Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности и критичность информации или информационных систем, предъявлять к провайдерам свой набор требований, который они либо в состоянии выполнить, либо нет. И каждый раз, когда меня просили поделиться этим фреймворком, я не мог ничего сделать, кроме высокоуровневых презентаций с описанием ключевых блоков требований. Но настало время, когда мы готовы поделиться этим фреймворком.
На днях Cisco анонсировала у себя на сайте Cisco Cloud Controls Framework v1.0, который описывает набор защитных мер для облачных сред (преимущественно SaaS), позволяющих не только учесть различные корпоративные требования, но и множество международных, отраслевых и национальных требований, среди которых:
- SOC 2® – SOC for Service Organizations: Trust Services Criteria
- ISO IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27018:2019 – Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements
- Esquema Nacional de Seguridad (ENS)
- Infosec Registered Assessors Program (IRAP December 2020)
- Payment Card Industry Data Security Standard (PCI-DSS v3.2.1)
- Information System Security Management and Assessment Program (ISMAP)
- Cloud Computing Compliance Controls Catalogue (C5)
- EU Cloud Code of Conduct (CoC)
- Third Party Cybersecurity Compliance Certificate (CCC)
- The Federal Risk and Authorization Management Program (FedRAMP LI-SAAS/Tailored).
Выложив сам фреймворк, мы также сделали доступными и руководство по использованию этого, регулярно обновляемого, фреймворка, с включением в него так называемых артефактов для аудита, которые позволят доказать аудиторам выполнение указанных требований. Артефакты базируются на запросах, которые Cisco сама получала от аудиторов при сертификации своих облачных сервисов.
Так что пользуйтесь 🙂