующего кропотливого изучения.

Указанный документ это: 40 страниц, 7166 слов, Arial 12.
Изучение подобных документов дело кропотливое, не увлекательное, а поиск сокровенного знания в них, так и утомительное.

Мой коллега Слава Аксенов следует принципу "визуализация как путь к познанию" и продолжает радовать нас постерами на тему ИБ сквозь призму закона и государства.

Угрозы безопасности информации, обрабатываемой с использованием технологий виртуализации (а там и про виртуализацию аппаратного обеспечения, программного обеспечения, вычислительных сетей и систем хранения данных, виртуализацию с использованием гипервизоров 1 и 2 типа). Все кликабельно и доступно для скачивания в pdf.