Temat: ISO/IEC 27002 a bezpieczeństwo Data Center

Jak myślicie dlaczego wytyczne bezpieczeństwa informacji (ISO/IEC 27002) nie traktują specjalnie i nie wspominają nic o specyficznym traktowaniu bezpieczeństwa Data Center, choć na specjalnych zasadach traktują cykl tworzenia i udostępniania aplikacji ?

Temat: ISO/IEC 27002 a bezpieczeństwo Data Center

Myślę, że do tej pory centra danych traktowane były jako swoista mieszanka zabezpieczeń fizycznych i środowiskowych, często dostarczana w formie usługi. Norma mówi o wszystkich tych typach zabezpieczeń.
Oczywiście, jeśli rozpatrujemy datacenter jako element chmury (PaaS, IaaS) wtedy takie podejście może być niewystarczające. Dlatego też trwają prace nad normą 27017 dotyczącą Cloud Computing (zawierającą rekomendacje a nie wymagania):
http://www.iso27001security.com/html/27017.html

BTW: Z linka powyżej wynika również, że nie podjęto prac nad normą definiującą wymagania dla Cloud computing uznając, że 27001 jest wystarczająca do certyfikacji takich dostawców.

Temat: ISO/IEC 27002 a bezpieczeństwo Data Center

Masz rację Maćku. Ja dorzuciłbym jeszcze przynajmniej bezpieczeństwo dostępu logicznego, ciągłości działania oraz potraktował obszar Data Center co do bezpieczeństwa tak samo jak traktuje się w ISO/IEC 27001 obszar tworzenia i udostępniania aplikacji (bezpieczeństwo środowisk tworzenia, testowania, udostępnienia do użytku produkcyjnego). Oddzielne normy bezpieczeństwa DC (poza grupą norm 27k) jednoznacznie to określają (są to normy serii EN 6000).

Co do wątku chmury obliczeniowej a Data Center, to dodam, że nie ma tutaj ogólnie przyjętej jednej normy. Najwyraźniej obszar DC i powiązany z nią bardzo ściśle wątek chmury obliczeniowej jest obecnie w stadium "embrionalnego pączkowania", tzn. szybko się rozwija i nie można go jeszcze całkowicie ogarnąć i unormować. W przypadku bezpieczeństwa modelów chmury obliczeniowej (kolokacja, IaaS, PaaS, SaaS, CaaS) wg mnie należy brać obecnie następujące normy/rekomendacje : ISO/IEC 27017/27018 (obie normy obecnie mają status Draft), NIST SP 800-145 (tylko definicja), NIST SP 500-291 (tu coś przynajmniej zaproponowano), ISO/IEC 27036 (cz.4 będzie zawierać rekomendacje bezpieczeństwa dla relacji z dostawcami w chmurze obliczeniowej), PCI DSS Cloud Computing (obowiązuje). Dodałbym do tego jeszcze zarządzanie ryzykiem (ISO 31000) i zarz. ciągł. działania (ISO 22301).

Temat: ISO/IEC 27002 a bezpieczeństwo Data Center

Tak sobie poczytałem i powiem jedno : nie idźmy tą drogą. :) Nie każdy ma datacenter (a już baaardzo niewielu tworzy i udostępnia datacenter) a 27001 jest normą ogólną. I niech taka zostanie. Bo inaczej 27001 będzie wydawana w tomach.

Temat: ISO/IEC 27002 a bezpieczeństwo Data Center

Maćku, chcę tylko zasygnalizować, że Data Center jest i będzie coraz bardziej ważnym aktywem o bezpieczeństwo którego należy zadbać. Moim zdaniem twórcy lub osoby uaktualniające normę IOS/IEC 27001 powinny przynajmniej wskazać źródła, z których warto skorzystać przy rozpatrywaniu bezpieczeństwa Data Center, tak jak choćby w ISO/IEC 27001 w pkt. 4.2.1 c) dotyczącym szacowania ryzyka.
Zwykła serwerownia (z 1 lub dwoma serwerami i jednym urz.sieciowym) też może uchodzić za szczególny (zminimalizowany) przypadek Data Center .... jedynie w przypadku chmury obliczeniowej skala jest inna ... jak to mówią: z małej chmury mały deszcz, z dużej ... może w ogóle nie padać :)