 |
|
|
|
Безопасность услуг хостинга
Безопасность услуг хостинга Размещение данных с использованием услуг, предоставляемых хостинг-провайдерами – весьма распространенная и востребованная сегодня возможность. В статье рассматриваются вопросы собственной безопасности для тех, кто воспользовался данной услугой, и то, насколько это безопасно для других членов сообщества Интернет Возможности сети Интернет для рекламы, публикации необходимой информации или создания собственного интернет-магазина активно используются частными лицами, коммерческими компаниями, государственными организациями. В ряде случаев для организации собственного сайта или отдельной веб-странички в Интернете юридическим и физическим лицам приходится обращаться за помощью в компании, предоставляющие услуги так называемого веб-хостинга. Основная причина – финансовая выгодность решения (не надо держать специально обученный персонал и беспокоиться о поддержании круглосуточного канала в Интернете, обладающего, кроме всего прочего, достаточной пропускной способностью). Вопросы безопасности в договорных документах на услуги хостинга Анализ значительного количества договоров (было изучено более двадцати типовых договоров) хостинг-провайдеров (далее по тексту «Провайдеров») как Российской Федерации, так и стран СНГ, по вопросам, связанным с обеспечением безопасности при оказании хостинг-услуг, показал, что в настоящее время эти нюансы практически не оговариваются. Требования по безопасности в основном предъявляются к пользователю услуг хостинга (далее по тексту «Абоненту»). Абоненту предписывается:
Требования к Провайдеру обычно ограничиваются необходимостью обеспечить конфиденциальность учетных записей Абонента (но даже это не всегда). В некоторых договорах Провайдер откровенно снимает с себя любую ответственность за риски Абонента, которому он организует все технические составляющие работы с Интернетом. Если попытаться перечислить возможные риски, то основные из них следующие:
Ни в одном из проанализированных договоров не предполагается какая-либо материальная или моральная компенсация в случаях нанесения ущерба Абоненту при использовании услуг хостинга, предоставляемого Провайдером. Упоминания об этом, вообще говоря, в договорах встречаются, однако такие моменты не более чем декларация прав Абонента, которые доказать и, естественно, использовать будет весьма проблематично. В некоторых случаях обещания Провайдеров обеспечить необходимые условия безопасности клиентов носят чисто рекламный характер и ни на чем не основываются. Попытаемся перечислить те вопросы, которые касаются обеспечения определенного уровня безопасности услуг и должны быть подкреплены конкретной, в том числе финансовой, ответственностью, при соглашениях между Провайдером и Абонентом.
Кроме того, обеспечение безопасности клиентов подразумевает для Провайдера проработку своих внутренних вопросов, связанных с обеспечением собственной безопасности. В перечень можно включить следующие задачи:
При заключении договора услуг хостинга необходимо обращать внимание на дополнительные моменты, такие как:
В случаях заключения договоров по хостингу дополнительными гарантиями для обеих сторон могут стать моменты, связанные с дополнительной защитой своего бизнеса при использовании услуг страхования. Обзор нормативной базы В настоящее время наличие у Провайдеров разрешения на оказание услуг хостинга не требует выполнения каких-либо мероприятий по обеспечению безопасности своих клиентов. В связи с этим, при жесткой конкуренции на рынке хостинг-услуг, Провайдерам экономически не выгодно брать на себя дополнительные риски и в полной мере решать вопросы защищенности. Тем более что мало кто из Абонентов при заключении договора поднимает тему об обеспечении необходимого уровня безопасности, а если такие вопросы и возникают, то речь идет больше о качественной и надежной работе технологического оборудования Провайдера. 7 июля 2003 г. в Российской Федерации был принят закон «О связи», который вступает в силу с 1 января 2004 года и устанавливает правовые аспекты деятельности в области связи. Если в законе «О связи» 1995 года не оговаривались вопросы, связанные с обеспечением безопасности при предоставлении услуг связи, то с 2004 года государством за оператором связи закреплена обязанность обеспечивать защиту средств и сооружений связи. Перечислим только те основные моменты нового закона, которые имеют отношение к тематике публикации. Статьи 7, 63, 70 обязывают владельцев предусматривать необходимость обеспечивать защиту средств связи и сооружений от несанкционированного доступа к ним. Согласно новому закону операторы связи должны обеспечить соблюдение тайны связи. Кроме того, для услуг связи в пределах мировых информационно-телекоммуникационных сетей на территории Российской Федерации является обязательным «обеспечение экономической, общественной, оборонной, экологической, информационной и иных видов безопасности». В статьях 25 и 64 закона предусматривается ряд мер по обеспечению оперативно-розыскной деятельности уполномоченных государственных органов, которые накладывают определенные обязательства на операторов связи. По вопросам оценки уровня безопасности информационных объектов широко применяется практика использования известного международного стандарта ИСО/МЭК 15408:1999 («Общие критерии»). В Российской Федерации этот стандарт (аутентичный перевод) с 2002 года принят в качестве государственного. Вопросы расширения сотрудничества между странами СНГ, в том числе на рынке продуктов защиты информации, тесно связаны с унификацией законодательства стран СНГ. Отметим, к примеру, что в Республике Беларусь документ, аналогичный российскому, действует в качестве предстандарта с 2001 года. Однако отсутствие аутентичности белорусского стандарта подразумевает серьезные сложности для возможности применения механизмов автоматического «доверия» в Беларуси заключениям по безопасности других стран для систем, которые уже прошли проверку (в том числе в России) на соответствие мировому стандарту. Соответственно и производители сертифицированных белорусских продуктов столкнутся с трудностями распространения своих систем безопасности на российском рынке. Не лишним будет упомянуть в данной статье про Уголовный кодекс Российской Федерации 1996 года. Описанию преступлений в сфере компьютерных технологий в этом документе выделен отдельный раздел. Статьи, касающиеся компьютерных преступлений, могут в различной степени затронуть проблемы недостаточной защищенности сайта клиента хостинг-провайдера при рассмотрении объективной стороны преступления, совершенного при работе в сети Интернет. На настоящее время имеется много вариантов действий злоумышленников в Интернете, которые могут быть квалифицированы как уголовные преступления против собственности. Множество публикаций сообщают читателям информацию о случаях нарушений систем защиты или нормальной работы ресурсов в Интернете. Сайты и корпоративные сети организаций подвергаются DDoS-атакам с прекращением работы владельца ресурса с Интернетом на значительные сроки; изменяется содержимое сайтов; производится переадресация обращений к сайтам, осуществляющих платежные операции, на контролируемые злоумышленниками ресурсы; имеются факты откровенного вымогательства, когда шантажисты требуют выплату значительных сумм у владельцев интернет-ресурсов за отказ от компьютерной атаки. При этом при расследовании конкретных компьютерных преступлений, которые произошли с использованием сети Интернет, может устанавливаться лицо, допустившее преступную небрежность или легкомыслие. Если будет доказано, что объективной стороной преступления стали деструктивные действия, исходившие с сайта Абонента, то лицом, которое устанавливает правосудие, может оказаться Провайдер либо Абонент (а возможно, и обеих договаривавшихся сторон), что повлечет за собой определенные серьезные последствия. Заключение Обеспечение безопасной работы с Интернетом является серьезной задачей, однако внимание к этому вопросу на уровне услуг, предоставляемых операторами связи, пока недостаточное. Необходимые задачи по обеспечению защиты информации при хостинг-услугах могут быть решены только усилиями и желанием Провайдеров. Принятие нового закона «О связи» Российской Федерации в 2004 году должно подтолкнуть российских интернет-провайдеров, а затем и провайдеров других стран СНГ к цивилизованному решению вопросов защиты информации и ресурсов своих клиентов, а также предусматривает контроль за исполнением необходимых требований со стороны государства. Серьезное влияние на положительные сдвиги в области защиты информации при работе с Интернетом могут оказать также те, кто пользуется услугами хостинга, так как наличие на рынке спроса на безопасный хостинг может заставить провайдеров предпринять более активные шаги в вопросах обеспечения безопасности своих клиентов. |
МАКСИМ КОСТЫШИНКомментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
