Функции политики и стандартов безопасности в облаке
Специалисты по политикам и стандартам безопасности создают, утверждают и публикуют политики безопасности и стандарты для решения вопросов безопасности в организации.
Политики и стандарты должны:
- Отражать стратегию безопасности организаций достаточно подробно для принятия решений различными командами в организации.
- Обеспечивать производительность в масштабах организации, чтобы снизить риск для коммерческой деятельности и миссии организации.
Политика безопасности должна отражать долгосрочные цели, которые соответствуют стратегии безопасности и управления рисками в организации. Политика должна решать следующие задачи:
- Нормативные требования и текущее состояние соответствия требованиям (требования соблюдены, риски подтверждены и т. д.)
- Оценка архитектуры текущего состояния и технически возможности проектирования, реализации и применения
- Культура и предпочтения организации
- Рекомендуемые отраслевые методики
- Контроль и учет рисков безопасности, назначенных соответствующим заинтересованным лицам в коммерческих структурах, которые отвечают за другие риски и бизнес-результаты.
Стандарты безопасности определяют процессы и правила для поддержки применения политики безопасности.
Модернизация
Хотя политика должна оставаться статической, стандарты должны быть динамическими, и их необходимо регулярно пересматривать, чтобы поддерживать темпы изменений в облачных технологиях, средах, полных угроз, и в условиях серьезной конкуренции.
Учитывая высокую частоту изменений, необходимо следить за тем, сколько исключений создается, так как это может указывать на необходимость скорректировать стандарты (или политику).
Стандарты безопасности должны включать рекомендации, относящиеся к внедрению облака, например:
- Безопасное использование облачных платформ для размещения рабочих нагрузок
- Безопасное использование модели DevOps и включение облачных приложений, API-интерфейсов и служб в разработке
- Использование элементов управления периметра идентификации для дополнения или замены элементов управления периметром сети
- Определение стратегии сегментации перед переносом рабочих нагрузок на платформу IaaS
- Добавление тегов и классификация конфиденциальности активов
- Определение процесса оценки и правильная настройка и защита ресурсов
Состав команды и основные направления для взаимодействия
Политики и стандарты безопасности в облаке обычно предоставляются следующими типами ролей. Политика организации должна сообщать следующим специалистам (и получать от них уведомления):
- Архитектуры безопасности
- Специалисты по управлению соответствием требованиям и рисками
- Руководство и представители подразделения
- Информационные технологии
- Команды по аудиту и юридическому сопровождению
Политику необходимо уточнить с учетом множества входных данных и требований в организации, включая, помимо прочего, указанные в общей схеме безопасности.
Дальнейшие действия
Ознакомьтесь с функциями Центра информационной безопасности (SoC).