SS 584 (также известный как Multi-Tier Cloud Security ( MTCS )) - это стандарт информационной безопасности, опубликованный Сингапурскими стандартами . [1] В последний раз стандарт пересматривался в 2015 году.
SS 584 определяет трехуровневую систему управления облачной безопасностью. Организации, отвечающие требованиям, могут быть сертифицированы аккредитованным органом по сертификации после успешного завершения аудита .
Обоснование [ править ]
Хотя большинство поставщиков облачных услуг сертифицированы по ISO 27000 , стандарт ISO не фокусируется на уникальных рисках, связанных с предоставлением через облако. Менее крупные клиенты также испытывают трудности с оценкой, достаточна ли СМИБ CSP для их нужд, поскольку ISO 27001 основан на оценке рисков и может значительно различаться в зависимости от внедрения. Это может быть препятствием для внедрения МСП , которые хотели бы более простой способ решить, отвечает ли CSP их потребностям.
Чтобы стимулировать внедрение облачных сервисов, тогдашняя IDA создала в 2012 году серию групп для разработки стандарта, по которому CSP могли бы сертифицировать. Стандарт будет иметь несколько уровней гарантии безопасности: [2]
- Уровень 1. Предназначен для некритичных для бизнеса данных и системы с базовыми элементами управления безопасностью для устранения рисков и угроз безопасности в потенциально слаборазвитых информационных системах с использованием облачных сервисов (например: веб-сайт, на котором размещена общедоступная информация)
- Уровень 2: предназначен для удовлетворения потребностей большинства организаций, работающих с критически важными для бизнеса данными и системами, с помощью набора более строгих мер безопасности для устранения рисков и угроз безопасности в информационных системах с потенциально умеренным воздействием, использующих облачные службы для защиты деловой и личной информации (например, конфиденциальной) бизнес-данные, электронная почта, CRM - системы управления взаимоотношениями с клиентами)
- Уровень 3: разработан для регулируемых организаций с особыми требованиями и более строгими требованиями к безопасности. В дополнение к этим элементам управления могут применяться отраслевые нормативные акты для дополнения и устранения рисков и угроз безопасности в высокоэффективных информационных системах, использующих облачные сервисы (например: очень конфиденциальные бизнес-данные, финансовые записи, медицинские записи).
Обратите внимание, что в стандарте используются взаимозаменяемые термины «уровни» и «уровни».
История SS 584 [ править ]
SS584: 2013 был выпущен в 2013 году, и изначально управление программой осуществляла IDA. [3]
В 2015 году стандарт был пересмотрен (SS 584: 2015). В это время аккредитация была передана Сингапурскому совету по аккредитации, подразделению Enterprise Singapore , в соответствии с другими сингапурскими стандартами.
По состоянию на конец 2019 года стандарт снова пересматривается с участием промышленности, и новая версия будет выпущена в октябре 2020 года.
Сертификация [ править ]
Поставщики услуг связи, которые хотят сертифицировать свои услуги, должны классифицировать их как IaaS , PaaS или SaaS . Они также решают, на каком уровне они хотят продемонстрировать соответствие (уровень 1, 2 или 3).
Для соответствия уровню 3 CSP должен быть сертифицирован по ISO / IEC 27001 .
CSP должны получить услуги аккредитованного сертификационного органа, который проведет аудит системы управления CSP на соответствие SS 584. Затем CB выдаст свидетельство, подтверждающее это, обычно действительное в течение трех лет. Требуются ежегодные надзорные аудиты.
Доступен список сертифицированных услуг и CSP. [4] Примеры сертифицированных CSP включают IBM [5] и AWS . [6]
Прием за границу [ править ]
Хотя этот стандарт не является международным стандартом , он стал первым национальным стандартом, касающимся облачной безопасности, но получил признание за пределами Сингапура. В частности, корейские правила RSEFT признают SS 584 как отвечающий большинству требований для CSP. [7]
Документы из Datamation [8] и CloudwatchHUB [9] описывают международное использование и влияние этого стандарта.
См. Также [ править ]
Ссылки [ править ]
- ^ Тао, Яо-Синг; Ли, Хин-Ян (апрель 2017 г.). «MTCS для здравоохранения» . 2017 Международная конференция по облачным вычислениям исследований и инноваций (ICCCRI) . Сингапур, Сингапур: IEEE: 14–17. DOI : 10.1109 / ICCCRI.2017.10 . ISBN 978-1-5386-1075-6.
- ^ "Информационный бюллетень" (PDF) . imda.gov.sg . IDA . Проверено 9 октября 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Новый стандарт многоуровневой облачной безопасности (MTCS) запущен в Сингапуре» . Агентство развития информационных технологий Infocomm . Проверено 9 октября 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Соответствие и сертификация» . Агентство развития информационных технологий Infocomm . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Сертификат MTCS для IBM Cloud Services» (PDF) . IMDA . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Сертификат MTCS, выданный ISC Singapore для AWS» (PDF) . IMDA . Проверено 7 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ "С MTCS клиенты FSI в Корее могут ускорить внедрение облачных технологий, избавившись от необходимости проверять 109 элементов управления, как требуется в соответствующих нормативных актах (Руководство Института финансовой безопасности по использованию облачных вычислительных услуг в финансовой отрасли и Положение о надзоре за электронными Финансовые операции (RSEFT)» . AWS . Amazon . Проверено 9 Октябрь 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ Морган, Лиза. «Как обеспечить соответствие требованиям облака» . Датамация . Проверено 29 марта 2020 года . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Многоуровневая облачная безопасность (MTCS) - Сингапур» . CloudwatchHUB . Проверено 29 марта 2020 года . CS1 maint: обескураженный параметр ( ссылка )