Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Часть 4 стандарта содержит руководство по информационной безопасности для клиентов облачных услуг и поставщиков облачных услуг. Его применение должно привести к:

• более глубокому пониманию и улучшенному определению информационной безопасности в облачных услугах,
• лучшему пониманию клиентами рисков, связанных с облачными услугами, для увеличения детализации требований к информационной безопасности,
• повышению способности поставщиков облачных услуг предоставлять клиентам гарантии того, что они идентифицировали риски в своих услугах и связанные с ними цепи поставок и приняли меры по управлению этими рисками.

Этот стандарт предназначен для использования всеми типами организаций, которые приобретают или предоставляют облачные услуги. Стандарт предназначен в первую очередь для владельцев рисков в облачных услугах клиентов, которые в итоге соглашаются с

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Стандарт содержит рекомендации для приобретающих сторон и поставщиков продукции и услуг информационно-коммуникационных технологий (ИКТ) по снижению или управлению рисками информационной безопасности. В стандарте определяются бизнес-обоснование безопасности цепи поставок ИКТ, конкретные риски и типы отношений, а также способы развития организационного потенциала для управления аспектами информационной безопасности и включения подхода жизненного цикла для управления рисками, подкрепляемого конкретными мерами контроля и практикой. Ожидается, что его применение приведет к:

• повышению прозрачности и прослеживаемости цепи поставок ИКТ для повышения потенциала информационной безопасности;
• более глубокому пониманию приобретающей стороной того, откуда берется их продукция или услуги, и методов, используемых для разработки, комплексирования или применения этой продукции или услуг,
...

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Стандарт (часть 2):

• а) устанавливает основные требования к информационной безопасности для определения, реализации, функционирования, мониторинга, анализа, поддержания и улучшения отношений между поставщиком и приобретающей стороной;
• б) способствует взаимному пониманию подхода сторон к информационной безопасности и приемлемости рисков нарушения информационной безопасности;
• c) отражает сложность управления рисками, которые могут оказывать влияние на информационную безопасность поставщика и взаимоотношения с приобретающей стороной;
• d) предназначен для использования любой организацией, желающей оценить информационную безопасность поставщика или взаимоотношения с приобретающей стороной;
• е) не предназначен для целей сертификации;
• f) предназначен для установки ряда определенных задач информационной безопасности, применимых к отношениям
...

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Целью стандарта является оказание помощи организациям в разработке и использовании обоснований безопасности приложения по прогнозированию (PASR) в распространении информации о свойствах безопасности нескольких версий одного и того же приложения путем:

• а. предоставления дополнительных руководящих указаний группе нормативной структуры организации (Committee ONF), с тем чтобы они могли устанавливать соответствующие руководящие принципы в отношении того, когда прогнозы являются, а когда не являются подходящими для их организаций;
• б. предоставления результатов анализа риска, содержащего обоснование того, почему изменения в последующем приложении не являются существенными;
• в. применения к прикладным проектам, использующим нормативную структуру приложений (ANF);
• г. указания фактического уровня доверия к исходному и последующим приложениям;
• д.
• ...

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

В стандарте описываются и объясняются основные сведения и требования к структуре данных ASC. Наличие стандартизированного набора основных атрибутов информации и структуры данных ASC имеет следующие преимущества:

• а) нормализация процессов создания, передачи, защиты и верификации ASC в соответствии с требованиями настоящем стандарте;
• b) снижение затрат на безопасность в проектах приложений до минимума путем облегчения повторного использования одобренных мер и средств безопасности, а также получения ASC из разных источников.

Кроме того, в стандарте определяются и подробно описываются процессы, мероприятия и должностные роли внутри эталонной модели жизненного цикла безопасности приложений (ASLCRM).

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Целью ИСО/МЭК 27033 является предоставление подробных инструкций по аспектам безопасного контроля, эксплуатации и использования сетей информационных систем и их внутренних соединений. Сотрудники организаций, ответственные за информационную безопасность в целом и за безопасность сетей в частности, должны иметь возможность адаптировать материалы стандарта к требованиям своих организаций.

В задачи ИСО/МЭК 27033-6 входит определение конкретных рисков, методов проектирования и мер контроля для обеспечения безопасности беспроводных IP-сетей. Стандарт относится ко всем сотрудникам, задействованным в детальном планировании, проектировании и реализации безопасности беспроводных сетей (например, архитекторам и проектировщикам сетей, сетевым администраторам и сотрудникам по обеспечению безопасности сетей).

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Цель стандарта состоит в создании единой совокупности категорий, мер и средств контроля и управления безопасностью, которые могут быть реализованы провайдером вычислительных сервисов публичного облака, выступающим в качестве обработчика персональных данных (ПДн). Эта цель имеет следующие задачи:

• помочь сервис-провайдеру публичного облака соответствовать применимым обязательствам, если он выступает в качестве обработчика ПДн и такие обязательства возлагаются на обработчика ПДн непосредственно или в договоре;
• обеспечить прозрачность обработчика ПДн публичного облака в соответствующих вопросах, чтобы потребители сервиса облачных вычислений могли выбрать хорошо управляемые основанные на облачных вычислениях сервисы обработки ПДн;
• помочь потребителю сервиса облачных вычислений и обработчику ПДн публичного облака составить договорное соглашение;
• предоставить
...

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Сообщество обмена информацией не может работать без доверия. Те, кто предоставляет информацию, должны иметь возможность доверять получателям, что они не разгласят или не используют данные ненадлежащим образом. Те, кто получает информацию, должны иметь возможность доверять, что информация является точной, с учетом любых оговорок, заявленных отправителем. Оба аспекта важны и должны явно поддерживаться эффективными политиками безопасности и использованием передового опыта. Чтобы достичь этого, все члены сообщества должны внедрить общую систему управления, обеспечивающую безопасность совместно используемой информации. Такая система называется системой управления информационной безопасности (СМИБ) для сообщества по обмену информацией.

Стандарт содержит руководящие принципы и общие принципы того, как указанные требования могут быть выполнены с использованием установленных сообщений и других

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

По мере распространения виртуализированных серверов (ВС) для облачных вычислений и внутренних ИТ-услуг повышается степень виртуализации инфраструктуры центров обработки данных. Поскольку ВС — это вычислительные устройства, на которых размещены многие критически важные для бизнеса приложения, они представляют собой ключевые ресурсы виртуализированной инфраструктуры центра обработки данных, которые необходимо тщательно защищать. ВС все чаще применяются в типовых системах инфраструктуры центров обработки данных, поэтому их безопасное проектирование и реализация становятся важными элементами общей стратегии безопасности.

Назначение стандарта — предоставить руководящие указания по обеспечению безопасности при проектировании и реализации ВС. Появление документа обусловлено глобальной тенденцией внедрения технологий виртуализации серверов во внутренней ИТ-инфраструктуре предприятий и

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Стандарт может использоваться любой организацией или физическим лицом, участвующими в создании, модификации или понимании соглашений об уровне обслуживания (SLA) служб облачных вычислений, соответствующих ИСО/МЭК 19086. Соглашение об уровне обслуживания должно учитывать ключевые характеристики служб облачных вычислений и способствовать общему пониманию между поставщиками облачных услуг (CSP) и их пользователями (CSC).