облачная безопасность
ISACA разродилась книжкой по облакам «IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud«. Достойный труд на 193 страницы, описывающий смысл облачных вычислений с точки зрения бизнеса, а также идентифицирующий риски и меры по управлению ими, которые позволяют минимизировать угрозы и максимизировать ценность от облаков.
Стратегия
В пятницу я прошелся по перспективам облаков в России и о том, что готовится у нас (базируясь на подходах ФСТЭК и ФСБ) нормативная база по требованиям к облачным провайдерам. В целом, идея выработки требований к облачным провайдерам достаточно здравая и у наших предприятий (особенно из госсектора) должны быть четкие критерии выбора свои облачных партнеров. Вопрос […
Законодательство
Минкомсвязь объявил заказ на сайте госзакупок, в котором есть три интересных лота: Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных
Мероприятия
22-24 ноября в Москве пройдет очередная конференция CiscoExpo 2011. В рамках этой конференции я буду выступать не только с традиционной для меня темой про законодательство ИБ, но и буду готовить специальное выступление на тему «Законодательство и облачные вычисления» в потоке по облакам. Предварительные исследования на эту тему я уже начал и не могу сказать, что […
Технологии
NIST опубликовал новый документ — SP 500-291 «NIST Cloud Computing Standards Roadmap«, который аккумулирует имеющуюся информацию об облачных вычислениях с точки зрения безопасности, портируемости, интероперабельности и т.д., и прогнозирует их развитие на ближайшие годы. Собственно, он же дает введение в облачные технологии, терминологию, бизнес-модели и т.
Тенденции
На выходных выступал в Нижнем Новгороде по приглашению нижегородского глуба ИТ-директоров на конгрессе «Болдинская осень». Выступление выстраивал следующим образом: Апокалипсис российской ИБ — почему все так плохо и почему будет еще хуже. Ну тут ничего нового 😉 Но многие ИТ-директора не знакомы с другой стороной их деятельности в области ИБ —
Технологии
Я уже писал про руководство ENISA по безопасности облаков. На самом деле, у ENISA есть еще два документа, которые являются основополагающими для данного агентства в данной сфере: Cloud Computing Risk Assessment – методика оценки рисков облачных вычислений Cloud Computing Information Assurance Framework – опросник, формирующий набор вопросов к облачным
Технологии
Продолжая тему безопасности облаков, хочу рассказать о еще одном документе, который выпустил немецкая федеральная служба по ИБ (BSI). Это «Security Recommendations for Cloud Computing Providers«. 17-тистраничный документ также разбивает данную тему на домены (архитектура, управление правами, управление инцидентами, BCP, оценка соответствия, персонал и т.
Технологии
Интересна тенденция выпуска различных документов, как правило, в виде рекомендаций и руководств к принятию решений, по облачным вычислениям. Сначала это были австралийские рекомендации, потом документы NIST, потом руководство PCI Council по виртуализации с разделом по облакам. И вот на днях попался мне документ европейского агенства по информационной безопасности по облакам —
Технологии
В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название — «Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002». Несмотря на большой объем предварительной версии документа —