пятница, 10 февраля 2012 г.

США: Национальный институт стандартов и технологий опубликовал окончательную редакцию руководства по менеджменту безопасности и персональных данных в публичных облаках

Данная заметка Ричарда Санталесы (Richard L. Santalesa) была опубликована на сайте «Группа по информационному праву» (Information Law Group) 29 января 2012 года.

Можно что угодно говорить о федеральном правительстве, однако Национальный институт стандартов и технологий (National Institute of Standards & Technology, NIST), входящий в структуру Министерства торговли (Department of Commerce), в течение последнего года несомненно напряженно поработал над выпуском многочисленных отчетов и проектов специальных публикаций, в которых содержатся рекомендации в отношении облачных вычислений и рассматриваются вопросы обеспечения безопасности и существующие проблемы. [Должен сообщить, что я являюсь членом нескольких рабочих групп, NIST, включая группу, работающую в настоящее время над проектом документа NIST «Требования по безопасности, являющиеся наиболее проблемными с точки зрения перехода государственных органов США на использование облачных вычислений» (Challenging Security Requirements for US Government Cloud Computing Adoption)].

Продолжая свою «облачную» миссию, NIST на прошлой неделе опубликовал окончательный 80-страничный текст своей Специальной публикации NIST SP 800-144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений (Timothy Grance and Wayne Jansen, NIST SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing, December 09, 2011, 80 pp., http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909494 ; далее - Руководство). Руководство содержит, согласно данной NIST аннотации, «обзор проблем в области безопасности и защиты неприкосновенности частной жизни, возникающих при использовании публичных облаков, и рекомендации, которые организациям следует принять во внимание при аутсорсинге данных, приложений и инфраструктуры в среду публичного облака. Данный документ дает представление об угрозах, технологических рисках и мерах предосторожности, связанные со средой публичных облачных вычислений, что должно помочь организациям принимать обоснованные решения относительно использования этой технологии».

Согласно NIST, публикация SP 800-144 рассчитана на использование участниками инициатив внедрения облачных вычислений; на специалистов по безопасности, отвечающими за меры безопасности и защиты персональных данных при использовании облачных вычислений; на системных и сетевых администраторов; и на пользователей услугами публичных облачных вычислений.

В публикации (это уже стало отличительной чертой отчетов NIST по облачной тематике) широко используются перекрестные ссылки, и в неё включён «подробный список федеральных стандартов по обработке информации (Federal Information Processing Standards, FIPS) и специальных публикаций института, содержащих материалы, имеющие непосредственное отношение к облачным вычислениям и рекомендуемые для использования совместно с SP 800-144». Этим подчеркивается один из недостатков объемного производства стандартов институтом, а именно то, что отчеты часто взаимно дополняют друг друга, и их лучше читать и использовать совместно. На странице х Руководства (10-й странице вводной части – Н.Х.) перечислено не менее пятнадцати других специальных публикаций, которые «особенно актуальны в области облачных вычислений, и должны поэтому использоваться совместно с настоящим документом». Положительная же сторона здесь в том, что каждый такой документ можно независимо обновлять и освежать с учетом быстро меняющегося ландшафта в сфере облачных вычислений и безопасности, - но расплатой за это является необходимость отслеживать состояние каждого дополнительного документа.

Учитывая то, что использование публичных облаков связано с существенными проблемами безопасности, которые могут и не возникать при использовании моделей частного или гибридного облаков, Руководство является полезным ресурсом. Оно поможет пользователям облачных вычислений, заинтересованным в услугах именно публичных облаков, проанализировать многие проблемы и вызывающие сомнения вопросы, которые должны быть решены прежде, чем данные можно будет передать на хранение в публичное облако.

Ричард Санталеса (Richard L. Santalesa)

Дополнительная информация: В выпущенном NIST 24 января 2012 года пресс-релизе по поводу выхода публикации (см. http://www.nist.gov/itl/csd/cloud-012412.cfm ) также отмечается следующее:
«Публичные облака, как и другие модели развертывания облачных вычислений, являются вполне реальным вариантом для многих приложений и услуг. Тем не менее, ответственность за безопасность и неприкосновенность частной жизни в публичном облаке не может быть делегирована поставщику облачных услуг, и остается обязанностью, выполнять которую должна сама организация», подчеркивает соавтор документа Тим Гренс (Tim Grance).

В число ключевых рекомендаций входят следующие:
  • До внедрения облачных решений, тщательно планируйте аспекты их использования, связанные с безопасностью и защитой персональных данных,

  • Разберитесь в особенностях среды публичных облачных вычислений, предлагаемой поставщиком облачных услуг,

  • Обеспечьте, чтобы облачное решение, - как облачные ресурсы, так и размещенные в облачной среде приложения, - удовлетворяли требованиям организации к безопасности и защите персональных данных,

  • Поддерживайте систему подотчетности в отношении защиты персональных данных и приложений и обеспечения их безопасности, внедренную и развернутую в среде публичных облачных вычислений.
Источник: сайт «Группа по информационному праву» (Information Law Group) / сайт NIST
http://www.infolawgroup.com/2012/01/articles/cloud-computing-1/nist-issues-finalized-guidelines-for-managing-security-privacy-in-public-cloud-computing/
http://www.nist.gov/itl/csd/cloud-012412.cfm

Комментариев нет:

Отправить комментарий