СС584
SS 584 (также известный как Multi-Tier Cloud Security ( MTCS )) — стандарт информационной безопасности , опубликованный Singapore Standards . [1] Последний раз стандарт пересматривался в 2020 году.
SS 584 определяет систему управления облачной безопасностью на трех уровнях. Организации, соответствующие требованиям, могут быть сертифицированы аккредитованным органом по сертификации после успешного прохождения аудита .
Обоснование
[ редактировать ]Хотя большинство поставщиков облачных услуг сертифицированы по стандарту ISO 27000 , стандарт ISO не фокусируется на уникальных рисках, возникающих при предоставлении услуг через облако. Небольшие клиенты также испытывают трудности с оценкой того, достаточна ли СУИБ CSP для их нужд, поскольку ISO 27001 основан на оценке рисков и может значительно различаться в зависимости от реализации. Это может стать препятствием для внедрения малыми и средними предприятиями , которым нужен более простой способ принятия решения о том, отвечает ли CSP их потребностям.
Чтобы стимулировать внедрение облачных сервисов, тогдашнее IDA в 2012 году создало ряд групп для разработки стандарта, которому могли бы сертифицироваться CSP. Стандарт будет иметь несколько уровней обеспечения безопасности: [2]
- Уровень 1: предназначен для данных и систем, не важных для бизнеса, с базовыми средствами управления безопасностью для устранения рисков и угроз безопасности в информационных системах с потенциально низким уровнем воздействия, использующих облачные сервисы (например: веб-сайт, на котором размещена общедоступная информация).
- Уровень 2: предназначен для удовлетворения потребностей большинства организаций, использующих критически важные для бизнеса данные и системы, посредством набора более строгих мер безопасности для устранения рисков и угроз безопасности в информационных системах с потенциально умеренным воздействием, использующих облачные сервисы для защиты деловой и личной информации (например: Конфиденциальная бизнес-данные, электронная почта, CRM – системы управления взаимоотношениями с клиентами)
- Уровень 3: предназначен для регулируемых организаций с особыми требованиями и более строгими требованиями безопасности. В дополнение к этим средствам контроля могут применяться отраслевые правила для дополнения и устранения рисков и угроз безопасности в информационных системах с высоким уровнем воздействия, использующих облачные сервисы (например: строго конфиденциальные бизнес-данные, финансовые записи, медицинские записи).
Обратите внимание, что в стандарте термины «уровни» и «уровни» используются как взаимозаменяемые.
История СС 584
[ редактировать ]SS584:2013 был выпущен в 2013 году, и первоначально программа находилась под управлением IDA. [3]
В 2015 году стандарт был пересмотрен (SS 584:2015). В это время аккредитация была передана Сингапурскому совету по аккредитации, подразделению Enterprise Singapore , в соответствии с другими стандартами Сингапура.
По состоянию на конец 2019 года стандарт снова пересматривается при участии представителей промышленности, а новая версия будет выпущена в октябре 2020 года.
Сертификация
[ редактировать ]Поставщики услуг связи, желающие сертифицировать свои услуги, должны классифицировать каждый из них на IaaS , PaaS или SaaS . Они также решают, на каком уровне они хотят продемонстрировать соответствие (уровень 1, 2 или 3).
Для соответствия уровню 3 CSP должен быть сертифицирован по стандарту ISO/IEC 27001 .
Поставщики услуг связи должны получить услуги аккредитованного органа по сертификации, который проведет проверку системы управления поставщика услуг связи на предмет соответствия SS 584. Затем ОС выдает подтверждающий это сертификат, обычно действительный в течение трех лет. Ежегодные надзорные проверки обязательны.
Доступен список сертифицированных услуг и CSP. [4] Примеры сертифицированных CSP включают IBM [5] и АВС . [6]
Прием за рубежом
[ редактировать ]Хотя этот стандарт не является международным стандартом , он является первым национальным стандартом, касающимся облачной безопасности, и получил признание за пределами Сингапура. В частности, корейские правила RSEFT признают, что SS 584 соответствует большинству требований для CSP. [7]
Документы от Datamation [8] и CloudwatchHUB [9] опишите международное использование и влияние этого стандарта.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Тао, Яо-Синг; Ли, Хин-Ян (апрель 2017 г.). «МТС для здравоохранения» . Международная конференция по исследованиям и инновациям в области облачных вычислений (ICCCRI) , 2017 г. Сингапур, Сингапур: IEEE. стр. 14–17. дои : 10.1109/ICCCRI.2017.10 . ISBN 978-1-5386-1075-6 . S2CID 28858337 .
- ^ «Информационный бюллетень» (PDF) . imda.gov.sg. ИДА . Проверено 9 октября 2019 г.
- ^ «Новый стандарт многоуровневой облачной безопасности (MTCS) запущен в Сингапуре» . Управление по развитию СМИ Infocomm . Проверено 9 октября 2019 г.
- ^ «Соответствие и сертификация» . Управление по развитию СМИ Infocomm . Проверено 7 декабря 2019 г.
- ^ «Сертификат MTCS для IBM Cloud Services» (PDF) . ИМДА . Проверено 7 декабря 2019 г.
- ^ «Сертификат MTCS, выданный ISC Сингапур компании AWS» (PDF) . ИМДА . Проверено 7 декабря 2019 г.
- ^ «Благодаря MTCS клиенты FSI в Корее могут ускорить внедрение облачных технологий, поскольку им больше не нужно проверять 109 элементов управления, как того требуют соответствующие нормативные акты (Руководство Института финансовой безопасности по использованию услуг облачных вычислений в финансовой отрасли и Положение о надзоре за электронными финансовыми услугами). Транзакции (RSEFT)» . AWS . Amazon. 16 мая 2019 г. Проверено 9 октября 2019 г.
- ^ Морган, Лиза (12 июля 2019 г.). «Как обеспечить соответствие требованиям облака» . Датаматизация . Проверено 29 марта 2020 г.
- ^ «Многоуровневая облачная безопасность (MTCS) — Сингапур» . CloudWatchHUB . Проверено 29 марта 2020 г.