Общие сведения В этом стандарте описаны соответствующие методы обеспечения безопасности облачных вычислений и средства контроля для пользователей общедоступного облака, поставщиков общедоступных облачных услуг, аудиторов и органов по сертификации. Этот стандарт охватывает минимальные требования для каждого уровня, которым должны соответствовать CSP. Дополнительные требования, специфичные для организации, не входят в сферу применения настоящего стандарта. Этот стандарт содержит дополнительные рекомендации для пользователей облачных сервисов и поставщиков облачных услуг в Приложении B и Приложении C соответственно. Исключения Настоящий стандарт не: а) требует применения средств контроля ко всей организации, скорее, средства контроля могут применяться к конкретным предложениям услуг и поддерживающей инфраструктуре; б) иметь преимущественную силу над любыми законами и постановлениями, как существующими, так и будущими; c) иметь какие-либо юридические полномочия в отношении соглашений об уровне обслуживания, включенных в договоры, заключенные между организациями и поставщиками облачных услуг; г) рассматривать юридические или иные требования, регулирующие нормальную бизнес-операцию, которую должны соблюдать поставщики облачных услуг. Примеры таких требований включают подробные правила, касающиеся строительной и пожарной безопасности, гигиены и безопасности труда, положений об авторском праве и преобладающей практики управления кадрами; и e) указать средства контроля, специфичные для поставщика. При необходимости читатели должны обращаться к литературе поставщиков и другим техническим ссылкам. Аудитория Целевая аудитория включает: a) Поставщиков облачных услуг, предоставляющих IaaS, PaaS и SaaS как часть своих услуг; б) сторонние поставщики услуг, привлеченные Поставщиками облачных услуг для поддержки облачной среды; в) пользователи общедоступных облачных вычислений; г) аудиторы, проводящие облачный аудит; и e) сертификаторы, выполняющие оценку безопасности облачных вычислений и предоставляющие сертификаты облачных вычислений. Сертификация Поставщики облачных услуг должны быть сертифицированы на основе многоуровневой структуры, включающей различные уровни требований безопасности, как указано в настоящем стандарте для каждого отдельного предложения услуг.
SS 584-2015 История
2015SS 584-2015 Спецификация многоуровневой безопасности облачных вычислений