ISO готовит специальный стандарт, посвященный безопасности облачных вычислений. Основная направленность нового стандарта – решение организационных вопросов, связанных с облаками. Однако в силу сложности согласовательных процедур ISO окончательная версия документа должна выйти лишь в 2013 г. ISO разработала предварительную внутреннюю версию специального стандарта, посвященного вопросам облачной безопасности, сообщает в своем блоге Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Объем проекта документа – 92 страниц. Алексей Лукацкий смог ознакомиться с документом, поскольку Cisco участвует в подкомитете по информационной безопасности технического комитета ТК22 при Ростехрегулировании и получает доступ ко всем проектам стандартов, готовящимся в ISO. Среди тем, раскрытых в черновом проекте стандарта, фигурируют облачные модели и место в них облачных пользователей и провайдеров; место облаков в политике безопасности; организация информационной безопасности; управление активами; управление персоналом; физическая безопасность; операционное управление и управление коммуникациями; контроль доступа; управление закупками, разработкой и поддержкой систем; управление инцидентами; управление непрерывностью бизнеса и управление соблюдением требований регуляторов. «Ценность документа, на мой взгляд, в том, что в его подготовку вовлечены не только правительственные организации (NIST, ENISA), но и представители экспертных сообществ и ассоциаций, таких как ISACA и CSA, – заявил CNews Денис Безкоровайный, технический консультант Trend Micro по России и СНГ. – Причем, в одном документе собраны рекомендации как для провайдеров облачных услуг, так и для их потребителей – организаций-клиентов». «Основная задача данного документа – подробно описать лучшие практики, связанные с использованием облачных вычислений с точки зрения информационной безопасности, – пояснил CNews Алексей Лукацкий. – При этом стандарт не концентрируется только на технических аспектах, а скорее на организационных аспектах, которые никак нельзя забывать при переходе на облачные вычисления. Это и разделение прав и ответственности, и подписание соглашений с третьими лицами, и управление активами, находящимися в собственности разных участников «облачного» процесса, и вопросы управления персоналом и так далее».
Источник