ISO 27017 - стандарт для защиты облаков

На сайте BSI началось общественное обсуждение проекта стандарта ISO/IEC 27017 Information technology – Security techniques – Cloud computing security and privacy management system – Security controls. Он является развитием стандарта ISO/IEC 27002:2013 в отношении применения облачных вычислений, рассматриваемых в стандартах ISO/IEC 17788 (определение облачных вычислений) и 17789 (типовая архитектура облачных сервисов). Публичное обсуждение стандарта продлится до 20 марта – любой желающий может прокомментировать его, и, не исключено, эти комментарии будут учтены в финальной версии ISO 27017.

Отметим, даже само название стандарта 27017 является проблемой. Например, Наталья Храмцовская, ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», переводит его так: «Информационные технологии – Методы обеспечения безопасности – Система менеджмента облачной безопасности и защиты персональных данных – Меры безопасности». Однако Сергей Борисов, консультант по информационной безопасности компании «Микротест», дает иной перевод: «…Система управления безопасностью и конфиденциальностью облачных вычислений…». На сайте ISO стандарт с тем же номером называется также по-другому – Code of practice for information security controls based on ISO/IEC 27002 for cloud services, т.е. «Свод практики использования мер информационной безопасности на основе стандарта ISO/IEC 27002 сервисами облачных вычислений». Общее у всех названий одно – управление безопасностью по ISO 27002 применительно к обычным вычислениям.

Особенность данного стандарта состоит в том, что он формулирует отдельные требования к безопасности для двух участников облачных вычислений – провайдеров и их клиентов. Другими словами, при облачных вычислениях процессы обеспечения безопасности распределены между клиентом и провайдером и должны дополнять друг друга. Именно поэтому реализация лучших практик по защите информации на стороне провайдера так важна: если облако соответствует ISO 27017 (т.е., как минимум, документированы его функции безопасности), то клиенту проще подобрать себе адекватного облачного провайдера.

Однако в России, видимо, ещё не хватает опыта, связанного с защитой облачных вычислений, – эксперты не хотят участвовать в процессе совершенствования международных стандартов. Так, Сергей Борисов признает, что не будет комментировать ISO 27017, поскольку не имеет соответствующего опыта. Он поясняет: «Например, возьмём рецензирование документов ФСТЭК. У меня есть постоянная практика применения их документов и готовый перечень сложностей. Когда выходит новый документ, я быстро проверяю, не ухудшилась ли ситуация и не исправлены ли какие-то проблемы. И сразу есть о чем написать. По облакам же у меня нет ни одного текущего проекта. Что же теперь, самому себе придумать виртуальный проект по защите облаков и попытаться натянуть на него этот новый стандарт?».

Впрочем, международный опыт может оказаться непригодным в России, где требования к информационной безопасности, в том числе облачных вычислений, – существенно другие. Вполне возможно, что этот стандарт могут и не перевести на русский язык, – далеко не все стандарты серии ИСО/МЭК 27000 есть на русском. Тем не менее учитывать мировые практики придётся – например, российским компаниям, которые захотят подключиться к международным поставщикам облачных решений.