Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

SS 584 (также известный как Multi-Tier Cloud Security ( MTCS )) - это стандарт информационной безопасности, опубликованный Сингапурскими стандартами . [1] В последний раз стандарт пересматривался в 2015 году.

SS 584 определяет трехуровневую систему управления облачной безопасностью. Организации, отвечающие требованиям, могут быть сертифицированы аккредитованным органом по сертификации после успешного завершения аудита .

Обоснование [ править ]

Хотя большинство поставщиков облачных услуг сертифицированы по ISO 27000 , стандарт ISO не фокусируется на уникальных рисках, связанных с предоставлением через облако. Менее крупные клиенты также испытывают трудности с оценкой, достаточна ли СМИБ CSP для их нужд, поскольку ISO 27001 основан на оценке рисков и может значительно различаться в зависимости от внедрения. Это может быть препятствием для внедрения МСП , которые хотели бы более простой способ решить, отвечает ли CSP их потребностям.

Чтобы стимулировать внедрение облачных сервисов, тогдашняя IDA создала в 2012 году серию групп для разработки стандарта, по которому CSP могли бы сертифицировать. Стандарт будет иметь несколько уровней гарантии безопасности: [2]

  • Уровень 1. Предназначен для некритичных для бизнеса данных и системы с базовыми элементами управления безопасностью для устранения рисков и угроз безопасности в потенциально слаборазвитых информационных системах с использованием облачных сервисов (например: веб-сайт, на котором размещена общедоступная информация)
  • Уровень 2: предназначен для удовлетворения потребностей большинства организаций, работающих с критически важными для бизнеса данными и системами, с помощью набора более строгих мер безопасности для устранения рисков и угроз безопасности в информационных системах с потенциально умеренным воздействием, использующих облачные службы для защиты деловой и личной информации (например, конфиденциальной) бизнес-данные, электронная почта, CRM - системы управления взаимоотношениями с клиентами)
  • Уровень 3: разработан для регулируемых организаций с особыми требованиями и более строгими требованиями к безопасности. В дополнение к этим элементам управления могут применяться отраслевые нормативные акты для дополнения и устранения рисков и угроз безопасности в высокоэффективных информационных системах, использующих облачные сервисы (например: очень конфиденциальные бизнес-данные, финансовые записи, медицинские записи).

Обратите внимание, что в стандарте используются взаимозаменяемые термины «уровни» и «уровни».

История SS 584 [ править ]

SS584: 2013 был выпущен в 2013 году, и изначально управление программой осуществляла IDA. [3]

В 2015 году стандарт был пересмотрен (SS 584: 2015). В это время аккредитация была передана Сингапурскому совету по аккредитации, подразделению Enterprise Singapore , в соответствии с другими сингапурскими стандартами.

По состоянию на конец 2019 года стандарт снова пересматривается с участием промышленности, и новая версия будет выпущена в октябре 2020 года.

Сертификация [ править ]

Поставщики услуг связи, которые хотят сертифицировать свои услуги, должны классифицировать их как IaaS , PaaS или SaaS . Они также решают, на каком уровне они хотят продемонстрировать соответствие (уровень 1, 2 или 3).

Для соответствия уровню 3 CSP должен быть сертифицирован по ISO / IEC 27001 .

CSP должны получить услуги аккредитованного сертификационного органа, который проведет аудит системы управления CSP на соответствие SS 584. Затем CB выдаст свидетельство, подтверждающее это, обычно действительное в течение трех лет. Требуются ежегодные надзорные аудиты.

Доступен список сертифицированных услуг и CSP. [4] Примеры сертифицированных CSP включают IBM [5] и AWS . [6]

Прием за границу [ править ]

Хотя этот стандарт не является международным стандартом , он стал первым национальным стандартом, касающимся облачной безопасности, но получил признание за пределами Сингапура. В частности, корейские правила RSEFT признают SS ​​584 как отвечающий большинству требований для CSP. [7]

Документы из Datamation [8] и CloudwatchHUB [9] описывают международное использование и влияние этого стандарта.

См. Также [ править ]

Ссылки [ править ]

  1. ^ Тао, Яо-Синг; Ли, Хин-Ян (апрель 2017 г.). «MTCS для здравоохранения» . 2017 Международная конференция по облачным вычислениям исследований и инноваций (ICCCRI) . Сингапур, Сингапур: IEEE: 14–17. DOI : 10.1109 / ICCCRI.2017.10 . ISBN 978-1-5386-1075-6.
  2. ^ "Информационный бюллетень" (PDF) . imda.gov.sg . IDA . Проверено 9 октября 2019 . CS1 maint: обескураженный параметр ( ссылка )
  3. ^ «Новый стандарт многоуровневой облачной безопасности (MTCS) запущен в Сингапуре» . Агентство развития информационных технологий Infocomm . Проверено 9 октября 2019 . CS1 maint: обескураженный параметр ( ссылка )
  4. ^ «Соответствие и сертификация» . Агентство развития информационных технологий Infocomm . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
  5. ^ «Сертификат MTCS для IBM Cloud Services» (PDF) . IMDA . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
  6. ^ «Сертификат MTCS, выданный ISC Singapore для AWS» (PDF) . IMDA . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
  7. ^ "С MTCS клиенты FSI в Корее могут ускорить внедрение облачных технологий, избавившись от необходимости проверять 109 элементов управления, как требуется в соответствующих нормативных актах (Руководство Института финансовой безопасности по использованию облачных вычислительных услуг в финансовой отрасли и Положение о надзоре за электронными Финансовые операции (RSEFT)» . AWS . Amazon . Проверено 9 Октябрь 2019 . CS1 maint: обескураженный параметр ( ссылка )
  8. ^ Морган, Лиза. «Как обеспечить соответствие требованиям облака» . Датамация . Проверено 29 марта 2020 года . CS1 maint: обескураженный параметр ( ссылка )
  9. ^ «Многоуровневая облачная безопасность (MTCS) - Сингапур» . CloudwatchHUB . Проверено 29 марта 2020 года . CS1 maint: обескураженный параметр ( ссылка )