ISO готовит новые стандарты безопасности облаков | Ofisp.org

ISO готовит новые стандарты безопасности облаков

28 апреля 201418:28

В ISO разрабатываются два стандарта, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления.

11 апреля подкомитет ISO/IEC JTC 1/SC 27 провел в Гонконге свою очередную ежегодную Международную конференцию по стандартам информационной безопасности.

Подкомитет SC 27 отвечает за стандарты информационной безопасности, в том числе признанные во всем мире стандарты управления информационной безопасностью ISO 27001 и 27002.

В роли организатора конференции выступило Управление директора информационной службы правительства Гонконга. Мероприятие стало частью серии совещаний и пленарных заседаний подкомитета SC 27, прошедших с 7 по 15 апреля, в которых приняли участие более 300 экспертов по информационной безопасности из 30 с лишним стран.

Со вступительным докладом на конференции выступил Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1, известный в качестве основателя семейства стандартов ISO 27000. Нынешние лидеры цифрового мира — Большие Данные, облачные вычисления и Интернет вещей — подвержены угрозам нарушения безопасности и приватности, напомнил он. По убеждению Хэмфриса, два самых больших риска сегодня — это отсутствие руководства из-за неадекватных процессов аудита и управления рисками; отсутствие управления, приводящее к росту соотношения инсайдерских и аутсайдерских рисков (сейчас оно составляет 6:4).

«Для решения подобных проблем как раз и создан стандарт управления ISO 27001», — заявил Хэмфрис. По его мнению, любые недостатки в процессах управления и руководства в организациях можно исправить путем внедрения ISO 27001.

Новые облачные стандарты

Как сообщил Хэмфрис, в SC 27 сейчас разрабатывают два стандарта, связанные с облачными вычислениями, ISO 27017 и 27018, «один из них касается безопасности, другой — информации, позволяющей установить личность».

Первый планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями.

Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001. «Специально сертифицировать провайдеров облачных сервисов на безопасность не планируется», — подчеркивается в заявлении SC 27 на сайте ISO.

Второй новый стандарт, ISO 27018, будет служить «сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации». Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. «Данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance», — заявляют в SC 27.

После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.

Возьмет ли правительство Гонконга на вооружение два новых облачных стандарта, когда ISO их опубликует?

«Вероятность того, что мы воспользуемся этими двумя стандартами, высокая, — говорит Дэниел Лей, ИТ-директор правительства. — Одна из причин, по которой мы предложили ISO организовать в этом году конференцию в Гонконге, — возможность получить из первых рук знания об ISO 27017. Что касается облачных вычислений, то сегодня есть масса оптимальных методов, разработанных различными организациями, в том числе Cloud Security Alliance и другими. Внедряя облачные вычисления, мы учитываем весь международный опыт в этой области».

Похожие материалы

12.02.2014
Сайты компании-владельца сети казино Las Vegas Sands Corp. подверглись атаке хакеров, сообщает Associated Press. Временно недоступны во вторник, 11 февраля, оказались как сайты казино, принадлежащих Las Vegas Sands, так и корпоративный сайт компании.
30.04.2014
Компания РОСА представила третье обновление платформы ROSA Desktop Fresh, включающее в себя последние исправления ошибок, улучшения, дополнения и обновления ПО. Для свободной загрузки подготовлена DVD-сборка, размером 1.6 Гб, оформленная в вариантах для платформ i586 и x86_64. В настоящее время доступна только сборка на базе KDE, но в ближайшее время также планируется подготовить версии дистрибутива с окружениями GNOME и LXDE. Пользователи ROSA Desktop Fresh R2 смогут обновить свои системы через штатную систему установки обновлений.
06.05.2014
Apple, Microsoft, Facebook и Google будут заранее предупреждать пользователей о запросах на доступ к их учетным записям, которые корпорации получают от Агентства национальной безопасности (АНБ) и других американских спецслужб, сообщает Washington Post. Google на прошлой неделе внесла соответствующие поправки в политику конфиденциальности. Представитель Apple сообщил, что они планируют внести аналогичные изменения в свою политику до конца мая.
05.11.2014
В наше время почти все пользуются интернетом. Это порождает спрос на услуги интернет-провайдеров. Данный вид бизнеса является одним из наиболее перспективных и прибыльных. Однако, не каждый может заняться им из-за того, что оборудование для интернет-провайдинга стоит недёшево. Вам придётся затратить на него около 90 000 долларов. Вам понадобятся различные маршрутизаторы, сетевые панели, кабели, регистрационный сервер. Также нужны будут стойки для размещения оборудования. Вы должны будет обеспечить системе работу даже в условиях перерыва в подаче энергии.
08.06.2013
Большинство россиян, имеющих доступ к мобильному Интернету, пользуется им ежедневно или несколько раз в неделю. Среди владельцев мобильных телефонов таких около 67%, и 85% – среди владельцев смартфонов и планшетных компьютеров, говорится в исследовании «Мобильная Россия», проведенного компаниями NewMR и OMI. Во многих случаях мобильный Интернет заменяет стационарный доступ. Причем доля времени, проведенного в мобильном Интернете, зависит от вида мобильных устройств, используемых людьми, а также от количества этих устройств. Для владельцев обычных «мобильников» основным средством доступа в Сеть остаются стационарные компьютеры или ноутбуки – в мобильном Интернете они проводят всего 24% времени.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв