• Thứ Ba, 12/07/2011 11:29 (GMT+7)

    Tổ chức ISO đang soạn chuẩn bảo mật đám mây

    NND
    ISO đang soạn chuẩn chuyên ngành bảo mật điện toán đám mây, chủ yếu giải quyết các vấn đề tổ chức liên quan. Do thủ tục phức tạp, phiên bản đầu của chuẩn tới 2013 mới ra mắt.

    ISO đã soạn bản sơ thảo nội bộ của chuẩn chuyên ngành bảo mật cho điện toán đám mây, ông Alexei Lukatsky, Giám đốc phát triển kinh doanh của Cisco tiết lộ. Dự án này bao gồm 92 trang tài liệu. Alexei Lukatsky có thể tiếp cận tài liệu này là do Cisco tham gia Tiểu ban An toàn thông tin của Uỷ ban kỹ thuật TK22 trực thuộc Uỷ ban quản lý công nghệ Nga và có quyền tiếp cận mọi dự án chuẩn do ISO soạn thảo.

    Trong số những vấn đề được đề cập tại bản sơ thảo của chuẩn này có việc mô tả các đám mây điện toán và vị trí của người dùng và các nhà cung cấp dịch vụ đám mây trong những đám mây; vị trí của các đám mây trong chính sách an ninh; tổ chức an toàn thông tin; quản lý khai thác và quản lý kết nối; kiểm soát truy cập; quản lý mua bán, gia công và hỗ trợ các hệ thống; quản lý sự cố; quản lý vận hành kinh doanh liên tục và quản lý việc tuân thủ yêu cầu của nhà quản lý.

    "Giá trị của tài liệu nằm ở chỗ, để soạn thảo nó, không chỉ có các đại diện cơ quan chính phủ mà cả đại diện của giới chuyên gia và các hiệp hội - Denis Bezkorovainyi, Tư vấn kỹ thuật của Trend Micro tại Nga và các nước SNG nói - Hơn nữa, trong một tài liệu, tập trung đủ các khuyến cáo cả cho các nhà cung cấp dịch vụ điện toán đám mây lẫn cho người dùng là các tổ chức khách hàng".

    "Nhiệm vụ chính của tài liệu này là mô tả chi tiết các kinh nghiệm thực tiễn hay nhất liên quan sử dụng điện toán đám mây từ góc nhìn an toàn thông tin, Alexei Lukatsky giải thích. Trong đó, chuẩn không chỉ tập trung vào các khía cạnh kỹ thuật mà thường là tập trung vào các khía cạnh tổ chức không thể bỏ qua trong quá trình chuyển sang điện toán đám mây. Đó là sự phân quyền và trách nhiệm, là thoả thuận với các bên thứ ba, là quản lý tài sản thuộc về sở hữu của các bên khác nhau tham gia vào "quá trình đám mây" và cả các vấn đề về quản lý nhân viên v.v...".

    Theo ý kiến của Lukatsky, chương về tổ chức bảo mật đám mây đặc biệt thú vị - tại đây mô tả những đặc điểm phân quyền trách nhiệm giữa các thành viên tham gia các đám mây, nội dung thỏa thuận về bảo mật đời tư và thoả thuận với các bên thứ ba, kết hợp và tương tác với các nhóm và tổ chức an toàn thông tin bên ngoài". Chương về quản lý tài sản cũng thú vị. Theo đại diện của Cisco, đây chính là một vấn đề quan trọng khác nảy sinh khi mà tài sản trên đám mây thuộc về các công ty và cá nhân khác nhau".

    Tài liệu mới kế thừa nhiều tài liệu đã được ngành CNTT phát triển trước đây. "Trên thế giới, thời gian qua đã có hàng loạt tài liệu mô tả các nguyên tắc lựa chọn và bảo vệ các đám mây điện toán. Chuẩn của ISO tích luỹ những khuyến nghị và kinh nghiệm quý báu nhất", chuyên gia của Cisco bình luận. "Trong quá trình soạn thảo tài liệu đang nói đến ở đây có sự tham gia của các cơ quan chính phủ và các hiệp hội... Cho nên, tài liệu này ra đời có thể là trễ nhưng tích hợp được những điều tốt nhất đã được đề xuất trong lĩnh vực an toàn thông tin và an ninh điện toán đám mây".

    Mặc dù với hình hài hiện tại, tài liệu đã được coi là hoàn chỉnh và hữu ích nhưng việc công bố nó sớm nhất cũng phải vào năm 2013 do các thủ tục rườm rà tại tổ chức ISO. "Mỗi thành viên đều đòi hỏi thời gian để làm quen với tài liệu và nêu ý kiến của riêng mình - Alexei Lukatsky nói - Sau đó, những ý kiến này được thu thập lại và các tác giả tài liệu sẽ đưa ra những nội dung điều chỉnh để lại gửi cho các thành viên xem xét...".