Долго-ли коротко, а вслед за известным анализом рисков безопасности "облаков", ENISA выпустила не только методологию аудита соответствия но и методологию мониторинга выполнения требований ИБ "облачными" провайдерами на основе контрактов с ними.
Вообще-то, и в приснопамятном анализе рисков и в методологии безопасности "облаков" от альянса безопасности "облачных" сред управление безопасностью "облаков" посредством договорных обязательств является центральным вопросом. Собственно, большая часть безопасности в "облаках" регулируется как раз договорами. Так что данная методология очень полезна, и более того - с успехом может быть адаптирована и для договоров аутсорсинга. В конце концов в аутсорсинге мы можем не передавать данные, но скорее всего передадим привилегии и соединим наши инфраструктуры, т.е. наш уровень безопасности должен быть схожим.
Собственно в методологии описаны как классические для любых руководств по ИБ вопросы (реагирование на инциденты, управление журналами и форензика) так и довольно необычные (для классических руководств по ИБ, не для понимания ENISA ИБ) - например, доступность сервиса в разрезе реагирования на запросы обслуживания (service requests), адекватность охвата сервиса (например, сервис может быть доступен только из одного географического региона), за которые обычно все таки отвечает служба ИТ.
Так же есть и специфичная информация - как будут доставляться отчеты, какова будет методология мониторинга выполнения требований и т.д., что в целом делает эту методологию не просто логичным продолжением деятельности по защите "облаков" но и неким практически универсальным инструментом для аудита и мониторинга доступности ИТ-сервисов как таковых.
Защита ИТ-сервисов, как ИТ-активов следующего поколения, трансформация службы ИБ в службу внутреннего контроля за информационными потоками является одним из ключевых направлений развития службы ИБ. Интересно, "выстрелит" ли этот вариант развития и каковыми будут службы ИБ лет эдак через 10?.. Посмотрим.
Комментариев нет:
Отправить комментарий