ISO готовит новые стандарты безопасности облаков | Ofisp.org

ISO готовит новые стандарты безопасности облаков

28 апреля 201418:28

В ISO разрабатываются два стандарта, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления.

11 апреля подкомитет ISO/IEC JTC 1/SC 27 провел в Гонконге свою очередную ежегодную Международную конференцию по стандартам информационной безопасности.

Подкомитет SC 27 отвечает за стандарты информационной безопасности, в том числе признанные во всем мире стандарты управления информационной безопасностью ISO 27001 и 27002.

В роли организатора конференции выступило Управление директора информационной службы правительства Гонконга. Мероприятие стало частью серии совещаний и пленарных заседаний подкомитета SC 27, прошедших с 7 по 15 апреля, в которых приняли участие более 300 экспертов по информационной безопасности из 30 с лишним стран.

Со вступительным докладом на конференции выступил Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1, известный в качестве основателя семейства стандартов ISO 27000. Нынешние лидеры цифрового мира — Большие Данные, облачные вычисления и Интернет вещей — подвержены угрозам нарушения безопасности и приватности, напомнил он. По убеждению Хэмфриса, два самых больших риска сегодня — это отсутствие руководства из-за неадекватных процессов аудита и управления рисками; отсутствие управления, приводящее к росту соотношения инсайдерских и аутсайдерских рисков (сейчас оно составляет 6:4).

«Для решения подобных проблем как раз и создан стандарт управления ISO 27001», — заявил Хэмфрис. По его мнению, любые недостатки в процессах управления и руководства в организациях можно исправить путем внедрения ISO 27001.

Новые облачные стандарты

Как сообщил Хэмфрис, в SC 27 сейчас разрабатывают два стандарта, связанные с облачными вычислениями, ISO 27017 и 27018, «один из них касается безопасности, другой — информации, позволяющей установить личность».

Первый планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями.

Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001. «Специально сертифицировать провайдеров облачных сервисов на безопасность не планируется», — подчеркивается в заявлении SC 27 на сайте ISO.

Второй новый стандарт, ISO 27018, будет служить «сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации». Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. «Данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance», — заявляют в SC 27.

После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.

Возьмет ли правительство Гонконга на вооружение два новых облачных стандарта, когда ISO их опубликует?

«Вероятность того, что мы воспользуемся этими двумя стандартами, высокая, — говорит Дэниел Лей, ИТ-директор правительства. — Одна из причин, по которой мы предложили ISO организовать в этом году конференцию в Гонконге, — возможность получить из первых рук знания об ISO 27017. Что касается облачных вычислений, то сегодня есть масса оптимальных методов, разработанных различными организациями, в том числе Cloud Security Alliance и другими. Внедряя облачные вычисления, мы учитываем весь международный опыт в этой области».

Похожие материалы

09.07.2014
Большинство провайдеров, не имеющих достаточного опыта и еще только делающих первые шаги в данной сфере деятельности, сталкиваются с проблемой правильного и эффективного выбора базового оборудования. Мнений на этот счет много.
20.01.2018
Выгодно играть там, где можно потратить поменьше, а выиграть побольше. Считается, что лицензированные Вулкан автоматы на деньги являются самыми выгодными. И даже не потому, что они известны самыми высокими процентами. Каждый игрок может выбрать для себя один из доступных режимов игры:Платная игра,Демо-версия. Практически каждый автомат снабжен двумя версиями игры, и в праве игрока выбирать наиболее подходящую версию. 
13.11.2016
Новые устройства всегда работают быстрее тех, которые уже находились в эксплуатации. Наверное, каждый замечал, что после пару месяцев работы новый ноутбук уже перестал «летать», а то и совершенно неожиданно затормозил. Не надо, сломя голову, бежать покупать новый. Причина замедленной работы устройства может быть в простом засорении жесткого диска.  Но мы детальнее рассмотрим причины, а также опишем способы, как все это исправить. И как сделать так, чтобы ноутбук работал по-прежнему быстро.
01.11.2016
Сегодня в Интернете есть все. Однако, насчет игровых автоматов это утверждение не всегда оправдывается. Игры есть, но нужно искать действительно интересные подборки и коллекции. 
03.12.2012
Тами Реллер (Tami Reller), финансовый директор Microsoft и одна из преемниц бывшего вице-президента Стивена Синофски, сделала официальное заявление на конференции компании JP Morgan, посвященной СМИ и телеком-отрасли. Это заявление касается официального названия новой версии Windows, до сих пор известной под кодовым именем Windows Blue. Теперь новая версия будет официально носить имя Windows 8.1. Для владельцев лицензии на Windows 8 обновление будет бесплатным.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв