Основа безопасности облаков - ДОВЕРИЕ...

Я всегда считал, что основные подходы и механизмы обеспечения ИБ в "облаках" не сильно отличаются от классической защиты информации. По сути, и "железки", и "процессы", и "персонал" будут в общем-то такими же. Облака надо рассматривать с позиции "передачи своей информации 3м лицам", а тут уже поднимается важный вопрос ДОВЕРИЯ.
Недавно услышал и мне понравилась следующая метафора: "Когда мы садимся в самолет, мы принимаем возможные риски его крушения (как бы это страшно не звучало), мы доверяем и пилоту, и авиакомпании, и техникам которые обслуживают данный самолет. Причем доверяем самое ценно, что у нас есть - свою жизнь..."

Ну вот, пока сообщество специалистов по безопасности думает над вопросом "как же так спецефично нужно защищать "облака"", ведущие компании (BSI и CSA) уже анонсируют свой подход: сертификация провайдеров облачных услуг ("Open Certification Framework For Cloud Providers"). Идея проста, есть 3 уровня (самооценка; независимая оценка, использующая идеи ISO 27001; и некая "идеальная" сертификация, которая появится позднее):

1. The initial level is CSA STAR Self Assessment: Cloud providers can submit reports to the CSA STAR Registry to indicate their compliance with CSA best practices. This is available immediately.
2. The second level, CSA STAR CERTIFICATION, is a third-party independent assessment: this certification leverages the requirements of the ISO/IEC 27001:2005 management systems standard together with the CSA Cloud Control Matrix (CCM). These assessments will be conducted by approved certification bodies only.  Availability is expected in H1 2013.
3. The STAR Certification will be enhanced in the future by continuos monitoring-based certification: this third level is currently under development. 

Ссылки для общего изучения: новость BSI, описание CSA, OCF Vision Statement

Если полезем в глубь подхода, то увидим, что доменов и контролей много, и, как это водится у BSI, ими не очень-то удобно пользоваться. Веса и сложность доменов не сбалансированы (полный перечень привожу в "Дальше"), "что", "как" и "зачем" делать с первого взгляда не понятно. Из приятных моментов отмечу лишь наличие ссылок (маппинг) на основные ИБ стандарты: COBIT (правда 4.1), ISO 27001, NIST SP 800-53, PCI DSS и пр.

Ссылки для подробного изучения (описание и опросники):

• The Consensus Assessments Initiative Questionnaire
• The Cloud Controls Matrix

P.S. Общий перечень доменов и контролей: