США: Национальный институт стандартов и технологий опубликовал проект руководства по базовой архитектуре обеспечения безопасности при использовании облачных вычислений

11 июня 2013 года американский Национальный институт стандартов и технологий (NIST) выложил для публичного обсуждения проект нового руководства NIST SP 500-299 «Предлагаемая NIST базовая архитектура обеспечения безопасности облачных вычислений» (NIST Cloud Computing Security Reference Architecture).

Проект руководства выложен для публичного обсуждения, которое продлится до 12 июля 2013 года. Объёмный 204-страничный документ доступен по адресу http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/CloudSecurity/NIST_Security_Reference_Architecture_2013.05.15_v1.0.pdf  .

Ранее в 2011 году институт опубликовал руководство NIST SP 500-292 «Предлагаемая NIST базовая архитектура облачных вычислений» (NIST Cloud Computing Reference Architecture, см.   http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 ), содержавшее модель архитектуры и словарь, которым рекомендовалось следовать переходящим на использование облачных вычислений государственным органам с тем, чтобы обеспечить  согласованное внедрение облачных приложений в рамках всего федерального правительства. Новый документ дополняет документ 2011 года полномасштабной моделью безопасности

Во введении в документ отмечается:

ИТ-директор правительства США (the U.S. Chief Information Officer) поручил Национальному институту стандартов и технологий (NIST) взять на себя техническое лидерство  в рамках усилий федеральных органов исполнительной власти, связанных с освоением и разработкой стандартов облачных вычислений.

Поставлена задача ускорить развертывание в федеральных органах власти безопасных и эффективных облачных решений, позволяющих снизить затраты и одновременно повысить качество услуг. Стратегия NIST состоит из двух частей:

• Сформулировать «дорожную карту» освоения облачных технологий федеральными органами исполнительной власти, в которой в качестве приоритетных рассматриваются вопросы компьютерной безопасности, интероперабельности и требования к переносимости;


• Возглавить усилия по разработке стандартов и руководств в тесном взаимодействии и сотрудничестве с органами по стандартизации, частным сектором и другими заинтересованными сторонами.

С целью налаживания широкого сотрудничества с заинтересованными сторонами из федерального правительства и частного сектора в решении беспокоящих руководителей федеральных органов вопросов, связанных с безопасностью, в институте была создана рабочая группа по безопасности облачных вычислений (NIST Cloud Computing Security Working group).

Одна из задач этой рабочей группы заключается в разработке базовой архитектуры обеспечения безопасности облачных вычислений (Cloud Computing Security Reference Architecture), дополняющей описанную в публикации SP 500-292 базовую архитектуру облачных вычислений (NIST Cloud Computing Reference Architecture) формальной моделью и определяющей базовый набор компонент обеспечения безопасности, рекомендуемых для создания успешных и надежных экосистем облачных вычислений.

Данный документ помогает понять взаимозависимость в плане безопасности облачных сервисов и действующих лиц (actors), а также разобраться с требованиями, которые группы технического планирования и внедрения, отделы закупок федеральных органов исполнительной власти должны сформулировать и выполнять с тем, чтобы обеспечить закупку облачных сервисов с уровнями безопасности, соответствующими потребностям данных органов.

Источник: сайт NIST
http://www.nist.gov/itl/csd/cloud-061113.cfm