вторник, 2 июля 2013 г.

RISSPA систематизировала СЗИ для виртуализированных инфраструктур в соответствии с новыми требованиями ФСТЭК России

В начале июня 2013 года мы объявили об открытии санкт-петербургского отделения RISSPA. К началу работы ассоциации в северной столице мы приурочили выпуск брошюры «Проблема выбора средств защиты информации для виртуализированных инфраструктур», которую подготовили совместно с Евгением Родыгиным. Документ носит методический рекомендательный характер и будет полезен широкому кругу экспертов в области информационной безопасности. 

В брошюре мы проанализировали новые приказы ФСТЭК России № 17 и № 21 в части требований к защите среды виртуализации и сформировали набор практических рекомендаций по выбору средств защиты для виртуализированных инфраструктур в соответствии с новыми требованиями ФСТЭК России. Особый интерес представляют сводные таблицы по средствам защиты для среды виртуализации, в которых продукты структурированы по наличию у них сертификатов соответствия требованиям ФСТЭК России и их соответствию техническим мерам по обеспечению безопасности, указанным в приказе ФСТЭК России от 18 февраля 2013 г. № 21.

Брошюра доступна на сайте ассоциации RISSPA. Пожалуйста, скачивайте, пользуйтесь, комментируйте.

Вот несколько отзывов о нашей работе. 

«Защита сред виртуализации до сих остается малоизученным явлением среди современных средств обеспечения безопасности данных. Во многом это обусловлено неопределенностью уровня сопутствующего риска и степенью осведомленности CISO в предметной области. Цель данного документа – обобщить опыт экспертов в области существующих решений, вариантов их применения, а также выполнения требований законодательства по защите персональных данных. На мой взгляд, очевидна высокая практическая ценность документа, который поможет специалистам ориентироваться в теме безопасности виртуальных сред и эффективнее выстраивать систему защиты», – поделился мнением Евгений Климов, президент ассоциации RISSPA.

«Сегодня специалисты по информационной безопасности находятся в непростой ситуации. Организациям выгодно использовать виртуализацию, поэтому руководство стремится виртуализировать те задачи, которые не виртуализовались ранее. И все чаще специалистам по ИБ требуется понимание того, какими средствами можно обеспечить безопасность в виртуальной среде с учетом требований к уровням безопасности. Данная брошюра является отличным источником информации для тех, кто находится в начале этого пути», – пояснил один из самых известных блогеров, пишущих о виртуализации, автор блога VM4.RU, Михаил Михеев.

«Мне довелось одним из первых прочитать материал коллег. И мне понравилось! Несмотря на то, что тема уже давно является актуальной, простых и полезных статьей не так много. Аналитики же, взаимоувязывающей требования регуляторов (приказы ФСТЭК России № 17 и № 21) и перечень сертифицированных СЗИ, я до этого момента не встречал. Коллеги смогли довольно успешно это совместить. Отдельное спасибо авторам за практические рекомендации, они полезны», – сказал Андрей Прозоров, эксперт по информационной безопасности, автор блога «Жизнь 80 на 20», член RISSPA.

«Считаю, что данное исследование будет весьма полезно для пресейла по вопросам защиты виртуализованной инфраструктуры, так как при выборе СЗИ большинство заказчиков требует сравнить предлагаемые решения по защите. Данный документ помогает это сделать. Налицо достаточно проработанный анализ средств защиты виртуализованной инфраструктуры, и за это стоит сказать отдельное спасибо коллективу авторов. Must have для успешных продаж решений по защите виртуализованной инфраструктуры», – отметил Александр Кузьмин, генеральный директор «Альтирикс системс», член RISSPA.

«Документ, подготовленный ассоциацией RISSPA, хорошо описывает проблематику вопроса по защите ВИ и рассчитан на самую широкую аудиторию. Сравнение всегда является одним из самых интересных аспектов работы над проектами. Незначительным минусом брошюры можно считать несколько некорректное сравнение возможностей средств защиты ВИ, закрывающих требования ФСТЭК России, указанных в таблице 1. Однако данный вопрос следует адресовать скорее разработчикам средств защиты и их методикам оценки соответствия требованиям ФСТЭК России, а не авторам работы. В целом документ будет, несомненно, полезен в работе», – прокомментировал Максим Федотенко, ведущий инженер Управления информационной безопасности ОАО «Сбербанк России», член RISSPA.

Комментариев нет:

Отправить комментарий