10 стандартов ИТ-безопасности и как их соблюдают поставщики «облака»

4 мая 2011 г.

Стандарты ИТ-безопасности - SAS 70, HIPAA, SOX и другие - столь же важны в «облаке», как и в автономных системах, работающих у заказчика. Исследовательская фирма Analysys Mason опубликовала недавно отчет, где перечислены главные стандарты в этой области и дана оценка того, в какой мере их придерживаются поставщики «облака».

Безоблачна ли «облачная» безопасность?

Вопросы безопасности всё еще остаются одним из главных препятствий на пути принятия «облака», особенно общедоступного. В прошлом году оборот рынка в этом сегменте составил 12,1 млрд. долл., а к 2015 году он более чем удвоится и достигнет 25,6 млрд. долл., указывает в своем отчете Analysys Mason.

В исследовании предпринят обзор наиболее важных стандартов ИТ-безопасности и дана оценка, насколько их придерживаются поставщики облачных сервисов. Исследование охватывало предложения таких вендоров, как Amazon, Box.net, Citrix Systems, Egnyte, Google, LogMeIn, Microsoft, Salesforce.com, Symantec и др. Вот главные выводы аналитиков по каждому из стандартов.

SAS 70

SAS 70 (Statement on Auditing Standards - Положение о стандартах аудита №70) - самый широко принятый вендорами стандарт ИТ-безопасности, как показывают результаты исследования Analysys Mason. Ему следуют примерно 67% поставщиков облачных сервисов, Он разработан Американским обществом дипломированных общественных бухгалтеров (AICPA) и признан во всем мире. SAS 70 оговаривает правила, которым должен следовать аудитор, оценивая предусмотренные по договору внутренние средства контроля обслуживающей организации, такой как хостинговый ЦОД, компания по обработке страховых требований или кредитов, либо предоставляющая аутсорсинговые услуги, которые могут повлиять на работу организации-подрядчика.

PCI DSS

Согласно результатам исследования Analysys Mason, примерно 42% поставщиков облачных сервисов соблюдают стандарты безопасности данных отрасли платежных карточек (PCI DSS, Payment Card Industry Data Security Standard). Они действуют во всем мире и касаются всех организаций, которые обрабатывают кредитные карты, а также хранят или передают информацию об их держателях. Этот стандарт был введен, чтобы дать отрасли платежных карт больше контроля за конфиденциальными данными и исключить возможность их утечки. Также, он призван гарантировать защиту потребителей от мошенничества или кражи идентификационной информации при использовании ими кредитных карт.

Закон Сарбанеса-Оксли (SOX)

Этот закон действует в США и устанавливает определенные обязательные требования к финансовой отчетности. Он был принят в ответ на крупные финансовые скандалы, чтобы защитить держателей акций и общественность от ошибок бухгалтерской отчетности и возможного мошенничества. За его соблюдением следит Комиссия по ценным бумагам и биржам (SEC). SOX оговаривает, какие записи должны храниться и в течение какого времени. Он затрагивает также ИТ-подразделения, требуя, чтобы вся деловая информация, включая электронную почту и другие электронные записи, хранилась в течение как минимум пяти лет. Несоблюдение этих требований может вести к штрафам и даже тюремному заключению.

По оценке Analysys Mason, лишь около 33% поставщиков облачных сервисов выполняют требования SOX.

ISO 27001

Согласно отчету Analysys Mason, примерно 33% поставщиков облачных сервисов придерживаются стандарта ISO 27001. Он был принят в 2005 году и формулирует требования к системе управления информационной безопасностью (ISMS). Цель данного стандарта - установить правила создания, внедрения, использования, мониторинга, проверки, сопровождения и совершенствования ISMS, которая представляет собой свод политик и процедур, включающих все физические, технические и юридические средства контроля, задействованные в процессах управления рисками, связанными с использованием информации в организациях.

Safe Harbor

Примерно одна четверть поставщиков облачных сервисов соблюдают принципы Safe Harbor. Это правила, распространяющиеся на организации США и Евросоюза, которые собирают и хранят данные своих клиентов. Они имеют целью не допустить случайного раскрытия или утечки информации. В рамках этих требований компании сертифицируются с учетом соблюдения следующих семи аспектов:

* уведомление, посредством которого все клиенты должны быть информированы о том, что их данные сохраняются и как они будут использоваться;

* выбор, т. е. клиенты имеют возможность не согласиться с тем, чтобы их данные сохранялись и передавались третьим сторонам;

* передача данных третьим сторонам, которая может осуществляться только организациям, соблюдающим соответствующие принципы защиты данных;

* защита данных, т. е. разумные меры, чтобы исключить утечку собранной информации;

* целостность данных; это означает, что собираются все данные, необходимые и достаточные для той цели, с которой они собираются;

* доступ: клиенты имеют доступ к информации о них самих, которую они могут исправить либо удалить, если она окажется неверной;

* реализация, которая требует, чтобы эти правила были должным образом внедрены на практике.

Требования NIST

Требования, установленные Национальным институтом стандартов и технологий США (NIST), изначально были предназначены для государственных органов.

Они формулируют правила внедрения средств управления информационной безопасностью. В последнее время требования NIST приняты также частным сектором. Они указывают, какие аспекты должны быть охвачены политикой ИТ-безопасности и какие меры могут помочь упрочить эту защиту, как осуществлять управление этой защищенной средой и реализовать средства управления риском.

По оценке Analysys Mason, около 25% поставщиков облачных сервисов придерживаются требований NIST.

HIPAA

Согласно оценке Analysys Mason, требования Закона о правилах передачи и ответственности за документацию о страховании здоровья в США (Health Insurance Portability and Accountability Act, HIPAA) соблюдают примерно 16% поставщиков облачных сервисов. Эти правила вводят обязательные единые процедуры обработки информации о состоянии здоровья пациентов, а также административной и финансовой информации, ее защиты, обеспечения целостности и конфиденциальности.

FISMA

Федеральный закон об управлении информационной безопасностью в США (Federal Information Security Management Act, FISMA) был принят в 2002 году и ввел процесс, позволяющий государственным органам сертифицировать и аттестовать на соответствие защиту систем управления информацией.

Сертификация и аттестация в рамках FISMA означает, что федеральный орган одобрил данные решения к использованию как соответствующие его требованиям безопасности.

Исследование Analysys Mason показало, что примерно 16% поставщиков облачных сервисов получили сертификацию FISMA.

CobIT

Эта аббревиатура расшифровывается как «Control Objectives for Information Related Technology» (Контрольные цели для технологии обработки информации). Это международный стандарт, устанавливающий требования к защите и контролю за конфиденциальными данными. Он включает набор лучших методов защиты и контроля за конфиденциальной информацией, соответствующую метрику, чтобы количественно оценить эффективность мер, обеспечивающих ее безопасность, и тесты для проверки. Этот документ содержит общую сводку, принципы управления, базовую схему, контрольные цели, инструменты реализации и правила контрольной проверки.

По оценке Analysys Mason, требования CobIT соблюдают около 8% поставщиков облачных сервисов.

Директива о защите данных

Эта Директива принята Евросоюзом и предназначена обеспечить защиту конфиденциальности всей хранимой персональной информации о гражданах ЕС.

В первую очередь, это касается обработки, использования и передачи такой информации. Эти правила аналогичны требованиям Safe Harbor в США и содержат рекомендации, охватывающие семь аспектов: уведомление, цель, согласие, защита, нераскрытие, доступ и контролируемость.

Как показало исследование Analysys Mason, требования Директивы о защите данных выполняют около 8% поставщиков облачных сервисов.

Источник: По поматериалам crn.com