2 Ноября, 2011

Аттестация облачных провайдеров

Алексей Лукацкий
В пятницу я прошелся по перспективам облаков в России и о том, что готовится у нас (базируясь на подходах ФСТЭК и ФСБ) нормативная база по требованиям к облачным провайдерам. В целом, идея выработки требований к облачным провайдерам достаточно здравая и у наших предприятий (особенно из госсектора) должны быть четкие критерии выбора свои облачных партнеров. Вопрос только в реализации...

К счастью, уже опубликовано немало рекомендаций о том, какие требования предъявляются к облачным провайдерам. Например, опросник ENISA Cloud Computing Information Assurance Framework или Security Recommendations for Cloud Computing Providers от BSI или конечно же The Cloud Security Alliance Consensus Assessments Initiative . Кстати, Cisco один из разработчиков документа CSA и наш вклад базируется на собственном опыте работе с облаками, который в свое время был сформулирован в наших рекомендациях всем предприятиям.

И вот недавно я наткнулся на аналогичный документ от NIST - Security Assessment Provider Requirements and Customer Responsibilities ( NISTIR 7328 ). Несмотря на то, что этот документ выпущен в 2007-м году, он до сих пор имеет статус проекта. А связано это со сложностью данной темы. У нас же на разработку такой нормативки по объявленному конкурсу выделено всего 5 (пять) дней! Хотелось бы, чтобы авторы проектируемого документа все-таки обратились к международному опыту в этой сфере и не изобретали колесо; сертифицированное и аттестованное...