пятница, 30 января 2015 г.

На сайте Британского института стандартов начато публичное обсуждение проекта стандарта ISO/IEC 27017 «Система менеджмента облачной безопасности и защиты персональных данных – Меры безопасности»


С 21 января 2015 года на сайте Британского института стандартов (BSI) выложен для публичного обсуждения проект нового стандарта Международной организации по стандартизации ISO/DIS 27017 «Информационные технологии - Методы обеспечения безопасности - Система менеджмента облачной безопасности и защиты персональных данных – Меры безопасности» (Information technology - Security techniques - Cloud computing security and privacy management system - Security controls)  объёмом 67 страниц, см. http://drafts.bsigroup.com/Home/Details/54010 , а также сайт ИСО, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43757 , и мой пост о разработке этого документа,  http://rusrim.blogspot.ru/2013/03/blog-post_14.html . Обсуждение на сайте продлится до 20 марта 2015 года.


Интересно, что название документа на британском сайте отличается от сведений с сайта ИСО, где документ называется «Информационные технологии – Методы обеспечения безопасности – Свод практики использования мер информационной безопасности на основе стандарта ISO/IEC 27002 сервисами облачных вычислений» (Information technology - Security techniques - Information Technology — Security Techniques —
Code of practice for information security controls based on ISO/IEC 27002 for cloud services).

Как отмечается в документе, данный Международный стандарт содержит указания по мерам обеспечения информационной безопасности, применимым при предоставлении и использовании облачных услуг, в том числе за счет:
  • Дополнительных рекомендаций по внедрению соответствующих мер, перечисленных в стандарте ISO/IEC 27002;

  • Дополнительных, специфических для облачных сервисов мер контроля и управления, а также рекомендаций по их внедрению.
Данный Международный стандарт предлагает меры контроля и управления, а также рекомендации по их внедрению как поставщикам облачных услуг, так и их клиентам.

Содержание стандарта следующее:
Предисловие
0. Введение
1. Область применения
2. Нормативные ссылки
3. Определения и сокращения
4. Понятия, специфические для отрасли облачных вычислений
5. Политики информационной безопасности
6. Организация информационной безопасности
7. Кадровая безопасность
8. Управление активами
9. Контроль над доступом
10. Криптография
11. Физическая и экологическая безопасность
12. Безопасность оперативной деятельности
13. Безопасность коммуникаций
14. Приобретение, развитие и поддержка системы
15. Взаимодействие с поставщиками
16. Управление инцидентами информационной безопасности
17. Аспекты информационной безопасности при обеспечении непрерывности деловой деятельности 
18. Соответствие законодательно-нормативным требованиям
Приложение A (нормативное): Расширенный набор мер контроля и управления для облачных услуг
Приложение B (информационное): Литература по рискам информационной безопасности, связанным с облачными вычислениями
Библиография
Источники: сайт Британского института стандартов / сайт ИСО
http://drafts.bsigroup.com/Home/Details/54010 
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43757

Комментариев нет:

Отправить комментарий