2.11.11

Аттестация облачных провайдеров

В пятницу я прошелся по перспективам облаков в России и о том, что готовится у нас (базируясь на подходах ФСТЭК и ФСБ) нормативная база по требованиям к облачным провайдерам. В целом, идея выработки требований к облачным провайдерам достаточно здравая и у наших предприятий (особенно из госсектора) должны быть четкие критерии выбора свои облачных партнеров. Вопрос только в реализации...

К счастью, уже опубликовано немало рекомендаций о том, какие требования предъявляются к облачным провайдерам. Например, опросник ENISA Cloud Computing Information Assurance Framework или Security Recommendations for Cloud Computing Providers от BSI или конечно же The Cloud Security Alliance Consensus Assessments Initiative. Кстати, Cisco один из разработчиков документа CSA и наш вклад базируется на собственном опыте работе с облаками, который в свое время был сформулирован в наших рекомендациях всем предприятиям.

И вот недавно я наткнулся на аналогичный документ от NIST - Security Assessment Provider Requirements and Customer Responsibilities (NISTIR 7328). Несмотря на то, что этот документ выпущен в 2007-м году, он до сих пор имеет статус проекта. А связано это со сложностью данной темы. У нас же на разработку такой нормативки по объявленному конкурсу выделено всего 5 (пять) дней! Хотелось бы, чтобы авторы проектируемого документа все-таки обратились к международному опыту в этой сфере и не изобретали колесо; сертифицированное и аттестованное...

3 коммент.:

doom комментирует...

А если еще посмотреть на разработку документов Common Criteria...
то можно просто диву даваться - как это мы живем по 20 лет без каких-либо изменений в сфере аттестации и сертификации :)

Евгений комментирует...

Коллеги,вы не понимаете. Наша государственная система защиты информации - это такой проект "Музей информационной безопасности юрского периода (20 век)".
С переходом хранителей экспонатов из одного зала в другой (сотрудники ФСБ и ФСТЭК, после службы устраивающиеся в соответствующие фирмы). Не трогайте ее, потомки будут нам благодарны за блестяющую сохранность музейных редкостей в виде нормативных документов. :)

P.S. Я вообще не понимаю, как можно всерьез сейчас требовать внедрение такого количества технических мер, если начиная с 90-х годов основной канал утечки информации в нашей стране, ИМХО конечно, это - подкуп допущенных или даже доверенных лиц, осуществляемый легко и просто.

Если не подкуп, так шантаж, благо все в нашей стране ознакомлены с возможностями криминала благодаря многочисленным сериалам, фильмам, новостям.

doom комментирует...

Я бы это так сказал:
"Я вообще не понимаю, как можно всерьез сейчас требовать внедрение технических мер"

Даже если убрать требования по сертификации и аттестации, мигающий лампочками очередной мега-девайс в серверной сам по себе информацию защищать не начинает.