Руководство BSI по безопасности облаков

Продолжая тему безопасности облаков, хочу рассказать о еще одном документе, который выпустил немецкая федеральная служба по ИБ (BSI). Это «Security Recommendations for Cloud Computing Providers«. 17-тистраничный документ также разбивает данную тему на домены (архитектура, управление правами, управление инцидентами, BCP, оценка соответствия, персонал и т.д.) и перечисляет требования по безопасности для каждого из них.

Отличием является выделение трех категорий облаков, каждая из которых имеет свой набор требований, наследующих друг от друга (по аналогии с классами/уровнями защищенности ФСТЭК/ФСБ):

  • категория B — базовые требования — применимы к большинству облачных провайдеров
  • категория C+ — высокая конфиденциальность — дополнительные требования для обеспечения большей конфиденциальности, чем для базового уровня
  • категория A+ — высокая доступность — дополнительные требования для обеспечения большей доступности, чем для базового уровня.

Разумеется, как и в случае с проектом стандарта ISO по безопасности облаков, в документе BSI рекомендуется выстраивать полноценную систему управления ИБ; либо на базе ISO 27001, либо на базе BSI-Standard 100-2: IT-Grundschutz Methodology (и вообще всей четверки стандартов BSI).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Алексей Евменков

    в доке вообще то под 70 страниц:)
    17 разделов.

    Ответить
  2. Алексей Лукацкий

    Упс 😉 Я заметку по драфту писал, а ссылку дал на финальный вариант 😉

    Ответить