Фреймворк Cloud Controls Framework для общения с облачными провайдерами

Дата: 12.05.2022. Автор: Алексей Лукацкий. Категории: Блоги экспертов по информационной безопасности
Фреймворк Cloud Controls Framework для общения с облачными провайдерами

Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности и критичность информации или информационных систем, предъявлять к провайдерам свой набор требований, который они либо в состоянии выполнить, либо нет. И каждый раз, когда меня просили поделиться этим фреймворком, я не мог ничего сделать, кроме высокоуровневых презентаций с описанием ключевых блоков требований. Но настало время, когда мы готовы поделиться этим фреймворком.

Фреймворк Cloud Controls Framework для общения с облачными провайдерами
Cisco Cloud Controls Framework v1.0

На днях Cisco анонсировала у себя на сайте Cisco Cloud Controls Framework v1.0, который описывает набор защитных мер для облачных сред (преимущественно SaaS), позволяющих не только учесть различные корпоративные требования, но и множество международных, отраслевых и национальных требований, среди которых:

  • SOC 2® – SOC for Service Organizations: Trust Services Criteria
  • ISO IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements
  • ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • ISO/IEC 27018:2019 – Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
  • ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
  • ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements
  • Esquema Nacional de Seguridad (ENS)
  • Infosec Registered Assessors Program (IRAP December 2020)
  • Payment Card Industry Data Security Standard (PCI-DSS v3.2.1)
  • Information System Security Management and Assessment Program (ISMAP)
  • Cloud Computing Compliance Controls Catalogue (C5)
  • EU Cloud Code of Conduct (CoC)
  • Third Party Cybersecurity Compliance Certificate (CCC)
  • The Federal Risk and Authorization Management Program (FedRAMP LI-SAAS/Tailored).

Выложив сам фреймворк, мы также сделали доступными и руководство по использованию этого, регулярно обновляемого, фреймворка, с включением в него так называемых артефактов для аудита, которые позволят доказать аудиторам выполнение указанных требований. Артефакты базируются на запросах, которые Cisco сама получала от аудиторов при сертификации своих облачных сервисов.

Фреймворк Cloud Controls Framework для общения с облачными провайдерами
Cisco Cloud Controls Framework v1.0

Так что пользуйтесь

Заметка Фреймворк Cloud Controls Framework для общения с облачными провайдерами была впервые опубликована на Бизнес без опасности.

Об авторе Алексей Лукацкий

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems. Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Алексей Лукацкий

Добавить комментарий

Ваш адрес email не будет опубликован.