Я всегда считал, что основные подходы и механизмы обеспечения ИБ в "облаках" не сильно отличаются от классической защиты информации. По сути, и "железки", и "процессы", и "персонал" будут в общем-то такими же. Облака надо рассматривать с позиции "передачи своей информации 3м лицам", а тут уже поднимается важный вопрос ДОВЕРИЯ.
Недавно услышал и мне понравилась следующая метафора: "Когда мы садимся в самолет, мы принимаем возможные риски его крушения (как бы это страшно не звучало), мы доверяем и пилоту, и авиакомпании, и техникам которые обслуживают данный самолет. Причем доверяем самое ценно, что у нас есть - свою жизнь..."
Ну вот, пока сообщество специалистов по безопасности думает над вопросом "как же так спецефично нужно защищать "облака"", ведущие компании (
BSI и
CSA) уже анонсируют свой подход: сертификация провайдеров облачных услуг ("Open Certification Framework For Cloud Providers"). Идея проста, есть 3 уровня (самооценка; независимая оценка, использующая идеи ISO 27001; и некая "идеальная" сертификация, которая появится позднее):
-
The initial level is CSA STAR Self Assessment: Cloud providers can submit reports to the CSA STAR Registry to indicate their compliance with CSA best practices. This is available immediately.
-
The second level, CSA STAR CERTIFICATION, is a third-party independent assessment: this certification leverages the requirements of the ISO/IEC 27001:2005 management systems standard together with the CSA Cloud Control Matrix (CCM). These assessments will be conducted by approved certification bodies only. Availability is expected in H1 2013.
-
The STAR Certification will be enhanced in the future by continuos monitoring-based certification: this third level is currently under development.
Ссылки для общего изучения:
новость BSI,
описание CSA,
OCF Vision Statement
Если полезем в глубь подхода, то увидим, что доменов и контролей много, и, как это водится у BSI, ими не очень-то удобно пользоваться. Веса и сложность доменов не сбалансированы (полный перечень привожу в "Дальше"), "что", "как" и "зачем" делать с первого взгляда не понятно. Из приятных моментов отмечу лишь наличие ссылок (маппинг) на основные ИБ стандарты: COBIT (правда 4.1), ISO 27001, NIST SP 800-53, PCI DSS и пр.
Ссылки для подробного изучения (описание и опросники):
Вот как-то так. А как Вам идея сертификации?
P.S. Общий перечень доменов и контролей: