Данная заметка Ричарда Санталесы (Richard L. Santalesa) была опубликована на сайте «Группа по информационному праву» (Information Law Group) 29 января 2012 года.
Можно что угодно говорить о федеральном правительстве, однако Национальный институт стандартов и технологий (National Institute of Standards & Technology, NIST), входящий в структуру Министерства торговли (Department of Commerce), в течение последнего года несомненно напряженно поработал над выпуском многочисленных отчетов и проектов специальных публикаций, в которых содержатся рекомендации в отношении облачных вычислений и рассматриваются вопросы обеспечения безопасности и существующие проблемы. [Должен сообщить, что я являюсь членом нескольких рабочих групп, NIST, включая группу, работающую в настоящее время над проектом документа NIST «Требования по безопасности, являющиеся наиболее проблемными с точки зрения перехода государственных органов США на использование облачных вычислений» (Challenging Security Requirements for US Government Cloud Computing Adoption)].
Продолжая свою «облачную» миссию, NIST на прошлой неделе опубликовал окончательный 80-страничный текст своей Специальной публикации NIST SP 800-144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений (Timothy Grance and Wayne Jansen, NIST SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing, December 09, 2011, 80 pp., http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909494 ; далее - Руководство). Руководство содержит, согласно данной NIST аннотации, «обзор проблем в области безопасности и защиты неприкосновенности частной жизни, возникающих при использовании публичных облаков, и рекомендации, которые организациям следует принять во внимание при аутсорсинге данных, приложений и инфраструктуры в среду публичного облака. Данный документ дает представление об угрозах, технологических рисках и мерах предосторожности, связанные со средой публичных облачных вычислений, что должно помочь организациям принимать обоснованные решения относительно использования этой технологии».
Согласно NIST, публикация SP 800-144 рассчитана на использование участниками инициатив внедрения облачных вычислений; на специалистов по безопасности, отвечающими за меры безопасности и защиты персональных данных при использовании облачных вычислений; на системных и сетевых администраторов; и на пользователей услугами публичных облачных вычислений.
В публикации (это уже стало отличительной чертой отчетов NIST по облачной тематике) широко используются перекрестные ссылки, и в неё включён «подробный список федеральных стандартов по обработке информации (Federal Information Processing Standards, FIPS) и специальных публикаций института, содержащих материалы, имеющие непосредственное отношение к облачным вычислениям и рекомендуемые для использования совместно с SP 800-144». Этим подчеркивается один из недостатков объемного производства стандартов институтом, а именно то, что отчеты часто взаимно дополняют друг друга, и их лучше читать и использовать совместно. На странице х Руководства (10-й странице вводной части – Н.Х.) перечислено не менее пятнадцати других специальных публикаций, которые «особенно актуальны в области облачных вычислений, и должны поэтому использоваться совместно с настоящим документом». Положительная же сторона здесь в том, что каждый такой документ можно независимо обновлять и освежать с учетом быстро меняющегося ландшафта в сфере облачных вычислений и безопасности, - но расплатой за это является необходимость отслеживать состояние каждого дополнительного документа.
Учитывая то, что использование публичных облаков связано с существенными проблемами безопасности, которые могут и не возникать при использовании моделей частного или гибридного облаков, Руководство является полезным ресурсом. Оно поможет пользователям облачных вычислений, заинтересованным в услугах именно публичных облаков, проанализировать многие проблемы и вызывающие сомнения вопросы, которые должны быть решены прежде, чем данные можно будет передать на хранение в публичное облако.
Ричард Санталеса (Richard L. Santalesa)
Дополнительная информация: В выпущенном NIST 24 января 2012 года пресс-релизе по поводу выхода публикации (см. http://www.nist.gov/itl/csd/cloud-012412.cfm ) также отмечается следующее:
http://www.infolawgroup.com/2012/01/articles/cloud-computing-1/nist-issues-finalized-guidelines-for-managing-security-privacy-in-public-cloud-computing/
http://www.nist.gov/itl/csd/cloud-012412.cfm
Можно что угодно говорить о федеральном правительстве, однако Национальный институт стандартов и технологий (National Institute of Standards & Technology, NIST), входящий в структуру Министерства торговли (Department of Commerce), в течение последнего года несомненно напряженно поработал над выпуском многочисленных отчетов и проектов специальных публикаций, в которых содержатся рекомендации в отношении облачных вычислений и рассматриваются вопросы обеспечения безопасности и существующие проблемы. [Должен сообщить, что я являюсь членом нескольких рабочих групп, NIST, включая группу, работающую в настоящее время над проектом документа NIST «Требования по безопасности, являющиеся наиболее проблемными с точки зрения перехода государственных органов США на использование облачных вычислений» (Challenging Security Requirements for US Government Cloud Computing Adoption)].
Продолжая свою «облачную» миссию, NIST на прошлой неделе опубликовал окончательный 80-страничный текст своей Специальной публикации NIST SP 800-144 «Руководство по обеспечению безопасности и защиты персональных данных при использовании публичных облачных вычислений (Timothy Grance and Wayne Jansen, NIST SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing, December 09, 2011, 80 pp., http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909494 ; далее - Руководство). Руководство содержит, согласно данной NIST аннотации, «обзор проблем в области безопасности и защиты неприкосновенности частной жизни, возникающих при использовании публичных облаков, и рекомендации, которые организациям следует принять во внимание при аутсорсинге данных, приложений и инфраструктуры в среду публичного облака. Данный документ дает представление об угрозах, технологических рисках и мерах предосторожности, связанные со средой публичных облачных вычислений, что должно помочь организациям принимать обоснованные решения относительно использования этой технологии».
Согласно NIST, публикация SP 800-144 рассчитана на использование участниками инициатив внедрения облачных вычислений; на специалистов по безопасности, отвечающими за меры безопасности и защиты персональных данных при использовании облачных вычислений; на системных и сетевых администраторов; и на пользователей услугами публичных облачных вычислений.
В публикации (это уже стало отличительной чертой отчетов NIST по облачной тематике) широко используются перекрестные ссылки, и в неё включён «подробный список федеральных стандартов по обработке информации (Federal Information Processing Standards, FIPS) и специальных публикаций института, содержащих материалы, имеющие непосредственное отношение к облачным вычислениям и рекомендуемые для использования совместно с SP 800-144». Этим подчеркивается один из недостатков объемного производства стандартов институтом, а именно то, что отчеты часто взаимно дополняют друг друга, и их лучше читать и использовать совместно. На странице х Руководства (10-й странице вводной части – Н.Х.) перечислено не менее пятнадцати других специальных публикаций, которые «особенно актуальны в области облачных вычислений, и должны поэтому использоваться совместно с настоящим документом». Положительная же сторона здесь в том, что каждый такой документ можно независимо обновлять и освежать с учетом быстро меняющегося ландшафта в сфере облачных вычислений и безопасности, - но расплатой за это является необходимость отслеживать состояние каждого дополнительного документа.
Учитывая то, что использование публичных облаков связано с существенными проблемами безопасности, которые могут и не возникать при использовании моделей частного или гибридного облаков, Руководство является полезным ресурсом. Оно поможет пользователям облачных вычислений, заинтересованным в услугах именно публичных облаков, проанализировать многие проблемы и вызывающие сомнения вопросы, которые должны быть решены прежде, чем данные можно будет передать на хранение в публичное облако.
Ричард Санталеса (Richard L. Santalesa)
Дополнительная информация: В выпущенном NIST 24 января 2012 года пресс-релизе по поводу выхода публикации (см. http://www.nist.gov/itl/csd/cloud-012412.cfm ) также отмечается следующее:
«Публичные облака, как и другие модели развертывания облачных вычислений, являются вполне реальным вариантом для многих приложений и услуг. Тем не менее, ответственность за безопасность и неприкосновенность частной жизни в публичном облаке не может быть делегирована поставщику облачных услуг, и остается обязанностью, выполнять которую должна сама организация», подчеркивает соавтор документа Тим Гренс (Tim Grance).Источник: сайт «Группа по информационному праву» (Information Law Group) / сайт NIST
В число ключевых рекомендаций входят следующие:
- До внедрения облачных решений, тщательно планируйте аспекты их использования, связанные с безопасностью и защитой персональных данных,
- Разберитесь в особенностях среды публичных облачных вычислений, предлагаемой поставщиком облачных услуг,
- Обеспечьте, чтобы облачное решение, - как облачные ресурсы, так и размещенные в облачной среде приложения, - удовлетворяли требованиям организации к безопасности и защите персональных данных,
- Поддерживайте систему подотчетности в отношении защиты персональных данных и приложений и обеспечения их безопасности, внедренную и развернутую в среде публичных облачных вычислений.
http://www.infolawgroup.com/2012/01/articles/cloud-computing-1/nist-issues-finalized-guidelines-for-managing-security-privacy-in-public-cloud-computing/
http://www.nist.gov/itl/csd/cloud-012412.cfm
Комментариев нет:
Отправить комментарий