Projekty

Cloud Control Matrix

Macierz wymagań z zakresu bezpieczeństwa dla dostawców i odbiorców usług w chmurze Cloud Control Matrix (CCM) została zaprojektowana w celu dostarczenia dostawcom w chmurze fundamentalnych zasad z zakresu bezpieczeństwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing. CCM dostarcza zestawu kontroli w postaci macierzy, która pozwala zrozumieć główne koncepcje  i wymagania zakresu bezpieczeństwa i nadzoru IT w odniesieniu do 14 domen bezpieczeństwa opisanych w przewodniku CSA. Twórcy Cloud Security Alliance Controls Matrix  tworzyli macierz bazując na relacjach pomiędzy wymaganiami powszechnie uznawanych standardów, norm, regulacji I najlepszych praktyk branżowych m.in. ISO 27001/27002, ISACA COBIT, Czytaj dalej

Cloud Audit

CloudAudit to kolejna inicjatywa w ramach stosu GRC. Jej ideą jest dostarczenie prostego, uniwersalnego, lekkiego i łatwego do implementacji narzędzia z jednolitym interfejsem, nazewnictwem i technologią. Dzięki CloudAudit dostawcy w zautomatyzowany sposób mogą zbierać informacje związane z zapewnieniem i audytem bezpieczeństwa informacji żeby zaprezentować transparentność swoich rozwiązań. To z kolei umożliwia autoryzowanym i uwierzytelnionym audytorom, konsumentom czy brokerom usług zgłaszać w zautomatyzowany sposób żądania tych danych. CloudAudit jest wynikiem działań międzynarodowej grupy roboczej powstałej w styczniu 2010 roku  złożonej z przedstawicieli największych firm dostarczających usługi w modelu chmury, integratorów chmury, firm doradczych i audytorskich

Cloud Standards Coordination (CSC) – inicjatywa Europejskiego Instytutu Norm Telekomunikacyjnych (ETSI)

W celu zidentyfikowania i zmapowania standardów i specyfikacji odnoszących się do chmury ETSI (European Telecommunications Standards Institute) na prośbę Komisji Europejskiej (EC) uruchomił nową inicjatywę pod nazwą Cloud Standards Coordination (CSC). Do końca 2013 roku ma powstać raport, którego celem jest: wsparcie dostawców chmury w zrozumieniu, wyborze i zastosowaniu właściwego dla ich usług standardu wsparcie odbiorców chmury w zrozumieniu jak stosowane przez dostawców standardy pozwalają na uzyskanie zgodności z obowiązującymi ich wymaganiami wsparcie organów rządowych, które pełnią rolę regulatorów w zakresie cloud computingu 27 czerwca został przesłany wstępny raport do Komisji europejskiej podsumowujący dotychczasowe prace CSC oraz prezentujący zastosowaną metodologię, proponowaną strukturę Czytaj dalej

Podatności w chmurze w latach 2008-2012

Nowopowstała grupa robocza CSA Cloud Vulnerabilities udostępniła “white paper”, który prezentuje incydenty związane z bezpieczeństwem chmury opubikowane na przełomie 2008-2012. Zespół złożony z osób pracujących lub uczących się na uniwersytetach  bądź w laboratoriach w Nowej Zelandii i w Singapurze ( Cyber Security Lab, University of Waikato, School of Mechanical & Aerospace Engineering, Nanyang Technological University) zbadał 11,491 artykułów z 39 źródeł, pokrywającym tym samym pierwsze pięć lat funkcjonowania modelu cloud computing

Najważniejsze zagrożenia w modelu cloud computing w 2013

Grupa robocza The Top Threats opublikowała dokument  “The Notorious Nine Cloud Computing Top Threats in 2013“. Dokument ma na celu wspieranie kadry zarządzającej organizacji (zarówno dostawców jak i odbiorców chmury) w podejmowaniu decyzji dotyczących zarządzaniu ryzykiem w modelu cloud computing. Aby zidentyfikować najważniejsze zagrożenia CSA przeprowadzio badanie wśród ekspertów. W najnowszej wersji raportu zidentyfikowano dziewięć krytycznych zagrożeń: Wyciek danych Utrata danych Przejęcie kont Niezabezpieczone API Odmowa usługi Malicious Insiders Nadużywanie usług chmurowych Niewystarczająca analiza Kwestie związane z współdzieleniem

CSA razem z Infocomm Development Authority of Singapore rozwija program Third-Party Certification

CSA CONGRESS ASIA PACIFIC – Singapur – 15 maj 2013 –  Cloud Security Alliance (CSA), organizacja non-profit, której misją jest promocja najlepszych praktyk w zakresie zarządzania bezpieczeństwem w modelu cloud computing nawiązała współpracę partnerską z Infocomm Development Authority of Singapore (IDA) w celu zdefiniowania programu certyfikacyjnego opartego na  CSA Open Certification Framework (OCF) i singapurskim standardzie  Multi-Tier Cloud Security. Program Security, Trust and Assurance Registry (“STAR”) jest częścią CSA Open Certification Framework („OCF”), który jest branżową inicjatywą polegającą na przyznawaniu dostawcom usług w chmurze  globalnych, akredytowanych, zaufanych certyfikatów potwierdzających stosowanie najlepszych praktyk w zarządzaniu bezpieczeństwem.

CISSP+CCSK – nowa inicjatywa ISC2 i CSA

Infosecurity Europe, London, UK – 24 kwietnia 2013: (ISC)2 , największa na świecie organizacja non-profit zajmująca się bezpieczeństwem informacji oraz  Cloud Security Alliance (CSA), organizacja non-profit z misją promowania i wykorzystywania najlepszych praktyk w obszarze bezpieczeństwa modelu cloud computing,  podpisały umowę o współpracy w zakresie nowego prgramu certyfikacyjnego z zakresu bezpieczeństwa informacji. Wspólna inicjatywa ma na celu ustanowienie wspólnych, globalnych zasobów wiedzy oraz najlepszych praktyk w zakresie projektowania, wdrożenia i zarządzania bezpieczeństwem w systemach wykorzystywanych w modelu chmury.  Program będzie oparty na programach certyikacyjnych oferowanych przez obie organizacje: (ISC)² – Certified Information Systems Security Professional (CISSP) i CSA- Certificate of Cloud Security Knowledge (CCSK) Czytaj dalej

Privacy Level Agreement Outline for the Sale of Cloud Services in the European Union

Od 25 lutego jest do pobrania dokument PLA – Privacy Level Agreement dotyczący określenia poziomu prywatności oferowanego przez dostawców chmury, w szczególności kiedy dane  sa przesyłane pomiedzy granicami  kraju. https://cloudsecurityalliance.org/download/privacy-level-agreement-pla-outline-for-the-sale-of-cloud-service-providers-providing-services-in-the-european-union/. Może służyć jako załącznik do umów z dostawcami. Podczas gdy SLA – Service Level Agreement służ y do dostarczenia mierników i innych kryteriów dotyczących działania usługi. PLA służy do określenia praktyk stosowanych przez dostawcę w zakresie ochrony i prywatności danych

CIRRUS – w kierunku ustalenia ram unijnych dla dostawców usług w chmurze

Prośba o udział w badaniu !!! Certification, InteRnationalisation and standaRdization in cloUd Security (CIRRUS) jest projektem FP7 (Seventh Framework Programme) stworzonym przez Komisję Europejską. Celem projektu jest zgromadzenie przedstawicieli wszystkich stron zaangażowanych i zainteresowanych kwestiami bezpieczeństwa i prywatności w zakresie cloud computing m.in. organizacji branżowych, organów ścigania, dostawców i odbiorców usług w chmurze, organizacje zajmujące się standardami i instytucje certyfikacyjne, audytorów, organizacji rządowych zajmujących się ochroną danych. CSA EMEA jest partnerem w tym projekcie Po pierwszych, zakończonych sukcesem warsztatach, które odbyły się 28 lutego w Brukseli CIRRUS uruchomił otwarte badanie “CIRRUS: Towards an EU framework for Cloud Service Provider security”. Celem badania jest uzyskanie informacji Czytaj dalej