четверг, 5 марта 2015 г.

США: Министерство обороны выпустило Руководство по требованиям к безопасности облачных вычислений


12 января 2015 года Министерство обороны США выпустило «Руководство Министерства обороны по требованиям к безопасности облачных вычислений» (Department of Defense Cloud Computing Security Requirements Guide, Version 1, Release 1), см. http://info.publicintelligence.net/DoD-CloudSecurity.pdf . Документ был подготовлен Агентством оборонных информационных систем (Defense Information Systems Agency, DISA).

7 февраля 2015 года этот 152-страничный документ был выложен на сайте Public Intelligence - международного проекта по обеспечению доступа к государственной информации. Он также доступен на сайте DISA, см. http://iase.disa.mil/cloud_security/Pages/index.aspx (прямая ссылка - http://iase.disa.mil/cloud_security/Documents/u-cloud_computing_srg_v1r1_final.pdf ).

Документ пришёл на смену «Модели облачной безопасности» (Cloud Security Model, CSM, версия 2.1). В меморандуме, выпущенном в связи с его публикацией, DISA отметило следующее:
1. Инструкция Министерства обороны DoDI 8500.01 обязывает DISA разработать руководства по требованиям к безопасности (security requirements guides, SRGs) для реализации на практике политики Минобороны в области кибербезопасности, а также для внедрения соответствующих стандартов, архитектур, мер безопасности и процедур контроля и проверки.

Это документы устанавливают базовые требования к безопасности для коммерческих и некоммерческих поставщиков облачных услуг, обеспечивающих хостинг информации, систем и приложений Министерства обороны. Они также предназначены для использования применяющими облачные сервисы ответственными за выполнение операций (DoD Mission Owner).

Данное руководство основано на Инструкции Министерства обороны DoDI 8510.01 «Принципы управления рисками для информационных технологий Министерства обороны» (Risk Management Framework for DoD Information Technology, http://www.dtic.mil/whs/directives/corres/pdf/851001_2014.pdf ) , и опирается на процессы, определенные в рамках Федеральной программы управления рисками и авторизацией (Federal Risk and Authorization Management Program, FedRAMP V2, см. http://cloud.cio.gov/fedramp/templates ), а также требования к мерам контроля и управления, сформулированные в специальной публикации Национального института стандартов и технологий NIST SP 800-53 Rev.4 «Меры безопасности и защиты персональных данных для федеральных информационных систем и организаций» (Security and Privacy Controls for Federal Information Systems and Organizations, см. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf ).

2. Данная первая версия Руководства включает в себя предложения, поступившие от отрасли и от Министерства обороны, при этом на ряд поставленных вопросов ответы будут даны позже, после проведения дополнительных исследований. Были приложены все усилия для того, чтобы в полном объеме включить предложения, способные повлиять на стоимость или скорость оказания услуг, делая при этом основной упор на достижение правильного баланса риска для обработки информации на уровнях безопасности 2 и 4 (определения уровней см. в разделе 4).

3. Мы предполагаем ежеквартально обновлять Руководство. В первом таком обновлении будут рассмотрены требования к обработке на уровне 5 и соображения по вопросам хостинга ресурсов Минобороны за пределами территории США.
Содержание документа следующее:
1. Введение
2. Базовые сведения
3. Цели информационной безопасности и уровни воздействия (Impact Levels)
4. Оценка рисков для предложений об оказании облачных услуг
5. Требования к безопасности
6. Защита компьютерной сети и реагирование на инциденты
Приложение A. Литература
Приложение B. Определения
Приложение C. Роли и обязанности
Приложения D. Значения параметров
В документе выделено 6 уровней безопасности («Уровней воздействия информации» - Information Impact Levels):
  • Уровень 1: Несекретная информация, одобренная для публичного распространения,

  • Уровень 2: Неконтролируемая несекретная информация

  • Уровни 3-5: Контролируемая несекретная информация

  • Секретная информация вплоть до грифа «секретно»
Источник: сайт Public Intelligence / сайт DISA
http://info.publicintelligence.net/DoD-CloudSecurity.pdf
https://publicintelligence.net/dod-cloud-security/
http://iase.disa.mil/cloud_security/Documents/u-cloud_computing_srg_v1r1_final.pdf
http://iase.disa.mil/cloud_security/Pages/index.aspx

Комментариев нет:

Отправить комментарий