Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности и критичность информации или информационных систем, предъявлять к провайдерам свой набор требований, который они либо в состоянии выполнить, либо нет. И каждый раз, когда меня просили поделиться этим фреймворком, я не мог ничего сделать, кроме высокоуровневых презентаций с описанием ключевых блоков требований. Но настало время, когда мы готовы поделиться этим фреймворком.
![Cisco Cloud Controls Framework v1.0](https://lukatsky.ru/wp-content/uploads/2022/05/screenshot-2022-05-07-at-20.02.05.png)
На днях Cisco анонсировала у себя на сайте Cisco Cloud Controls Framework v1.0, который описывает набор защитных мер для облачных сред (преимущественно SaaS), позволяющих не только учесть различные корпоративные требования, но и множество международных, отраслевых и национальных требований, среди которых:
- SOC 2® – SOC for Service Organizations: Trust Services Criteria
- ISO IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27018:2019 – Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements
- Esquema Nacional de Seguridad (ENS)
- Infosec Registered Assessors Program (IRAP December 2020)
- Payment Card Industry Data Security Standard (PCI-DSS v3.2.1)
- Information System Security Management and Assessment Program (ISMAP)
- Cloud Computing Compliance Controls Catalogue (C5)
- EU Cloud Code of Conduct (CoC)
- Third Party Cybersecurity Compliance Certificate (CCC)
- The Federal Risk and Authorization Management Program (FedRAMP LI-SAAS/Tailored).
Выложив сам фреймворк, мы также сделали доступными и руководство по использованию этого, регулярно обновляемого, фреймворка, с включением в него так называемых артефактов для аудита, которые позволят доказать аудиторам выполнение указанных требований. Артефакты базируются на запросах, которые Cisco сама получала от аудиторов при сертификации своих облачных сервисов.
![Cisco Cloud Controls Framework v1.0](https://lukatsky.ru/wp-content/uploads/2022/05/screenshot-2022-05-07-at-20.01.25.png)
Так что пользуйтесь 🙂