Курсовая работа по дисциплине


Стандарты ИБ в сфере облачных вычислений



страница6/10
Дата15.12.2020
Размер47,1 Kb.
ТипКурсовая
1   2   3   4   5   6   7   8   9   10

Стандарты ИБ в сфере облачных вычислений


Актуальные стандарты в области информационной безопасности, были рассмотрены в докладе Дмитрия Григоровича, старшего менеджера KMPG, во время открытого заседания бизнес-клуба «Астра», где обсуждались важные задачи развития облачных вычислений в России. Условия информационной безопасности отражены в большом количестве стандартов - международных и государственных, общепромышленных и отраслевых. К ним относятся ISO 22301, ITIL, TIER, SSAE, ISAE, NIST, 152-FZ, 382-P, SOX-4, HIPAA и десятки других общепринятых различными законодательными и регулирующими органами. Кроме того, многие из этих стандартов специализируются на ограниченном сегменте информационной безопасности.

На Западе «почти неотъемлемым» для провайдеров является сертификация в соответствии с ISO 27001: 2013 для систем управления информационной безопасностью (соответствующий российский ГОСТ Р ИСО / МЭК 27001-2006 основан на версии данного стандарта от 2006 года). Только в странах ЕС ежегодно выдается более 8000 сертификатов на стандарт ISO 27001. В России, несмотря на существование ГОСТа, этот стандарт недостаточно распространен: ежегодно его приобретают несколько десятков компаний. По мнению Дмитрия Григоровича, такое положение дел можно объяснить «сфокусированностью стандарта на общих подходах к управлению ИБ, а никак не на эффективности единичных элементов управления, сомнением в применение к иным сертификатам ISO и дороговизной получения сертификата»

Иными актуальными для провайдеров стандартами ISO из категории 27000 считаются ISO 27002 на методы и средства информационной защищенности и ISO 27005 на управление рисками в сфере информационной защищенности. В первом наиболее детально рассматриваются средства управления, перечисляемые в приложении к ISO 27001. Эти стандарты (27002 и 27005) являются рекомендательными, сертификация на соответствие им не предполагается. Несмотря на это провайдер может заказать независимую оценку, для того чтобы проконтролировать, в какой мере соблюдаются предложенные рекомендации. Как указывает Дмитрий Григорович, немногие заказчики запрашивают подобную оценку взамен сертификации по 27001. Все без исключения три стандарта не являются специфичными для провайдеров. Между тем в 2014 году ISO разместила стандарт ISO 27018:2015 о защите персональных данных в облаке, а в завершении 2015 года — ISO 27017:2015 о средствах контроля информационной безопасности для облачных решений.

В ISO 27017 учитываются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название данного стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»). Невзирая на то, что его конечная редакция была выпущена только 30 ноября 2015 годы, Amazon Web Services получила сертификат ещё в октябре 2015-го. Определенные рекомендации применительно к облачным сервисам предоставляются к 37 из наиболее чем сотни средств управления безопасностью, которые установлены в ISO 27002. Они направлены не только лишь провайдерам облачных услуг, но и заказчикам, чем подчеркивается их обоюдная ответственность за безопасность сервисов.




Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   10


База данных защищена авторским правом ©psihdocs.ru 2019
обратиться к администрации

    Главная страница