Фльонц В.,Ланде Д.
Анал╕з п╕дход╕в до побудови ╕нформац╕йно╖ безпеки у хмарних та г╕бридних середовищах для реал╕зац╕╖ ╕нформа╕йно-пошукових серв╕с╕в


// Матер╕али науково-практично╖ конференц╕╖ студент╕в, курсант╕в, асп╕рант╕в, докторант╕в та молодих вчених "Актуальн╕ питання застосування спец╕альних ╕нформац╕йно-телекомун╕кац╕йних систем" - К.: ╤СЗЗ╤ КП╤ ╕м. ╤горя С╕корського, 2022. - С. 286.

Анотац╕я. Проведений пор╕вняльний анал╕з п╕дход╕в до побудови ╕нформац╕йно╖ безпеки в хмарних та г╕бридних середовищах для реал╕зац╕╖ ╕нформац╕йно-пошукових серв╕с╕в в малих та середн╕х об'╓днаних територ╕альних громадах ╕з застосуванням 14 принцип╕в хмарно╖ безпеки Нац╕онального центру к╕бербезпеки Великобритан╕╖ (NCSC).

Summary. A comparative analysis of approaches to building information security in cloud and hybrid environments for the implementation of information and search services in small and medium-sized united territorial communities using the 14 principles of cloud security of the National Cyber Security Center of Great Britain (NCSC).

Ключов╕ слова: ╕нформац╕йна безпека, хмарн╕ середовища, хмарн╕ послуги.

Прийняття в лютому 2022 року Закону Укра╖ни .Про хмарн╕ послуги. визначило основн╕ правов╕ в╕дносини, що виникають при наданн╕ хмарних послуг, та встановило особливост╕ використання хмарних послуг органами державно╖ влади та органами м╕сцевого самоврядування. Швидке поширення хмарних технолог╕й та ╖х використання для хостингу публ╕чних ╕ службових серв╕с╕в органами державно╖ влади та органами м╕сцевого самоврядування створюють необх╕дн╕сть пошуку ефективних р╕шень для забезпечення належного р╕вня ╕нформац╕йно╖ безпеки ╕ в╕дпов╕дей на к╕берзагрози нац╕онального к╕берпрост╕ру.

Нараз╕ нац╕ональн╕ вимоги до хмарних серв╕с╕в в тому числ╕ до забезпечення ╕нформац╕йно╖ безпеки п╕д час використання хмарних послуг розробляються ╕ впроваджуються прямо зараз. Проте ╖х в╕дсутн╕сть не зупиня╓ практичне розгортання та експлуатац╕ю ╕нформац╕йних серв╕с╕в в хмарному середовищ╕. Тому доц╕льним може буде використання м╕жнародного досв╕ду ╕ п╕дход╕в до побудови ╕нформац╕йно╖ безпеки, зокрема 14 принцип╕в хмарно╖ безпеки Нац╕онального центру к╕бербезпеки Великобритан╕╖ (NCSC).

З точки зору ╕нформац╕йно╖ безпеки, одн╕╓ю з найб╕льших груп ризику серед публ╕чних користувач╕в хмарних послуг ╓ органи м╕сцевого самоврядування малих територ╕альних громад з населенням до 100 тисяч громадян. Для досл╕дження потреб публ╕чних користувач╕в хмарних послуг було опитано 10 територ╕альних громад р╕зних розм╕р╕в, в╕д об.╓днано╖ територ╕ально╖ громади села до райцентру. За результатами опитування виявилось, що кожна територ╕альна громада експлуату╓ та п╕дтриму╓ роботу в╕д 3 до 8 ╕нформац╕йних серв╕с╕в, зокрема оф╕ц╕йних веб-сайт╕в з публ╕чним доступом. В Таблиц╕ 1 наведено п.ять найпоширен╕ших серв╕с╕в, що використовують мал╕ територ╕альн╕ громади:

Таблиця 1. Найпоширен╕ш╕ серв╕си територ╕альних громад.

Назва ╕нформац╕йно╖ системи або серв╕суК╕льк╕сть ОТГ (з 10)
Оф╕ц╕йний веб-сайт територ╕ально╖ громади10
Звернення громадян, доступ до публ╕чно╖ ╕нформац╕╖10
Веб-сайт центру надання адм╕н╕стративних послуг8
Серв╕с електронних петиц╕й7
Веб-сайт м╕сько╖ (селищно╖) ТВК 6

Пор╕вняння п╕дход╕в до побудови ╕нформац╕йно╖ безпеки у надавач╕в хмарних послуг в╕дбувалось у двох категор╕ях:

1) нац╕ональн╕ надавач╕ хмарних послуг, що мають атестат в╕дпов╕дност╕ за результатами державно╖ експертизи, яка проводиться з урахуванням галузевих вимог ╕ норм ╕нформац╕йно╖ безпеки, та/або впровадили систему управл╕ння ╕нформац╕йною безпекою в╕дпов╕дно до ╓вропейських стандарт╕в ISO/IEC 27001: DeNovo, Gigacloud;

2) м╕жнародн╕ надавач╕ хмарних послуг, що впровадили СУ╤Б в╕дпов╕дно до ISO/IEC 27001 ╕ пропонують р╕шення для уряд╕в ╓вропейських кра╖н: Amazon Web Services, Microsoft Azure та Google Cloud.

Висновки. В результат╕ вивчення потреб публ╕чних користувач╕в хмарних послуг ╕ пор╕вняльного анал╕зу надавач╕в хмарних послуг, можна зробити наступн╕ висновки:

- п╕дходи до побудови ╕нформац╕йно╖ безпеки ╕ реал╕зац╕╖ послуг з к╕берзахисту у нац╕ональних та м╕жнародних надавач╕в в╕др╕зняються в першу чергу зг╕дно до основно╖ послуги яку вони пропонують: у нац╕ональних надавач╕в це ╕нфраструктура як послуга (IaaS), у м╕жнародних надавач╕в це платформа як послуга (PaaS) та програмне забезпечення як послуга (SaaS), в╕дпов╕дно використання нац╕ональних надавач╕в потребу╓ глибшого розум╕ння ризик╕в ╕нформац╕йно╖ безпеки ╕ часто власноручно╖ реал╕зац╕╖ безпекових послуг;

- сутт╓вим викликом залиша╓ться в╕дсутн╕сть необх╕дних п╕дзаконних нормативно-правових акт╕в, як╕ мають визначити нац╕ональн╕ вимоги до надавач╕в хмарних послуг, що в свою чергу стриму╓ використання хмарних послуг публ╕чними користувачами хмарних послуг, такими як мал╕ територ╕альн╕ громади;

- використання малими територ╕альними громадами хмарних послуг ╕з застосуванням 14 принцип╕в хмарно╖ безпеки, для розм╕щення оф╕ц╕йних ╕нформац╕йно-пошукових серв╕с╕в, дозволя╓ забезпечити виконання вимог ╕нформац╕йно╖ безпеки ╕з використанням меншого бюджету пор╕вняно з реал╕зац╕╓ю на ф╕зичних (bare-meal) серверах.

PDF