Что такое sas 70
По утверждению аналитиков Gartner, международный стандарт аудита SAS 70 не является доказательством безопасности и надежности услуг ИТ-поставщиков.
Согласно исследованию компании Gartner, международный стандарт SAS 70 (Statement on Auditing Standards) неправильно используют многие вендоры, их клиенты и аудиторы для контроля рисков в традиционных приложениях, SaaS-системах и облачных пространствах.
Аналитики Gartner считают, что стандарт SAS 70 очень часто используют вендоры и их клиенты в качестве подтверждения доказательства безопасности, соблюдения конфиденциальности и других правил, которые необходимы организациям для контроля рисков поставщиков.
По словам Фрэнка Колдуэла (French Caldwell), вице-президента по исследованиям Gartner, SAS 70 является в основном дорогостоящим процессом аудита для соблюдения правил финансовой отчетности. Руководителям службы информационной безопасности, менеджерам, отвечающим за риски и другим специалистам, связанным с закупками и продажами ИТ-услуг и ПО необходимо признать, что SAS 70 не является стандартом безопасности, целостности и конфиденциальности.
По публикации Американского института дипломированных общественных бухгалтеров (AICPA), SAS 70 предоставляет средство контроля поставщиков услуг (сервис-провайдеров) с руководством о том, как оно должно информировать о технологических рисках, имеющих отношение к финансовой отчетности.
По словам Джея Хейзера (Jay Heiser), вице-президента по исследованиям Gartner, многие поставщики традиционных приложений, SaaS-приложений и облачных сервисов в настоящее время используют стандарт SAS 70 как форму сертификации, однако он не является таковым. Кроме того, многие утверждают, что SAS 70 регулирует вопросы безопасности, конфиденциальности и целостности, что также вводит в заблуждение. Напротив, стандрат содержит только общие принципы для подготовки и формирования аудиторского заключения.
По мнению г-на Хейзера, учитывая, что SAS 70 не может гарантировать того, что предлагаемые ИТ-услуги безопасны, должно вызывать подозрение, если поставщик настаивает на том, что это так. Если вендор утверждает, что услуга сертифицирована по стандарту SAS 70, указывает либо на его невежество, либо на обман. Единственное, что можно утверждать об аттестации по стандарту SAS 70, это то, что аудиторская фирма заключила, что поставщик услуг эффективно реализует те функции, которые анализировала аудиторская фирма.
SAS 70 является одним из нескольких механизмов, которые могут быть использованы для оценки поставщика услуг. Gartner рекомендует использовать различные способы в дополнение или в качестве альтернативы стандарта SAS 70.
В последнее время услышал достаточно большое колличество вопросов касательно безопасности облачных датацентров Microsoft. В данной статье мы кратко рассмотрим модель обеспечения безопасности датацентров и развеем все мифы и противоречивые слухи касательно безопасности облачных сервисов Microsoft.
В нескольких словах напомню, что такое облако или облачные вычисления – это способ предоставления вычислительных мощностей в виде сервиса, который можно настроить в точности под ваши требования моментально по запросу из любой точки планеты. Столетия назад компании перестали сами создавать электрическую энергию, используя сложные тепловые машины, подключившись к электростанциям. Возвращаясь к глобальной вычислительной интернет среде, облако выступает в качестве “электростанции” для вычислений.
Начиная с запуска MSN, в 1994 Microsoft создает и поддерживает онлайн сервисы. Сегодня мы поддерживаем десятки онлайн сервисов, некоторые из которых наверняка вам известны: Windows Live Hotmail, Live Search, Microsoft Dynamics CRM Online, Windows Azure и многие другие.
Независимо от того, где располагаются персональные данные клиента (на персональном компьютере или в онлайне), или независимо от того, где хранит ваша компания ценную информацию (на частном сервере или в Интернете), Microsoft понимает, что все эти среды для вычислений и среды хранения информации должны обеспечивать безопасность.
Различные шаги
Использование стандарта SAS 70 должно быть частью процесса, состоящего из нескольких этапов. Заинтересованная компания должна сначала четко формализовать свою систему внутреннего контроля, цели контроля и соответствующие средства контроля, а затем составить документ, описывающий всю эту систему. Именно на основе этого документа аудитор, обычно аудиторская фирма, выражает свое мнение.
На практике бывает два типа отчетов:
- отчет I типа , в котором вопросы аудитора мнение о точности описания и адекватности контроля в отношении поставленных задач. Этот вид проверки проводится один раз в год . Компании обычно используют этот первый коэффициент для определения тенденции и, в конечном итоге, переходят на коэффициент Типа II. Его недостаток состоит в том, что он описывает организацию только в момент времени t, а не за период.
- отчет типа II , более завершенные из - за исследования проводит в течение определенного периода (обычно 6 месяцев минимум) , и в котором аудитор выдает заключение об эффективности управления для достижения этих целей). Таким образом, сертификация SAS 70 type II является наиболее полной. Он включает не только аудит во время сертификации, но и регулярные проверки, чтобы гарантировать, что введенные процедуры применяются должным образом. Это дополнительная возможность для компании неуклонно улучшать свою организацию. Для каждой проверенной службы была создана контрольная сетка со списком целей контроля, контролируемых действий, планов тестирования, наблюдений и рекомендаций.
SAS 70 Type II Data Center
Colocation America has completed all of the qualifications of the SAS 70 Type II hosting compliant audit and has received the certification for our telecom center space in Los Angeles. This is just one part of our ongoing effort to provide the highest quality services in the dedicated server and colocation hosting industry. Colocation America can issue a copy of our SAS 70 type II certified data centers audit report to our Telecom Center clients upon request, verifying that our controls are intact and properly maintained.
Преимущества
В настоящее время специализированные учреждения создают все большее количество партнерств, чтобы предлагать свои услуги в таких разнообразных областях, как потребительское кредитование, лизинг, факторинг и инкассо. Таким образом, обращение к стандарту SAS 70 имеет двойное преимущество: он представляет собой как соответствующий ответ на требования нового регламента № 97-02, так и средство коммерческой дифференциации.
Такая сертификация дает много преимуществ. Одна из них - возможность избежать многократных аудитов, регулярно проводимых клиентами. Это позволяет поставщику избегать ежегодного аудита каждым покупателем. Действительно, компании, которые обязаны проходить аудит в соответствии с американским законом Сарбейнса-Оксли, должны гарантировать, что их собственные поставщики находятся в порядке. Еще одно преимущество связано с изображением, предлагаемым компанией, имеющей сертификат SAS 70, по сравнению с ее несертифицированными конкурентами. Отдел маркетинга входит в число первых претендентов на такую сертификацию, потому что это средство коммерческой дифференциации. Наконец, сильная сторона этого стандарта состоит в том, что он основан на диагнозе и отчете признанного внешнего аудитора.
Типы компаний, заинтересованных в этом стандарте
Стандарт SAS 70 применяется ко всем компаниям, предлагающим услуги, которые могут повлиять на финансовое положение их клиентов.
Использование этого стандарта уже широко распространено во всем мире. На сегодняшний день выпущено более 450 отчетов:
- 50% отчетов касаются поставщиков финансовых услуг (кредитные организации, управляющие активами)
- 22% относятся к центрам управления данными
- 21% организаций по расчету заработной платы и персонала
Использование этого стандарта значительно расширилось в Соединенных Штатах. Он применяется ко всем компаниям, прошедшим аудит по стандартам AICPA , а также к компаниям, подпадающим под действие Раздела 404 Закона Сарбейнса-Оксли . Он начинает распространяться в Европе, в частности во Франции, по инициативе крупных игроков в области клиринга ценных бумаг и управления фондами.
Однако, будь то в Соединенных Штатах или в Европе, нет никаких юридических обязательств по его внедрению, но он широко используется американскими компаниями, предоставляющими финансовую информацию.
What Are the SAS 70 Requirements?
A SAS 70 security audit is a detailed report by a certified public accountant (CPA) or a licensed public accounting firm. Either the CPA or the firm must perform the audit according to specific industry standards regarding the planning, execution, and supervision of the audit. These SAS certifications guidelines were established by the AICPA and firms are required to undergo peer reviews to ensure that the audit’s integrity remains intact. Non-CPA professionals that are relevant to the business industry may be used to perform the report but the final report requires the review and signature of a licensed CPA. The SAS 70 certificate is formatted to permit auditors to review the procedures, established by service organizations, referred to as controls on the report. Independent auditors evaluate the controls activities and processes to make sure they are legitimate and regulated.
Service Level Agreement (SLA)
Microsoft гарантирует доступность сервисов и приложений 99.9% времени. Данный показатель является весьма высоким, и, на мой взгляд, лучшим на рынке.
Стандарты как модель безопасности
Ни для кого не секрет, что основным методом обеспечения безопасности любых объектов, будь то сейф, банк или датацентр, является стандартизация. Например, отечественные банки используют российский стандарт СТО БР ИББС, который, по сути, является адаптированным вариантом ISO/IESIS 27001-2005 для местной специфики, который сегодня используется многими международными банками.
Облако Microsoft ежегодно проходит проверку на соответствие стандартам PCI DSS, SOX и HIPAA, а также внутреннюю проверку в течение года. Облако Microsoft прошло сертификацию ISO/IEC 27001:2005 и аттестацию SAS 70 Типов 1 и II.
DOS атаки
Многие задают вопрос: “А как же DOS атаки?” Я решил специально посветить данному вопросу отдельный абзац. Для защиты приложений в датацентрах используется специализированные физические и логические устройства, такие как балансировщики нагрузок, фаерволы и устройства предотвращающие вторжения. Данные устройства позволяют предотвратить атаку до того, как она доберется до приложения клиента.
Надеюсь, данная статья помогла вам разобраться и осознать важность вопроса, а также представить тот объем работы, который мы проделываем ежедневно для того, чтобы обеспечивать безопасный режим функционирования облака.
Начнем с основ. Как же работают устройства на технологи SCSI? В стандарте SCSI все построено на концепции клиент/сервер.
Клиент, называемый инициатором (англ. initiator), отправляет разные команды и дожидается их результатов. Чаще всего, разумеется, в роли клиента выступает SAS контроллер. Сегодня SAS контроллеры — это HBA и RAID-контроллеры, а также контроллеры СХД, стоящие внутри внешних систем хранения данных.
Сервер называется целевым устройством (англ. target), его задача — принять запрос инициатора, обработать его и вернуть данные или подтверждение выполнения команды обратно. В роли целевого устройства может выступать и отдельный диск, и целый дисковый массив. В этом случае SAS HBA внутри дискового массива (так называемая внешняя система хранения данных), предназначенный для подключения к нему серверов, работает в режиме Target. Каждому целевому устройству (“таргету”) присваивается отдельный идентификатор SCSI Target ID.
Для связи клиентов с сервером используется подсистема доставки данных (англ. Service Delivery Subsystem), в большинстве случаев, это хитрое название скрывает за собой просто кабели. Кабели бывают как для внешних подключений, так и для подключений внутри серверов. Кабели меняются от поколения к поколению SAS. На сегодня имеется три поколения SAS:
— SAS-1 или 3Gbit SAS
— SAS-2 или 6Gbit SAS
— SAS-3 или 12 Gbit SAS – готовится к выходу в середине 2013 года
Внутренние и внешние кабели SAS
Инициатор, соединенный с целевым устройством системой доставки данных, называют доменом. Любое SCSI устройство содержит как минимум один порт, который может быть портом инициатора, целевого устройства или совмещать обе функции. Портам могут присваиваться идентификаторы (PID).
Целевые устройства состоят из как минимум одного логического номера устройства (Logical Unit Number или LUN). Именно LUN и идентифицирует с каким из дисков или разделов данного целевого устройства будет работать инициатор. Иногда говорят, что target предоставляет инициатору LUN. Таким образом, для полной адресации к нужному хранилищу используется пара SCSI Target ID + LUN.
Как в известном анекдоте («Я не даю в долг, а Первый Национальный Банк не торгует семечками») — целевое устройство обычно не выступает в роли «посылающего команды», а инициатор — не предоставляет LUN. Хотя стоит отметить, что стандарт допускает тот факт, что одно устройство может быть одновременно и инициатором и целью, но на практике это используют мало.
Для «общения» устройств в SAS существует протокол, по «доброй традиции» и по рекомендации OSI, разделенный на несколько слоев (сверху вниз): Application, Transport, Link, PHY, Architecture и Physical.
SAS включает в себя три транспортных протокола. Serial SCSI Protocol (SSP) — используется для работы со SCSI устройствами. Serial ATA Tunneling Protocol (STP) — для взаимодействия с дисками SATA. Serial Management Protocol (SMP) — для управления SAS-фабрикой. Благодаря STP мы можем подключать диски SATA к контроллерам SAS. Благодаря SMP мы можем строить большие (до 1000 дисковых/SSD-устройств в одном домене) системы, а также использовать зонирование SAS (подробнее об этом в статье про SAS-коммутатор).
Уровень связей служит для управления соединениями и передачи фреймов. Уровень PHY — используется для таких вещей как установка скорости соединения и кодировки. На архитектурном уровне находятся вопросы расширителей и топологии. Физический уровень определяет напряжение, форму сигналов соединения и т.д.
Все взаимодействие в SCSI строится на основании команд, которые инициатор посылает целевому устройству и ожидает их результата. Команды эти посылаются в виде блоков описания команды (Command Description Block или CDB). Блок состоит из одного байта кода команды и ее параметров. Первым параметром почти всегда выступает LUN. CDB может иметь длину от 6 до 32 байт, хотя последние версии SCSI допускают CDB переменной длины.
После получения команды целевое устройство возвращает код подтверждения. 00h означает что команда принята успешно, 02h обозначает ошибку, 08h — занятое устройство.
Команды делятся на 4 большие категории. N, от английского «non-data», предназначены для операций, не относящихся к непосредственно обмену данными. W, от «write» — запись данных, полученных целевым устройством от инициатора. R, как не сложно догадаться от слова «read» используется для чтения. Наконец В — для двустороннего обмена данными.
Команд SCSI существует достаточно много, поэтому перечислим только наиболее часто используемые.
А теперь рассмотрим несколько типичных примеров организации хранения данных на SAS.
Пример первый, сервер хранения данных.
Дата-центр одной из российских Web 2.0-компаний
Процессоры и память в таких серверах задействуются не сильно. Второе – в мире Web 2.0, информация хранится географически распределено, несколько копий на различных серверах. Хранится 2-3 копии информации. Иногда, если она запрашивается часто, хранят больше копий для балансировки нагрузки. Ну и третье, исходя из первого и второго, чем дешевле – тем лучше. В большинстве случаев все вышесказанное приводит к тому, что используются Nearline SAS или SATA диски высокой емкости. Как правило, Enterprise-уровня. Это значит, что такие диски предназначены для работы 24x7 и стоят значительно дороже своих собратьев, использующихся в настольных PC. Корпус обычно выбирают такой, куда можно вставить побольше дисков. Если это 3.5’’, то 12 дисков в 2U.
Типичный 2U-сервер хранения данных
16-портовый SAS HBA
Пример второй, почтовый сервер Exchange. А также MDaemon, Notes и другие подобные сервера.
SSD- кэширующий RAID-контроллер Nytro MegaRAID
Пример третий, внешняя система хранения данных своими руками.
Итак, самое серьезное знание SAS, конечно же, требуется тем, кто производит системы хранения данных или хочет их сделать своими руками. Мы остановимся на достаточно простой СХД, программное обеспечение для которой производится компанией Open-E. Конечно же, можно делать СХД и на Windows Storage Server, и на Nexenta, и на AVRORAID, и на Open NAS, и на любом другом подходящем для этих целей софте. Я просто обозначил основные направления, а дальше вам помогут сайты производителей. Итак, если это внешняя система, то мы почти никогда не знаем, сколько же дисков потребуется конечному пользователю. Мы должны быть гибкими. Для этого есть так называемые JBOD – внешние полки для дисков. В их состав входит один или два экспандера, каждый из которых имеет вход (4-х портовый разъем SAS), выход на следующий экспандер, остальные порты разведены на разъемы, предназначенные для подключения дисков. Причем, в двухэкспандерных системах первый порт диска разведен на первый экспандер, второй порт – на второй экспандер. Это позволяет строить отказоустойчивые цепочки JBOD-ов. Головной сервер может иметь внутренние диски в своем составе, либо не иметь их совсем. В этом случае используются «внешние» контроллеры SAS. То есть контроллеры с портами «наружу». Выбор между SAS RAID-контроллером или SAS HBA зависит от управляющего ПО, которое вы выбираете. В случае Open-E, это RAID-контроллер. Можно позаботиться и об опции кэширования на SSD. Если ваша СХД будет иметь очень много дисков, то решение Daisy Chain (когда каждый последующий JBOD подключается к предыдущему, либо к головному серверу) в силу многих причин не подходит. В этом случае головной сервер либо оснащается несколькими контроллерами, либо используется устройство, которое называется SAS-коммутатор. Он позволяет подключать один или несколько серверов к одному или нескольким JBOD. Подробнее SAS-коммутаторы мы разберем в следующих статьях. Для внешних систем хранения данных настоятельно рекомендуется использовать диски только SAS (в том числе NearLine) в силу повышенных требований к отказоустойчивости. Дело в том, что протокол SAS имеет в своем составе гораздо больше функций, чем SATA. Например, контроль записываемых-считываемых данных на всем пути с помощью проверочных сумм (T.10 End-to-End protection). А путь, как мы уже знаем, бывает очень длинным.
Напоследок, хочется поделиться некоторыми сведениями о текущей адаптации SAS мировыми производителями оборудования. SAS сегодня – это стандарт де-факто для серверных систем и профессиональных рабочих станций. Серверные системы подавляющего большинства как A- так и B- брендов имеют в составе контроллеры SAS, как HBA, так и RAID. В области внешних систем хранения данных, основные производители оборудования (HP, EMC, NetApp, IBM) уже несколько лет как перевели внутренние архитектуры своих систем на SAS. Таким образом, диски Fibre Channel стали за последние пару лет настоящей экзотикой. Fibre Channel продолжает жить и развиваться, в основном, как способ подключения серверов к системам хранения данных, хотя в области Low-End, Mid-Range и профессиональных систем, SAS отвоевывает все большую долю.
На этом наш экскурс в мир истории и теории SCSI вообще и SAS в частности подошел к концу, и в следующий раз я расскажу вам более подробно о применении SAS в реальной жизни.
SAS 70 ( Положение о стандартах аудита № 70 ) - это международно признанный стандарт американского происхождения, в частности, как элемент соответствия Сарбейнсу-Оксли .
Он был создан Американским институтом сертифицированных бухгалтеров (AICPA) для определения методов органов, ответственных за внутренний контроль и финансовый аудит компаний.
Для него характерны независимые сторонние аудиты и аудиты процессов на месте. Этот стандарт касается компаний, которые используют специализированных поставщиков для аутсорсинга своих услуг. Действительно, компании хотят контролировать качество предлагаемых услуг (которые должны быть столь же эффективными или даже более эффективными, чем предоставляемые внутри компании).
Он имеет два уровня (Тип I и Тип II). Первый касается описания деятельности компании и актуальности средств контроля. Второй уровень оценивает их эффективность с помощью тестов, результаты которых публикуются в отчете SAS 70 (тип II).
С 15 июня 2011 г. стандарт ISAE 3402 пришел на смену SAS 70, придав ему более международный характер.
Стандарт SAS 70
В настоящее время операционный аудит в соответствии со стандартом SAS 70 широко используется депозитарными, клиринговыми и процессинговыми организациями во всем мире для повышения доверия клиентов к внутренним системам и процессам. Например, из наиболее известных контрагентов отечественной учетной системы за рубежом заключение аудита по SAS 70 уже имеют S.W.I.F.T., Euroclear, Europay, VeriSign и др.
Стандарты операционного аудита SAS 70 (Statementon Auditing Standards (SAS) No. 70, Service Organizations), разработанные около 15 лет назад Американским Институтом Сертифицированных Бухгалтеров (the American Institute of Certified Public Accountants, AICPA), получили широкое признание международного инвестиционного сообщества. Аудит организаций, работающих в сфере услуг, по стандартам SAS 70 фокусируется на вопросах внутреннего контроля, главным образом, на применении информационных технологий и связанных с ними операционных процессов.
В современных условиях глобализации экономики поставщики услуг должны продемонстрировать, что они уделяют надлежащее внимание надежности и безопасности обработки данных своих клиентов. Кроме того, отчеты о внутреннем аудите по стандартам SAS 70 вошли в список требований раздела 404 Акта Сарбейнса-Оксли (the Sarbanes-Oxley Act), принятого в США в 2002 г., поэтому аудит по стандарту SAS 70 стал обязательным для компаний США и Канады. А наличие у сервисных организаций, к которым, помимо прочих, относятся депозитарии и клиринговые центры, «Отчета по обработке операций организациями, представляющими услуги» (Statementon Auditing Standards, SAS 70) стало своеобразной визитной карточкой на глобальном финансовом рынке и, в целом, на рынке услуг — для акционеров, а также клиентов и партнеров (прежде всего зарубежных).
Происхождение стандарта SAS 70
Сегодня компании сосредотачиваются на своих центрах компетенций, чтобы повысить эффективность своих производственных процессов. Поэтому они прибегают к аутсорсингу и субподряду для оказания услуг с низкой добавленной стоимостью, а в последнее время - для полных услуг или даже для всей деятельности. Однако аутсорсинг деятельности требует контроля рисков, поскольку он оказывает прямое влияние на счета компаний и их финансовую информацию. Поэтому компании должны проверять, что их поставщики услуг ( сторонних услуг или субподрядчика ) внедрили процедуры, соответствующие их требованиям.
Поэтому поставщики услуг сталкиваются с увеличением количества запросов на информацию и проверок от своих многочисленных клиентов. Поэтому рассматривается альтернативное решение: сертификат качества их системы внутреннего контроля, выданный независимой третьей стороной. Это цель стандарта SAS 70. Он предусматривает передачу отчетов о качестве процедур внутреннего контроля поставщика услуг компании-клиенту.
Соответствующие поставщики услуг, как правило, должны выполнять работу по устранению недостатков своих процедур внутреннего контроля и сделать их исчерпывающими и однородными. Наконец, стандарт SAS 70 укрепит доверие поставщиков услуг к их клиентам.
Недостатки
Работа по проектированию и документации, необходимая для поддержки сертификации SAS 70, может потребовать значительных затрат времени и усилий. Эту работу следует планировать до того, как устанавливать даты визитов аудитора. Чтобы облегчить этот шаг, компания должна принять известные системы координат ( ISO27002 , Cobit и т. Д., . ), которые позволяют говорить на аналогичном языке с аудиторами и менеджерами клиента. Они также помогают гарантировать, что важная область контроля не будет упущена из виду.
Clickable Map
- Service organizations are now required to supply a written statement outlining the effectiveness of controls within their respective organization(s).
- SSAE 16 is not an Audit, but rather, a written attestation from management outlining which quality controls are present. This differs from an audit which typically deal with the accounting side of an organization.
- SSAE 16 requires a detailed description of the system rather than just simple controls. “System” is stressed but not “controls”, due largely in part to preference of practitioners to live up to international reporting standards.
- SSAE 16 is viewed more as auditor-to-auditor communication method rather than defined standard organizations must live up to.
Преимущества и недостатки этого стандарта
Стандарт ISO/IESIS 27001-2005
Международный стандарт “Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования” разработан международной организацией по стандартизации (ISO) и международной электротехнической комиссией (IEC) на основе британского стандарта BS7799. Данный стандарт представляет собой дополнение к стандарту ISO/IESIS 17799:2005 “Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью”.
Стандарт ISO 27001 определяет информационную безопасность как “сохранение конфиденциальности, целостность и доступность; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность”. Он определяет процессы, представляющие бизнесу возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.
- Делать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечивать эффективное управление системой в критических ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определять личную ответственность
- Добиваться снижения и оптимизации стоимости поддержки системы безопасности
- Делать более доступной интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Делать акцент на прозрачность и юридическую чистоту бизнеса благодаря соответствию стандарту
Резюме
Type I and Type II Audits
- Independent service auditor’s report (i.e. opinion)
- Service organization’s description of controls.
- Both Points in the Type 1 report
- Information provided by the independent service auditor; includes a description of the service auditor’s tests of operating effectiveness and the results of those tests
- Other information provided by the service organization (e.g. glossary of terms).
Методология как модель безопасности
Для создания надежных и безопасных систем необходимо учитывать различные требования. В Microsoft существует специальная методология SDL(Secure Development Lifecycle), которая применяется уже много лет при разработке всех продуктов не только компании, но и продуктов партнеров. Данная методология позволяет учитывать различные аспекты на всех этапах жизни системы, от проектирования до поддержки. Более подробно можно прочитать здесь.
Из чего состоит облачная среда Microsoft?
Облачная вычислительная среда Microsoft является физической и логической инфраструктурой. Физическая инфраструктура включает в себя физические мощности, такие как сервера, сети и другие различные физические компоненты. Логическая инфраструктура, независимо от того, работает она на физическом или виртуальном оборудовании, состоит из сущностей операционных систем, сетей с маршрутизаций и неструктурированных хранилищ данных.
Приложения, работающие в облачных датацентрах Microsoft, можно разделить на 3 группы:
- Пользователиималыйбизнес – Windows Live Messenger, Windows Live Hotmail, Live Search, XBOX LIVE, Microsoft Office Live, Windows Intune и т.д.
- Корпоративныесервисы – Microsoft Dynamics CRM Online, Exchange Online, SharePoint Online, Office Live Meeting, Office 365 и т.д.
- Платформы для разработки – Windows Azure, SQL Azure и т.д.
Читайте также: