Источник: iso.org |
В ISO разрабатываются стандарты, направленные на то, чтобы свести к минимуму «два самых серьезных риска, связанных с облачными вычислениями»: отсутствие руководства (governance) и отсутствие управления. Эдвард Хэмфрис, председатель рабочей группы SC 27 WG1 и основатель семейства стандартов ISO 27000, поясняет, что один из создаваемых стандартов касается безопасности, другой — информации, позволяющей установить личность.
Первый, ISO 27017, планируется опубликовать в конце 2015 года — он будет содержать рекомендации по обеспечению безопасности для облаков. В частности, в нем будут описываться специфические средства контроля для облачных сред, предназначенные для применения в дополнение к изложенным в стандарте ISO 27002. Новая спецификация будет опираться на различные положения других стандартов семейства ISO 27000, в том числе: ISO 27018, касающегося приватности в облачных вычислениях; ISO 27031, относящегося к непрерывности бизнеса; ISO 27036-4, регулирующего процессы управления взаимоотношениями. Что касается сертификации облаков, то в SC 27 не планируют разрабатывать отдельный стандарт на системы управления информационной безопасностью для облачных сред, поскольку для этой цели уже есть ISO/IEC 27001.
Второй новый стандарт, ISO 27018, будет служить сводом правил по защите персональной информации в общедоступных облаках, играющих роль обработчиков такой информации. Он станет дополнением к ISO 27017, который будет охватывать более широкие аспекты информационной безопасности. Как заявляют в SC 27, данный проект получил широкую поддержку со стороны организаций по стандартизации разных стран, а также Cloud Security Alliance. После облачных стандартов в SC 27 приступят к работе над стандартами безопасности, касающимися Интернета вещей.