ISO готовит специальный стандарт, посвященный безопасности облачных вычислений. Основная направленность нового стандарта – решение организационных вопросов, связанных с облаками. Однако в силу сложности согласовательных процедур ISO окончательная версия документа должна выйти лишь в 2013 г.
ISO разработала предварительную внутреннюю версию специального стандарта, посвященного вопросам облачной безопасности, сообщает в своем блоге Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Объем проекта документа – 92 страниц. Алексей Лукацкий смог ознакомиться с документом, поскольку Cisco участвует в подкомитете по информационной безопасности технического комитета ТК22 при Ростехрегулировании и получает доступ ко всем проектам стандартов, готовящимся в ISO.
Среди тем, раскрытых в черновом проекте стандарта, фигурируют облачные модели и место в них облачных пользователей и провайдеров; место облаков в политике безопасности; организация информационной безопасности; управление активами; управление персоналом; физическая безопасность; операционное управление и управление коммуникациями; контроль доступа; управление закупками, разработкой и поддержкой систем; управление инцидентами; управление непрерывностью бизнеса и управление соблюдением требований регуляторов.
«Ценность документа, на мой взгляд, в том, что в его подготовку вовлечены не только правительственные организации (NIST, ENISA), но и представители экспертных сообществ и ассоциаций, таких как ISACA и CSA, – заявил CNews Денис Безкоровайный, технический консультант Trend Micro по России и СНГ. – Причем, в одном документе собраны рекомендации как для провайдеров облачных услуг, так и для их потребителей – организаций-клиентов».
«Основная задача данного документа – подробно описать лучшие практики, связанные с использованием облачных вычислений с точки зрения информационной безопасности, – пояснил CNews Алексей Лукацкий. – При этом стандарт не концентрируется только на технических аспектах, а скорее на организационных аспектах, которые никак нельзя забывать при переходе на облачные вычисления. Это и разделение прав и ответственности, и подписание соглашений с третьими лицами, и управление активами, находящимися в собственности разных участников «облачного» процесса, и вопросы управления персоналом и так далее».
По мнению Лукацкого, особый интерес представляет раздел, посвященный организации информационной безопасности – там описаны «особенности разделения ответственности между участниками процесса, содержание соглашения о конфиденциальности и соглашений с третьими лицами, координация усилий и взаимодействие с внешними группами и организациями ИБ». Также представляет интерес раздел, посвященный управлению активами. По мнению представителя Cisco, это «еще один важный вопрос, который возникает в ситуациях, когда активами владеют разные компании и лица».
Новый документ во многом вобрал в себя материалы, разработанные в ИТ-индустрии ранее: «Учитывая, что в мире за последний год выпущено немало документов, описывающих правила выбора и защиты облаков, стандарт ISO аккумулирует лучшие рекомендации и практики, – комментирует эксперт Cisco. – Ведь и в разработке обсуждаемого документа принимают участие ENISA, NIST, ITU-T, ISACA и т.д. Могу также добавить, что в ПК27 анализировались не только документы названных организаций, но и рекомендации OGF, CCIF, DMTF, CSA, ETSI TC CLOUD, OASIS, SNIA, W3C, CCF, KCSA, The Open Group, IEEE, CESI и CIF. Так что разрабатываемый документ может и выйдет с некоторым опозданием, но зато вберет в себя лучшее, что предложено в области информационной безопасности облачных вычислений».
Несмотря на то, что организация Cloud Security Alliance, участвующая в разработке документа, имеет российское подразделение, участники CSA Russian Chapter пока не знакомы с проектом стандарта ISO: «Российские участники не вовлечены в этот процесс, насколько я знаю, – сообщает Денис Безкоровайный. – Работа над этим документом, в отличие от инициатив самого альянса CSA, более закрыта и доступна только утвержденным членам комитета ISO».
Несмотря на то, что проект стандарта в текущем виде уже представляет собой проработанный и полезный документ, его публикация запланирована лишь на 2013 г, что связано с затянутостью процедур стандартизации в ISO. «Каждому члену требуется время на ознакомление и высказывание своего мнения по документу, – говорит Алексей Лукацкий. – Затем эти мнения аккумулируются и авторы вносят поправки, вновь рассылаемые всем членам ПК27, и так далее».