Bezpečnosť cloudov
pomoc pri implementácií informačnej a kyber bezpečnosti a privacy
Bezpečnosť cloudov podľa štandardu ISO-27017 a ISO-27018
Úvod do bezpečnosti cloudových riešení
Všeobecne, požiadavky na riadenie informačnej bezpečnosti sú definovaná štandardom ISO 27001 a výkladovou smernicou ISO 27002, ktorá popisuje spôsob implementácie bezpečnostných opatrení. Avšak tento štandard nehovorí konkrétne o cloudových riešeniach.
Cesta ako zvýšiť úroveň informačnej bezpečnosti Cloudových riešení, je zavedením rozšírenia štandardu ISO 27001 o nové výkladové normy:
- ISO / IEC 27017:2015 – Rozšírenie ISO 27002 o špecifické bezpečnostné opatrenia pre požiadavky cloudových služieb
- ISO / IEC 27018:2019 Kódex postupov na ochranu osobných údajov v cloudoch.
Dôvod zaoberania sa bezpečnosťou cloudu
Cloudové riešenia boli vyvinuté z dôvodu zníženia nákladov pre ICT. Dochádza k masívnemu nahradzovaniu desktopov a serverov za dátové centrá. Cloudové riešenia poskytujú nové možnosti na ďalšie inovácie.
Cloudové spracovanie údajov závisia od internetu ako prenosového kanálu, ktorý používateľom umožňuje prístup k požadovaným službám. Táto technológia je však stále v počiatočných fázach vývoja a prenos údajov cez internet prináša nové hrozby a zraniteľnosti atakujúce dôvernosť, integritu a dostupnosť. Výskyt týchto hrozieb môže viesť k strate integrity alebo nezákonnému prístupu k chráneným osobným údajom používateľov vo veľkom rozsahu.
Zákazníci poskytovateľov cloudových služieb požadujú, aby sa pri poskytovaní služieb cloudu vykonali všetky potrebné kontroly a záruky kybernetickej bezpečnosti.
Preto je čas riešiť čoraz viac preferovanú oblasť spracovania údajov formou cloudových riešení.
— Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy? —
Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy?
Ak sa potrebujete spoľahnúť na profesionálov neváhajte nás kontaktovať. Náš tím odborníkov je tu pre vás a poskytne vám aktívnu pomoc pri vzdelávaní, poradenstve, meranie úrovne bezpečnosti, implementácií štandardov, príprave na certifikačné audity.
ISO / IEC 27017:2015 Bezpečnosť cloudových služieb
ISO / IEC 27017: 2015 - Informačné technológie – Bezpečnostné techniky - Kódex praxe pre riadenie informačnej bezpečnosti založený na ISO / IEC 27002 pre cloudové služby
Táto výkladová norma poskytuje usmernenie týkajúce sa aspektov informačnej bezpečnosti v oblasti cloudových riešení. Dopĺňa opatrenia definované v ISO IEC 27002.
Norma poskytuje návod na implementáciu ďalších organizačných a technických opatrení nad rámec ISO / IEC 27002 v kontexte cloudových riešení.
Štandardné radia ako zákazníkom cloudové služby a poskytovateľov cloud služieb, pričom primárny pokynmi stanovenými bok po boku v každej sekcii.
Napríklad zaoberajú sa nasledovnými opatreniami:
- Rozdelenie zodpovednosti medzi organizáciou zákazníka a poskytovateľa cloudových služieb malo by to byť definované a zdokumentované.
- Informačné aktíva zákazníka cloudovej služby, ktorý sa nachádza v priestoroch poskytovateľa cloudovej služby, by sa mali odstrániť a mali by sa vrátiť po ukončení dohody o cloudovej službe
- Virtuálne prostredie zákazníka bežiace v cloudovej službe by malo byť chránené pred ostatnými zákazníkmi cloudových služieb a neoprávnenými osobami.
- Virtuálne prostredie zákazníka v cloudovej službe by malo byť chránené pred ostatnými zákazníkmi cloudových služieb a neoprávnenými osobami.
- Virtuálne stroje v prostredí cloud computingu by sa mali hardeningované, aby vyhovovali obchodným potrebám.
- Mali by sa definovať, zdokumentovať a monitorovať postupy pre administratívne operácie prostredia cloud computingu.
- Mali by sa definovať, zdokumentovať a monitorovať postupy pre administratívne operácie prostredia cloud computingu.
Pre hlbšie obsiahnutie treba sa dať inšpirovať ISO / IEC 17789 (Cloud computing - referenčná architektúra).
ISO / IEC 27018:2019 – PRIVACY v cloude
ISO / IEC 27001 chráni štandardné informačné aktíva spoločnosti, rozšírenie ISO / IEC 27018 sa zameriava na ochranu údajov v cloudových riešeniach. Norma ISO / IEC 27018 je založená na postupoch najlepšej praxe podľa ISO / IEC 27002 a zásadách ochrany osobných údajov podľa ISO / IEC 29100, so zameraním sa na ochranu osobných údajov v prostredí verejných cloudoch.
PREČO JE TO TAK DÔLEŽITÉ?
Vzhľadom na trend bezpečnostných incidentov získala prvoradú dôležitosť ochrana osobných údajov uložených v cloudových riešeniach. Štandard ISO / IEC 27018 môže pomôcť mitigovať riziko ohrozenia údajov vo verejnom cloude. Štandard zabezpečuje, že poskytovateľ cloudových riešení zaviedol vhodné opatrenia na spracovanie osobných údajov.
Plnenie požiadaviek štandardu ISO / IEC 27018 používajú vlastníci údajov ako etalón bezpečnosti ochrany údajov v cloudoch na vyhodnotenie a porovnanie opatrení zabezpečujúcich ochranu osobných údajov pri výbere verejného cloudu. Z toho dôvodu aplikovanie tohto štandardu Vám môže poskytnúť konkurenčnú výhodu na trhu cloudových služieb.
Cieľom normy ISO / IEC 27018 je zabezpečiť stupeň istoty zákazníkom cloudových služieb alebo vlastníkom údajov, aby presne vedeli, akým spôsobom poskytovatelia cloudových služieb zabezpečujú ochranu osobných údajov. Aplikovaním štandardu ISO / IEC 27018 vám môže pomôcť mitigovať riziko a tým aj potenciálne dopady pri kompromitácií údajov vo verejnom cloude a tak získať dôveru zákazníkov.
VÝHODY PRE VÁŠ BIZNIS
Zmiernenie rizika - zabezpečenie prístupu, ukladanie, prenos a spracovanie údajov PII podľa pokynov ISO / IEC 27018.
Konkurenčná výhoda - zákazníci a vlastníci údajov majú istotu, že implementujete vhodné bezpečnostné opatrenia proti narušeniu údajov PII.
Dôvera zákazníkov - certifikácia treťou stranou od spoločnosti TÜV SÜD preukazuje váš záväzok v oblasti informačnej bezpečnosti.
Benefity
- Zásadné zníženie rizík – Dodržiavaním požiadaviek ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 môžete efektívne analyzovať a pokryť slabé miesta a tak mitigovať potenciálne dopady v cloudových systémoch.
- Zvýšenie dôvery na trhu – Cloudové riešenia nie sú úplnou novinkou, ale predsa len je zažitý istý konzervatívny prístup k bezpečnosti údajov v cloudových riešeniach. Práve aplikovaním požiadaviek ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 získate dôveru zainteresovaných strán, čo je predstavuje konkurenčnú výhodu.
- Štandard ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 jasne definuje vzťahy, povinnosti a práva medzi zákazníkom a poskytovateľov cloudových služieb. Práve definovanie týchto vzťahov prináša transparentnosť v poskytovaní cloudových služieb.