ISO готує стандарт хмарної безпеки Друк

201159ISO готує спеціальний стандарт, присвячений безпеці хмарних обчислень.* Основна спрямованість нового стандарту - вирішення організаційних питань, пов'язаних з хмарами. Однак в силу складності узгоджувальних процедур ISO остаточна версія документа повинна вийти лише в 2013 р.

ISO розробила попередню внутрішню версію спеціального стандарту, присвяченого питанням хмарної безпеки, повідомляє у своєму блозі Олексій Лукацький, менеджер з розвитку бізнесу Cisco. Обсяг проекту документа - 92 сторінок. Олексій Лукацький зміг ознайомитися з документом, оскільки Cisco бере участь в підкомітеті з інформаційної безпеки технічного комітету ТК22 при Ростехрегулювання і отримує доступ до всіх проектів стандартів, які готуються в ISO.

Серед тем, розкритих в чорновому проекті стандарту, фігурують хмарні моделі і місце в них хмарних користувачів і провайдерів, і місце хмар в політиці безпеки, організація інформаційної безпеки; управління активами; управління персоналом; фізична безпека; операційне управління і управління комунікаціями; контроль доступу; управління закупівлями, розробкою і підтримкою систем; управління інцидентами; управління безперервністю бізнесу і керування дотриманням вимог регуляторів.

 

"Цінність документа, на мій погляд, у тому, що в його підготовку залучені не лише урядові організації (NIST, ENISA), а й представники експертних спільнот і асоціацій, таких як ISACA і CSA, - заявив CNews Денис Безкоровайний, технічний консультант Trend Micro у Росії та СНД. - Причому, в одному документі зібрані рекомендації як для провайдерів хмарних послуг, так і для їхніх споживачів - організацій-клієнтів ".

"Основне завдання даного документа - докладно описати кращі практики, пов'язані з використанням хмарних обчислень з точки зору інформаційної безпеки, - пояснив CNews Олексій Лукацький. - При цьому стандарт не концентрується лише на технічних аспектах, а швидше на організаційних аспектах, які ніяк не можна забувати при переході на хмарні обчислення. Це і поділ прав та відповідальності, і підписання угод з третіми особами, і управління активами, що перебувають у власності різних учасників "хмарного" процесу, і питання управління персоналом і так далі ".

На думку Лукацького, особливий інтерес представляє розділ, присвячений організації інформаційної безпеки - там описані "особливості поділу відповідальності між учасниками процесу, зміст угоди про конфіденційність і угод з третіми особами, координація зусиль та взаємодія із зовнішніми групами і організаціями ІБ". Також представляє інтерес розділ, присвячений управлінню активами. На думку представника Cisco, це "ще одне важливе питання, яке виникає в ситуаціях, коли активами володіють різні компанії та особи".

Новий документ багато в чому увібрав в себе матеріали, розроблені в ІТ-індустрії раніше: "Враховуючи, що в світі за останній рік випущено чимало документів, що описують правила вибору і захисту хмар, стандарт ISO акумулює найкращі рекомендації та практики, - коментує експерт Cisco. - Адже і в розробці обговорюваного документа беруть участь ENISA, NIST, ITU-T, ISACA і т.д. Можу також додати, що в ПК27 аналізувалися не тільки документи названих організацій, а й рекомендації OGF, CCIF, DMTF, CSA, ETSI TC CLOUD , OASIS, SNIA, W3C, CCF, KCSA, The Open Group, IEEE, CESI і CIF. Так що розробляється документ може й вийде з деяким запізненням, але зате вбере в себе найкраще, що запропоновано в області інформаційної безпеки хмарних обчислень ".

Незважаючи на те, що організація Cloud Security Alliance, що бере участь у розробці документа, має російське підрозділ, учасники CSA Russian Chapter поки не знайомі з проектом стандарту ISO: "Російські учасники не залучені в цей процес, наскільки я знаю, - повідомляє Денис Безкоровайний. - Робота над цим документом, на відміну від ініціатив самого альянсу CSA, більш закрита і доступна тільки затвердженим членам комітету ISO".

Незважаючи на те, що проект стандарту в поточному вигляді вже є опрацьований і корисний документ, його публікація запланована лише на 2013 г, що пов'язано з затягти процедуру стандартизації в ISO. "Кожному члену потрібен час на ознайомлення та висловлення своєї думки з документом, - говорить Олексій Лукацький. - Потім ці думки акумулюються і автори вносять поправки, знову розсилаються всім членам ПК27, і так далі".

 

* Для довідки. Хмарні обчислення (англ. Cloud computing: Cloud - хмара, метафорична назва Інтернету; computing - обчислення) - «хмарні обчислення» - концепція «обчислювальної хмари», згідно з якою програми запускаються і видають результати роботи у вікно стандартного веб-браузера на локальному ПК, при цьому всі програми та їхні дані, необхідні для роботи, знаходяться на віддаленому сервері в Інтернеті. Тобто cloud computing - це програмно-апаратне забезпечення, доступне користувачеві через Інтернет (або локальну мережу) у вигляді сервісу, що дозволяє використовувати зручний веб-інтерфейс для віддаленого доступу до виділених ресурсів (обчислювальних ресурсів, програм і даних). Комп'ютер користувача виступає при цьому рядовим терміналом, підключеним до Мережі.

Джерело: http://www.technormativ.ru