ISO готовит новые стандарты безопасности облаков | Ofisp.org

ISO готовит новые стандарты безопасности облаков

28 апреля 201418:28

В ISO разрабатываются два стандарта, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления.

11 апреля подкомитет ISO/IEC JTC 1/SC 27 провел в Гонконге свою очередную ежегодную Международную конференцию по стандартам информационной безопасности.

Подкомитет SC 27 отвечает за стандарты информационной безопасности, в том числе признанные во всем мире стандарты управления информационной безопасностью ISO 27001 и 27002.

В роли организатора конференции выступило Управление директора информационной службы правительства Гонконга. Мероприятие стало частью серии совещаний и пленарных заседаний подкомитета SC 27, прошедших с 7 по 15 апреля, в которых приняли участие более 300 экспертов по информационной безопасности из 30 с лишним стран.

Со вступительным докладом на конференции выступил Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1, известный в качестве основателя семейства стандартов ISO 27000. Нынешние лидеры цифрового мира — Большие Данные, облачные вычисления и Интернет вещей — подвержены угрозам нарушения безопасности и приватности, напомнил он. По убеждению Хэмфриса, два самых больших риска сегодня — это отсутствие руководства из-за неадекватных процессов аудита и управления рисками; отсутствие управления, приводящее к росту соотношения инсайдерских и аутсайдерских рисков (сейчас оно составляет 6:4).

«Для решения подобных проблем как раз и создан стандарт управления ISO 27001», — заявил Хэмфрис. По его мнению, любые недостатки в процессах управления и руководства в организациях можно исправить путем внедрения ISO 27001.

Новые облачные стандарты

Как сообщил Хэмфрис, в SC 27 сейчас разрабатывают два стандарта, связанные с облачными вычислениями, ISO 27017 и 27018, «один из них касается безопасности, другой — информации, позволяющей установить личность».

Первый планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями.

Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001. «Специально сертифицировать провайдеров облачных сервисов на безопасность не планируется», — подчеркивается в заявлении SC 27 на сайте ISO.

Второй новый стандарт, ISO 27018, будет служить «сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации». Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. «Данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance», — заявляют в SC 27.

После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.

Возьмет ли правительство Гонконга на вооружение два новых облачных стандарта, когда ISO их опубликует?

«Вероятность того, что мы воспользуемся этими двумя стандартами, высокая, — говорит Дэниел Лей, ИТ-директор правительства. — Одна из причин, по которой мы предложили ISO организовать в этом году конференцию в Гонконге, — возможность получить из первых рук знания об ISO 27017. Что касается облачных вычислений, то сегодня есть масса оптимальных методов, разработанных различными организациями, в том числе Cloud Security Alliance и другими. Внедряя облачные вычисления, мы учитываем весь международный опыт в этой области».

Похожие материалы

30.11.2012
Член думского комитета по информационной политике, информационным технологиям и связи Роберт Шлегель сообщил о том, что в пятницу, 17 мая, в Госдуме был создан профильный подкомитет по вопросам интернета и развития электронной демократии. По словам Шлегеля, подкомитет будет заниматься вопросами, связанными с Интернетом и развитием электронной демократии. «Вопросов достаточно много, и они носят достаточно специфический характер на стыке различных областей. Комитет у нас затрагивает очень большое количество различных тем, я занимаюсь тематикой, связанной с Интернетом, и посчитал возможным вынести это в отдельный подкомитет. Так было и в прошлом созыве», – заявил член комитета.
21.04.2016
Однозначно стоит и вот почему.  Аналоговое телевидение, которое было привычным и единственным в недалеком прошлом, во многом уступает цифровому. И первое место здесь занимает качество: качество звука и изображения. Цифровая природа передачи сигнала дает возможность устранить помехи, ведь кодировка способна передать на расстояние сигнал без искажения. Именно благодаря чистой картинке и звуку, а также устойчивости сигнала пользователи предпочитают цифровое ТВ.
26.04.2013
Эксперты антивирусной лаборатории ESET обнаружили спам, использующий трагедию в Бостоне для распространения вредоносной программы Win32/Kelihos. В фишинговых письмах, рассылаемых злоумышленниками, содержится приглашение просмотреть видео, на котором запечатлен взрыв во время марафона в Бостоне. Перейдя по ссылке в данном письме, пользователь действительно попадает на страницу с видео, однако на той же странице располагается и вредоносный элемент, перенаправляющий на набор эксплойтов Redkit. При помощи этого набора на компьютер пользователя устанавливается вредоносная программа, детектируемая как Win32/Kelihos. Такой тип атаки получил название drive-by installation, или «скрытая установка».
12.08.2013
Размещенная 4 июля на сайте «Российская общественная инициатива» (РОИ) петиция с требованием отменить антипиратский закон получила поддержку 100 тысяч человек. Это количество подписей необходимо для рассмотрения инициативы на федеральном уровне.
26.11.2013
Более полумиллиона пользователей Skype по всему миру пострадали в результате вирусной атаки на серверы этой системы головой связи. Такую информацию обнародовала антивирусная компания ESET. Ранее сотрудники ESET зафиксировали масштабную вирусную атаку в таких мессенджерах, как Skype и Gtalk. Пользователям предлагалось перейти по предложенной ссылке и посмотреть фотографии. Это автоматически приводило к переходу на ссылку с «зараженным» программным обеспечением. Более полумиллиона пользователей стали жертвами вируса за первые двое суток его распространения в Сети.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв