ISO готовит новые стандарты безопасности облаков | Ofisp.org

ISO готовит новые стандарты безопасности облаков

28 апреля 201417:28

В ISO разрабатываются два стандарта, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления.

11 апреля подкомитет ISO/IEC JTC 1/SC 27 провел в Гонконге свою очередную ежегодную Международную конференцию по стандартам информационной безопасности.

Подкомитет SC 27 отвечает за стандарты информационной безопасности, в том числе признанные во всем мире стандарты управления информационной безопасностью ISO 27001 и 27002.

В роли организатора конференции выступило Управление директора информационной службы правительства Гонконга. Мероприятие стало частью серии совещаний и пленарных заседаний подкомитета SC 27, прошедших с 7 по 15 апреля, в которых приняли участие более 300 экспертов по информационной безопасности из 30 с лишним стран.

Со вступительным докладом на конференции выступил Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1, известный в качестве основателя семейства стандартов ISO 27000. Нынешние лидеры цифрового мира — Большие Данные, облачные вычисления и Интернет вещей — подвержены угрозам нарушения безопасности и приватности, напомнил он. По убеждению Хэмфриса, два самых больших риска сегодня — это отсутствие руководства из-за неадекватных процессов аудита и управления рисками; отсутствие управления, приводящее к росту соотношения инсайдерских и аутсайдерских рисков (сейчас оно составляет 6:4).

«Для решения подобных проблем как раз и создан стандарт управления ISO 27001», — заявил Хэмфрис. По его мнению, любые недостатки в процессах управления и руководства в организациях можно исправить путем внедрения ISO 27001.

Новые облачные стандарты

Как сообщил Хэмфрис, в SC 27 сейчас разрабатывают два стандарта, связанные с облачными вычислениями, ISO 27017 и 27018, «один из них касается безопасности, другой — информации, позволяющей установить личность».

Первый планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями.

Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001. «Специально сертифицировать провайдеров облачных сервисов на безопасность не планируется», — подчеркивается в заявлении SC 27 на сайте ISO.

Второй новый стандарт, ISO 27018, будет служить «сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации». Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. «Данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance», — заявляют в SC 27.

После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.

Возьмет ли правительство Гонконга на вооружение два новых облачных стандарта, когда ISO их опубликует?

«Вероятность того, что мы воспользуемся этими двумя стандартами, высокая, — говорит Дэниел Лей, ИТ-директор правительства. — Одна из причин, по которой мы предложили ISO организовать в этом году конференцию в Гонконге, — возможность получить из первых рук знания об ISO 27017. Что касается облачных вычислений, то сегодня есть масса оптимальных методов, разработанных различными организациями, в том числе Cloud Security Alliance и другими. Внедряя облачные вычисления, мы учитываем весь международный опыт в этой области».

Похожие материалы

14.04.2014
Корпорация Oracle провела 8 апреля в Москве форум Oracle CloudWorld. Цель мероприятия — представить имеющимся и потенциальным заказчикам собственные облачные продукты, услуги и технологии, которые, как считают в Oracle, могут заметно повысить эффективность бизнеса предприятий, а также трансформировать их ИТ-инфраструктуру. «Мы можем упростить использование ИТ и готовы снять с ваших плеч много сопутствующих проблем», — заявил на открытии форума Альфонсо Ди Ианни, старший вице-президент Oracle в странах Восточной, Центральной Европы, Ближнего Востока и Африки.
26.05.2014
Молодая калифорнийская компания Energous представила в Сан-Франциско технологию WattUp, которая позволяет одновременно заряжать без использования проводов смартфоны, планшеты и другие небольшие гаджеты, расположенные в пределах одной комнаты. Основная идея основателя Energous Стивена Риззона (Stephen Rizzone) заключается в том, что наша жизнь была бы гораздо комфортнее, если бы наши устройства не были столь зависимы от проводов и розеток.
13.02.2015
В этой статье мы рассмотрим каким образом можно управлять с компьютера вашим телефоном. Итак, для того, чтобы организовать данную схему, нам понадобится настроенная локальная сеть WiFi через роутер. 
24.10.2014
Выбор роутера для домашнего Wi-Fi - это процесс, к которому многие подходят необдуманно. Перед тем, как выбирать роутер, необходимо для себя определить задачи и цели, то есть что вы хотите получить от устройства. Одно дело, если вы выбираете устройство для интернет-серфинга, а другое - когда хотите выжать из устройства максимально много.
18.09.2015
Присутствие вирусов на сайте не обязательно говорит о его взломе, однако, важно избегать любых вредоносных элементов как в коде веб-страницы, так и на компьютерах разработчиков веб-страниц. Просканировать каждый компьютер имеющейся антивирусной программой не составит особых проблем. Но сканирование веб-страницы – процесс немного посложнее, ведь сайт находится на сервере хостинг провайдера.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв