Фреймворк Cloud Controls Framework для общения с облачными провайдерами

Стратегия

Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности и критичность информации или информационных систем, предъявлять к провайдерам свой набор требований, который они либо в состоянии выполнить, либо нет. И каждый раз, когда меня просили поделиться этим фреймворком, я не мог ничего сделать, кроме высокоуровневых презентаций с описанием ключевых блоков требований. Но настало время, когда мы готовы поделиться этим фреймворком.

Cisco Cloud Controls Framework v1.0
Cisco Cloud Controls Framework v1.0

На днях Cisco анонсировала у себя на сайте Cisco Cloud Controls Framework v1.0, который описывает набор защитных мер для облачных сред (преимущественно SaaS), позволяющих не только учесть различные корпоративные требования, но и множество международных, отраслевых и национальных требований, среди которых:

  • SOC 2® – SOC for Service Organizations: Trust Services Criteria
  • ISO IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements
  • ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • ISO/IEC 27018:2019 – Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
  • ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
  • ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements
  • Esquema Nacional de Seguridad (ENS)
  • Infosec Registered Assessors Program (IRAP December 2020)
  • Payment Card Industry Data Security Standard (PCI-DSS v3.2.1)
  • Information System Security Management and Assessment Program (ISMAP)
  • Cloud Computing Compliance Controls Catalogue (C5)
  • EU Cloud Code of Conduct (CoC)
  • Third Party Cybersecurity Compliance Certificate (CCC)
  • The Federal Risk and Authorization Management Program (FedRAMP LI-SAAS/Tailored).

Выложив сам фреймворк, мы также сделали доступными и руководство по использованию этого, регулярно обновляемого, фреймворка, с включением в него так называемых артефактов для аудита, которые позволят доказать аудиторам выполнение указанных требований. Артефакты базируются на запросах, которые Cisco сама получала от аудиторов при сертификации своих облачных сервисов.

Cisco Cloud Controls Framework v1.0
Cisco Cloud Controls Framework v1.0

Так что пользуйтесь 🙂

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).