СС584

SS 584 (также известный как Multi-Tier Cloud Security ( MTCS )) — стандарт информационной безопасности , опубликованный Singapore Standards . ^[1] В последний раз стандарт пересматривался в 2020 году.

SS 584 определяет систему управления безопасностью облака на трех уровнях. Организации, которые соответствуют требованиям, могут быть сертифицированы аккредитованным органом по сертификации после успешного завершения аудита .

Обоснование

Хотя большинство поставщиков облачных услуг сертифицированы по ISO 27000 , стандарт ISO не фокусируется на уникальных рисках, возникающих при предоставлении услуг через облако. Более мелкие клиенты также испытывают трудности с оценкой того, достаточно ли ISMS CSP для их нужд, поскольку ISO 27001 основан на рисках и может значительно различаться между реализациями. Это может стать препятствием для принятия SMEs , которые хотели бы иметь более простой способ решить, соответствует ли CSP их потребностям.

Чтобы поощрить принятие облачных сервисов, тогдашняя IDA создала ряд групп в 2012 году для разработки стандарта, по которому CSP могли бы сертифицироваться. Стандарт будет иметь несколько уровней обеспечения безопасности: ^[2]

• Уровень 1: Разработан для некритичных для бизнеса данных и систем, с базовыми элементами управления безопасностью для устранения рисков и угроз безопасности в потенциально малоэффективных информационных системах, использующих облачные сервисы (например, веб-сайт, на котором размещена общедоступная информация)
• Уровень 2: разработан для удовлетворения потребностей большинства организаций, работающих с критически важными для бизнеса данными и системами, с помощью набора более строгих мер безопасности для устранения рисков и угроз безопасности в информационных системах с потенциально умеренным воздействием, использующих облачные сервисы для защиты деловой и личной информации (например, конфиденциальные деловые данные, электронная почта, CRM — системы управления взаимоотношениями с клиентами).
• Уровень 3: Разработан для регулируемых организаций с особыми требованиями и более строгими требованиями безопасности. Отраслевые нормативные акты могут применяться в дополнение к этим элементам управления для дополнения и устранения рисков и угроз безопасности в высокоэффективных информационных системах, использующих облачные сервисы (например: строго конфиденциальные бизнес-данные, финансовые записи, медицинские записи)

Обратите внимание, что в стандарте термины «уровни» и «уровни» используются взаимозаменяемо.

История SS 584

SS584:2013 был выпущен в 2013 году, и изначально программа администрировалась IDA. ^[3]

В 2015 году стандарт был пересмотрен (SS 584:2015). В это время аккредитация была передана Совету по аккредитации Сингапура, подразделению Enterprise Singapore , в соответствии с другими стандартами Сингапура.

По состоянию на конец 2019 года стандарт снова пересматривается с учетом мнений отрасли, и новая версия будет выпущена в октябре 2020 года.

Сертификация

CSP, желающие сертифицировать свои услуги, должны классифицировать их как IaaS , PaaS или SaaS . Они также решают, на каком уровне они хотят продемонстрировать соответствие (Tier 1, 2 или 3).

Для соответствия уровню 3 поставщик услуг КС должен быть сертифицирован по стандарту ISO/IEC 27001 .

CSP должны получить услуги аккредитованного органа по сертификации, который проведет аудит системы управления CSP на соответствие SS 584. Затем CB выдаст сертификат, подтверждающий это, обычно действительный в течение трех лет. Ежегодные надзорные аудиты обязательны.

Список сертифицированных услуг и поставщиков услуг связи доступен. ^[4] Примерами сертифицированных поставщиков услуг связи являются IBM ^[5] и AWS . ^[6]

Принятие за рубежом

Хотя стандарт не является международным , как первый национальный стандарт, касающийся безопасности облака, он был принят за пределами Сингапура. В частности, корейские правила RSEFT признают SS ​​584 как отвечающий большинству требований для CSP. ^[7]

Документы Datamation ^[8] и CloudwatchHUB ^[9] описывают международное использование и влияние этого стандарта.

Смотрите также

• Стандарты кибербезопасности
• ИСО/МЭК 27001
• Стандарт Сингапура (нормативная политика)

Ссылки

1. Тао, Яо-Синг; Ли, Хин-Ян (апрель 2017 г.). «MTCS для здравоохранения». Международная конференция по исследованиям и инновациям в области облачных вычислений 2017 г. (ICCCRI) . Сингапур, Сингапур: IEEE. стр. 14–17. doi :10.1109/ICCCRI.2017.10. ISBN 978-1-5386-1075-6. S2CID  28858337.
2. "Информационный бюллетень" (PDF) . imda.gov.sg . IDA . Получено 9 октября 2019 г. .
3. "Новый стандарт многоуровневой облачной безопасности (MTCS) запущен в Сингапуре". Infocomm Media Development Authority . Получено 9 октября 2019 г.
4. "Соответствие и сертификация". Infocomm Media Development Authority . Получено 7 декабря 2019 г.
5. "Сертификат MTCS для IBM Cloud Services" (PDF) . IMDA . Получено 7 декабря 2019 г. .
6. "Сертификат MTCS, выданный ISC Singapore для AWS" (PDF) . IMDA . Получено 7 декабря 2019 г. .
7. «С помощью MTCS клиенты FSI в Корее могут ускорить внедрение облака, поскольку им больше не придется проверять 109 элементов управления, как того требуют соответствующие нормативные акты (Руководство Института финансовой безопасности по использованию сервисов облачных вычислений в финансовой отрасли и Положение о надзоре за электронными финансовыми транзакциями (RSEFT)). AWS . Amazon. 16 мая 2019 г. . Получено 9 октября 2019 г. .
8. Морган, Лиза (12 июля 2019 г.). «Как обеспечить соответствие облачным требованиям». Datamation . Получено 29 марта 2020 г. .
9. "Multi-Tier Cloud Security (MTCS) - Singapore". CloudwatchHUB . Получено 29 марта 2020 г. .