Стандарт ISO по безопасности облаков

В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название — «Information technology – Security techniques – Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002». Несмотря на большой объем предварительной версии документа — это даже не проект, а альфа-версия проекта документа, выпуск которого планируется на 2013-й год.

Недурный документ получается — описано очень много важных тем:

  • Облачные модели и место в них облачных пользователей и провайдеров
  • Место облаков в политике безопасности
  • Организация ИБ — с внутренней и внешней точки зрения. Интересный раздел — описывает особенности разделения ответственности между участниками процесса, содержание соглашения о конфиденциальности и соглашений с третьими лицами, координация усилий и взаимодействие с внешними группами и организациями ИБ.
  • Управление активами. Еще один важный вопрос, который возникает в ситуациях, когда активами владеют разные компании и лица.
  • Управление персоналом. Раздел описывающий действия до и в процессе найма на работу, а также после завершение трудового договора.
  • Физическая безопасность.
  • Операционное управление и управление коммуникациями. Сюда попали вещи, связанные с борьбой с вредоносным кодом, мониторингом и аудитом, управлением сетевой безопасностью, резервированием, управлением пропускной способностью и изменениями, управлением носителями информации и вопросы обмена информацией с третьими лицами.
  • Контроль доступа, включая раздел, посвященный доступу с мобильных устройств и надомных работников.
  • Управление покупкой, разработкой и поддержкой систем.
  • Управление инцидентами.
  • Управление непрерывностью бизнеса.
  • Управление соответствие регулятивным требованиям.

Ждем этот замечательный документ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. doom

    Алексей, а с альфой-то этой ознакомиться хоть какая-то возможность есть?

    Ответить
  2. kotov

    2013… еще 2 года почти, если бы черновик был выложен уже сейчас, было бы здорово, поскольку по всей видимости потребность в данном стандарте уже есть и сравнительно давно.

    Ответить
  3. Алексей Лукацкий

    Года два назад, я просто написал в ISO и мне прислали драфт стандарта 29100. Его тоже тогда только обсуждали и в открытом доступе его не было.

    Ответить