ISO готовит стандарт облачной безопасности
ISO готовит стандарт облачной безопасности
ISO готовит стандарт облачной безопасности
11.07.2011
Среди тем, раскрытых в черновом проекте стандарта, фигурируют облачные модели и место в них облачных пользователей и провайдеров; место облаков в политике безопасности; организация информационной безопасности; управление активами; управление персоналом; физическая безопасность; операционное управление и управление коммуникациями; контроль доступа; управление закупками, разработкой и поддержкой систем; управление инцидентами; управление непрерывностью бизнеса и управление соблюдением требований регуляторов.
"Ценность документа, на мой взгляд, в том, что в его подготовку вовлечены не только правительственные организации (NIST, ENISA), но и представители экспертных сообществ и ассоциаций, таких как ISACA и CSA, – заявил CNews Денис Безкоровайный, технический консультант Trend Micro по России и СНГ. – Причем, в одном документе собраны рекомендации как для провайдеров облачных услуг, так и для их потребителей – организаций-клиентов".
"Основная задача данного документа – подробно описать лучшие практики, связанные с использованием облачных вычислений с точки зрения информационной безопасности, – пояснил CNews Алексей Лукацкий. – При этом стандарт не концентрируется только на технических аспектах, а скорее на организационных аспектах, которые никак нельзя забывать при переходе на облачные вычисления. Это и разделение прав и ответственности, и подписание соглашений с третьими лицами, и управление активами, находящимися в собственности разных участников "облачного" процесса, и вопросы управления персоналом и так далее".
По мнению Лукацкого, особый интерес представляет раздел, посвященный организации информационной безопасности – там описаны "особенности разделения ответственности между участниками процесса, содержание соглашения о конфиденциальности и соглашений с третьими лицами, координация усилий и взаимодействие с внешними группами и организациями ИБ". Также представляет интерес раздел, посвященный управлению активами. По мнению представителя Cisco, это "еще один важный вопрос, который возникает в ситуациях, когда активами владеют разные компании и лица".
Новый документ во многом вобрал в себя материалы, разработанные в ИТ-индустрии ранее: "Учитывая, что в мире за последний год выпущено немало документов, описывающих правила выбора и защиты облаков, стандарт ISO аккумулирует лучшие рекомендации и практики, – комментирует эксперт Cisco. – Ведь и в разработке обсуждаемого документа принимают участие ENISA, NIST, ITU-T, ISACA и т.д. Могу также добавить, что в ПК27 анализировались не только документы названных организаций, но и рекомендации OGF, CCIF, DMTF, CSA, ETSI TC CLOUD, OASIS, SNIA, W3C, CCF, KCSA, The Open Group, IEEE, CESI и CIF. Так что разрабатываемый документ может и выйдет с некоторым опозданием, но зато вберет в себя лучшее, что предложено в области информационной безопасности облачных вычислений".
Несмотря на то, что организация Cloud Security Alliance, участвующая в разработке документа, имеет российское подразделение, участники CSA Russian Chapter пока не знакомы с проектом стандарта ISO: "Российские участники не вовлечены в этот процесс, насколько я знаю, – сообщает Денис Безкоровайный. – Работа над этим документом, в отличие от инициатив самого альянса CSA, более закрыта и доступна только утвержденным членам комитета ISO".
Несмотря на то, что проект стандарта в текущем виде уже представляет собой проработанный и полезный документ, его публикация запланирована лишь на 2013 г, что связано с затянутостью процедур стандартизации в ISO. "Каждому члену требуется время на ознакомление и высказывание своего мнения по документу, – говорит Алексей Лукацкий. – Затем эти мнения аккумулируются и авторы вносят поправки, вновь рассылаемые всем членам ПК27, и так далее".
Copyright © 2018-2022, ООО "ГРОТЕК"