С 21 января 2015 года на сайте Британского института стандартов (BSI) выложен для публичного обсуждения проект нового стандарта Международной организации по стандартизации ISO/DIS 27017 «Информационные технологии - Методы обеспечения безопасности - Система менеджмента облачной безопасности и защиты персональных данных – Меры безопасности» (Information technology - Security techniques - Cloud computing security and privacy management system - Security controls) объёмом 67 страниц, см. http://drafts.bsigroup.com/Home/Details/54010 , а также сайт ИСО, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43757 , и мой пост о разработке этого документа, http://rusrim.blogspot.ru/2013/03/blog-post_14.html . Обсуждение на сайте продлится до 20 марта 2015 года.
Интересно, что название документа на британском сайте отличается от сведений с сайта ИСО, где документ называется «Информационные технологии – Методы обеспечения безопасности – Свод практики использования мер информационной безопасности на основе стандарта ISO/IEC 27002 сервисами облачных вычислений» (Information technology - Security techniques - Information Technology — Security Techniques —
Code of practice for information security controls based on ISO/IEC 27002 for cloud services).
Как отмечается в документе, данный Международный стандарт содержит указания по мерам обеспечения информационной безопасности, применимым при предоставлении и использовании облачных услуг, в том числе за счет:
- Дополнительных рекомендаций по внедрению соответствующих мер, перечисленных в стандарте ISO/IEC 27002;
- Дополнительных, специфических для облачных сервисов мер контроля и управления, а также рекомендаций по их внедрению.
Содержание стандарта следующее:
ПредисловиеИсточники: сайт Британского института стандартов / сайт ИСО
0. Введение
1. Область применения
2. Нормативные ссылки
3. Определения и сокращения
4. Понятия, специфические для отрасли облачных вычислений
5. Политики информационной безопасности
6. Организация информационной безопасности
7. Кадровая безопасность
8. Управление активами
9. Контроль над доступом
10. Криптография
11. Физическая и экологическая безопасность
12. Безопасность оперативной деятельности
13. Безопасность коммуникаций
14. Приобретение, развитие и поддержка системы
15. Взаимодействие с поставщиками
16. Управление инцидентами информационной безопасности
17. Аспекты информационной безопасности при обеспечении непрерывности деловой деятельности
18. Соответствие законодательно-нормативным требованиям
Приложение A (нормативное): Расширенный набор мер контроля и управления для облачных услуг
Приложение B (информационное): Литература по рискам информационной безопасности, связанным с облачными вычислениями
Библиография
http://drafts.bsigroup.com/Home/Details/54010
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43757
Комментариев нет:
Отправить комментарий