ISO готовит новые стандарты безопасности облаков | Ofisp.org

ISO готовит новые стандарты безопасности облаков

28 апреля 201417:28

В ISO разрабатываются два стандарта, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления.

11 апреля подкомитет ISO/IEC JTC 1/SC 27 провел в Гонконге свою очередную ежегодную Международную конференцию по стандартам информационной безопасности.

Подкомитет SC 27 отвечает за стандарты информационной безопасности, в том числе признанные во всем мире стандарты управления информационной безопасностью ISO 27001 и 27002.

В роли организатора конференции выступило Управление директора информационной службы правительства Гонконга. Мероприятие стало частью серии совещаний и пленарных заседаний подкомитета SC 27, прошедших с 7 по 15 апреля, в которых приняли участие более 300 экспертов по информационной безопасности из 30 с лишним стран.

Со вступительным докладом на конференции выступил Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1, известный в качестве основателя семейства стандартов ISO 27000. Нынешние лидеры цифрового мира — Большие Данные, облачные вычисления и Интернет вещей — подвержены угрозам нарушения безопасности и приватности, напомнил он. По убеждению Хэмфриса, два самых больших риска сегодня — это отсутствие руководства из-за неадекватных процессов аудита и управления рисками; отсутствие управления, приводящее к росту соотношения инсайдерских и аутсайдерских рисков (сейчас оно составляет 6:4).

«Для решения подобных проблем как раз и создан стандарт управления ISO 27001», — заявил Хэмфрис. По его мнению, любые недостатки в процессах управления и руководства в организациях можно исправить путем внедрения ISO 27001.

Новые облачные стандарты

Как сообщил Хэмфрис, в SC 27 сейчас разрабатывают два стандарта, связанные с облачными вычислениями, ISO 27017 и 27018, «один из них касается безопасности, другой — информации, позволяющей установить личность».

Первый планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями.

Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001. «Специально сертифицировать провайдеров облачных сервисов на безопасность не планируется», — подчеркивается в заявлении SC 27 на сайте ISO.

Второй новый стандарт, ISO 27018, будет служить «сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации». Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. «Данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance», — заявляют в SC 27.

После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.

Возьмет ли правительство Гонконга на вооружение два новых облачных стандарта, когда ISO их опубликует?

«Вероятность того, что мы воспользуемся этими двумя стандартами, высокая, — говорит Дэниел Лей, ИТ-директор правительства. — Одна из причин, по которой мы предложили ISO организовать в этом году конференцию в Гонконге, — возможность получить из первых рук знания об ISO 27017. Что касается облачных вычислений, то сегодня есть масса оптимальных методов, разработанных различными организациями, в том числе Cloud Security Alliance и другими. Внедряя облачные вычисления, мы учитываем весь международный опыт в этой области».

Похожие материалы

08.05.2014
Разработчик из компании Intel представил для обсуждения и рецензирования в списке рассылки разработчиков ядра Linux упрощённую реализацию сетевого стека, рассчитанную на использование на маломощных встраиваемых системах. Разработка выполнена в процессе экспериментов по запуску Linux на системах с небольшим объёмом оперативной и постоянной памяти, таких как платы на базе процессоров Intel Quark, в которых может поставляться 2-4 Мб памяти.
28.04.2014
Китайская компания Huawei более всего известна своим «тяжелым» телекоммуникационным оборудованием и противостоянием в этом сегменте с его общепризнанным лидером — Cisco Systems. Однако, как отметил Сэм Цзян, заместитель директора Huawei Consumer Business Group российского офиса компании, и на рынке пользовательских устройств дела у компании идут неплохо: из 39,6 млрд долл., заработанных в 2013 году (из них 2 млрд — в России), 9 млрд получены в потребительском сегменте.
10.12.2012
Смартфоны на базе операционной системы Windows Phone впервые обогнали аппараты на Blackberry в мировых продажах. Об этом сообщила в своем отчете аналитическая компания IDC, передает Business Wire. По итогам первого квартала 2013 года было продано 7 миллионов устройств на базе Windows Phone, что составило 3,2% рынка смартфонов. В то же время телефонов Blackberry было продано 6,3 миллиона. На них пришлось 2,9% рынка.
16.11.2013
ІТ-специалисты время от времени шутят, говоря, что сеть провайдера – это сердце, которое, чтобы жил механизм, должно работать, как и в живом организме, 24 часа в сутки. Обеспечивают функционирование провайдера по такому графику профессионалы высшего класса, уделяя обслуживанию операционной линии, очень много времени и усилий.
28.03.2014
Отношение бизнес-сообщества к Большим Данным постепенно меняется, и это хорошо заметно на ежегодных конференциях по тематике Big Data, организуемых издательством «Открытые системы». Если участников первого форума волновал вопрос «Что такое Большие Данные?», то через год им хотелось знать, как на практике реализовать проект. Сейчас же, по мнению участников форума «Big Data 2014: Взгляните на данные как на большие», прошедшего 20 марта, компании все больше интересуются появившимся опытом, чтобы избежать собственных ошибок.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв