четверг, 14 марта 2013 г.

ИСО: Идет работа над группой стандартов, касающихся облачных вычислений


Скоро облачные вычисления также будут охвачены стандартизацией. В настоящее время в двух технических подкомитетах Объединенного технического комитета 1 «Информационные технологии» (JTC 1) Международной организации по стандартизации идёт работа над рядом стандартов и технических отчетов.

1) Подкомитет SC27 «Методы и средства обеспечения безопасности информационных технологий» работает над следующими документами:

Технические спецификации ISO/IEC WD TS 27017 «Информационные технологии – Руководство по мерам информационной безопасности для использования сервисами облачных вычислений, основанное на стандарте ISO/IEC 27002» (Information technology - Security techniques - Information security management - Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43757 ).

Данный стандарт содержит рекомендации по аспектам и элементам информационной безопасности в среде облачных вычислений. В дополнение к мерам по обеспечению информационной безопасности, рекомендованным в базовом стандарте ISO/IEC 27002, в нем будут описан ряд мер, специфических для облачной среды. Стандарт будет выпущен в паре с ещё одним стандартом ISO/IEC 27018, в котором рассматриваются вопросы защиты персональных данных при использовании облачных вычислений.

Стандарт будет опираться на пересмотренную версию ISO 27002 и будет главным образом содержать рекомендации по реализации многих описанных в этом документе мер информационной безопасности в контексте облачных вычислений. Отдельного стандарта, специфицирующего систему менеджмента  информационной безопасности в облаке, не будет, поскольку считается, что вполне достаточно существующего стандарта ISO 27001. Соответственно, нет и планов для отдельной сертификации информационной безопасности у поставщиков облачных вычислений.

Решение параллельно разработать стандарт, рассматривающий вопросы защиты персональных данных в облачной среде, означает, что в данном стандарте эти вопросы не рассматриваются.

Текущее состояние: опубликован 4-й рабочий проект.

Стандарт ISO/IEC WD 27018 «Свод практики по мерам защиты персональных данных при оказании публичных облачных услуг»  (Code of practice for data protection controls for public cloud computing services, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498 ).

Данный стандарт предназначен для поставщиков услуг «публичного облака», которые ведут обработку персональных данных (и, возможно, являются операторами персональных данных). Он содержит рекомендации по различным аспектам и элементам по защите персональных данных и неприкосновенности частной жизни в публичном облаке. Стандарт будет выпущен в паре с ISO/IEC 27017, в котором вопросы обеспечения информационной безопасности в облаке рассматриваются в более широкой плоскости.

Стандарт не будет дублировать или модифицировать рекомендации стандарта ISO/IEC 27002 применительно к облачным вычислениям. В нем будут определены дополнительные цели управления и меры контроля и управления, связанные с защитой персональных данных в облачной среде.

Текущее состояние: опубликован 1-й рабочий проект, который по стилю напоминает ISO/IEC 27015 (руководство по менеджменту информационной безопасности для сферы финансовых услуг), в том плане, что он опирается на стандарт ISO/IEC 27002, дополняя и детализируя его рекомендации в ряде специфических областей.

Документ, возможно, будет официально опубликован уже в 2013 году, особенно если выяснится, что новая редакция ISO/IEC 27002 (которая сейчас находится на стадии проекта международного стандарта и должна быть официально утверждена в текущем году, см. http://www.itgovernance.co.uk/shop/p-1275-bs-isoiec-dis-27002-draft-iso27002-2013.aspx#.UUCGHzfhd8E . С проектом уже сейчас можно познакомиться на сайте Британского института стандартов, http://drafts.bsigroup.com/ , пройдя бесплатную регистрацию) адекватно описывает большую часть мер безопасности, не требуя дополнительных уточнений.

Стандарт ISO/IEC CD 27040 «Информационные технологии – Безопасность хранения данных» (Information technology - Security techniques - Storage security, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=44404 ).

Данный стандарт содержит детальные технические рекомендации относительно того, как организациям определить соответствующий уровень мер по снижения рисков путем использования согласованного и хорошо зарекомендовавшего себя подхода к планированию, разработке, документированию и реализации системы безопасности при хранении данных.

Стандарт содержит обзор общих представлений о безопасности при хранении данных и соответствующие определения, а также рекомендации, касающиеся типичных технологий и сценариев хранения. В ограниченной степени затронуты вопросы хранения данных в облаках. Текущее состояние: 2-й проект комитета.

Стандарт применим при обеспечении безопасности устройств и носителей, а также относящейся к ним управленческой деятельности; при обеспечении безопасности приложений и сервисов. Также охватываются вопросы безопасности, связанные с конечными пользователями.

2) Подкомитет SC38 «Распределенные прикладные платформы и сервисы» работает над следующими документами:

Стандарт ISO/IEC CD 17788 «Информационные технологии - Распределенные прикладные платформы и сервисы – Облачные вычисления – Общие положения и словарь» (Information technology - Distributed application platforms and services - Cloud computing - Overview and Vocabulary, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60544 ).

Данный стандарт описывает концепцию облачных вычислений и содержит ряд терминов и определений. Он станет терминологической основой для дальнейшей работы по стандартизации в сфере облачных вычислений. Официальная публикация стандарта ожидается в 4-м квартале 2014 года. Текущее состояние: 2-й проект комитета.

Стандарт ISO/IEC WD 17789 «Информационные технологии – Облачные вычисления – Эталонная архитектура» (Information Technology - Cloud Computing - Reference Architecture), http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60545 ).

Данный стандарт содержит обзор общих понятий и характеристик облачных вычислений, типов облаков, компонент облачных вычислений, участвующих сторон, а также взаимоотношений между этими элементами. Стандарт делает упор на требования к тому, что должны обеспечивать облачные сервисы, а не на вопросах проектирования и внедрения соответствующих решений. Официальная публикация стандарта ожидается в 4-м квартале 2014 года. Текущее состояние: рабочий проект.

Источники:
http://www.iso27001security.com/html/27017.html
http://www.itgovernanceonline.com/information-security/iso-27000-series/about-iso-27017/
http://www.nmayer.eu/ISO/?page_id=4
http://www.slideshare.net/rnewton/summary-cloudstandardseahv2130225
http://www.snia.org/sites/default/education/tutorials/2012/spring/security/EricHibbard_Storage-Security_The-Standard.pdf

Комментариев нет:

Отправить комментарий