В ISO (совместно с ITU-T, ISACA, NIST и ENISA) сейчас начата работа по созданию стандарта по безопасности облаков. Рабочее название - "Information technology Security techniques Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002". Несмотря на большой объем предварительной версии документа - это даже не проект, а альфа-версия проекта документа, выпуск которого планируется на 2013-й год.
Недурный документ получается - описано очень много важных тем:
Облачные модели и место в них облачных пользователей и провайдеровМесто облаков в политике безопасностиОрганизация ИБ - с внутренней и внешней точки зрения. Интересный раздел - описывает особенности разделения ответственности между участниками процесса, содержание соглашения о конфиденциальности и соглашений с третьими лицами, координация усилий и взаимодействие с внешними группами и организациями ИБ.Управление активами. Еще один важный вопрос, который возникает в ситуациях, когда активами владеют разные компании и лица.Управление персоналом. Раздел описывающий действия до и в процессе найма на работу, а также после завершение трудового договора.Физическая безопасность.Операционное управление и управление коммуникациями. Сюда попали вещи, связанные с борьбой с вредоносным кодом, мониторингом и аудитом, управлением сетевой безопасностью, резервированием, управлением пропускной способностью и изменениями, управлением носителями информации и вопросы обмена информацией с третьими лицами.Контроль доступа, включая раздел, посвященный доступу с мобильных устройств и надомных работников.Управление покупкой, разработкой и поддержкой систем.Управление инцидентами.Управление непрерывностью бизнеса.Управление соответствие регулятивным требованиям. Ждем этот замечательный документ.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.