qtrust@qtrust.sk          +421 917 941 299            Q-TRUST s. r. o.​, Klincová 37 821 08 Bratislava - mestská časť Ružinov

Bezpečnosť cloudov

pomoc pri implementácií informačnej a kyber bezpečnosti a privacy

Bezpečnosť cloudov podľa štandardu ISO-27017 a ISO-27018

Úvod do bezpečnosti cloudových riešení

Všeobecne, požiadavky na riadenie informačnej bezpečnosti sú definovaná štandardom ISO 27001 a výkladovou smernicou ISO 27002, ktorá popisuje spôsob implementácie bezpečnostných opatrení. Avšak tento štandard nehovorí konkrétne o cloudových riešeniach.
Cesta ako zvýšiť úroveň informačnej bezpečnosti Cloudových riešení, je zavedením rozšírenia štandardu ISO 27001 o nové výkladové normy:

  • ISO / IEC 27017:2015 – Rozšírenie ISO 27002 o špecifické bezpečnostné opatrenia pre požiadavky cloudových služieb
  • ISO / IEC 27018:2019 Kódex postupov na ochranu osobných údajov v cloudoch.

Dôvod zaoberania sa bezpečnosťou cloudu

Cloudové riešenia boli vyvinuté z dôvodu zníženia nákladov pre ICT. Dochádza k masívnemu nahradzovaniu desktopov a serverov za dátové centrá. Cloudové riešenia poskytujú nové možnosti na ďalšie inovácie.
Cloudové spracovanie údajov závisia od internetu ako prenosového kanálu, ktorý používateľom umožňuje prístup k požadovaným službám. Táto technológia je však stále v počiatočných fázach vývoja a prenos údajov cez internet prináša nové hrozby a zraniteľnosti atakujúce dôvernosť, integritu a dostupnosť. Výskyt týchto hrozieb môže viesť k strate integrity alebo nezákonnému prístupu k chráneným osobným údajom používateľov vo veľkom rozsahu.
Zákazníci poskytovateľov cloudových služieb požadujú, aby sa pri poskytovaní služieb cloudu vykonali všetky potrebné kontroly a záruky kybernetickej bezpečnosti.
Preto je čas riešiť čoraz viac preferovanú oblasť spracovania údajov formou cloudových riešení.

— Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy? —  

 

 

Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy?

Ak sa potrebujete spoľahnúť na profesionálov neváhajte nás kontaktovať. Náš tím odborníkov je tu pre vás a poskytne vám aktívnu pomoc pri vzdelávaní, poradenstve, meranie úrovne bezpečnosti, implementácií štandardov, príprave na certifikačné audity.

ISO / IEC 27017:2015 Bezpečnosť cloudových služieb

ISO / IEC 27017: 2015 - Informačné technológie – Bezpečnostné techniky - Kódex praxe pre riadenie informačnej bezpečnosti založený na ISO / IEC 27002 pre cloudové služby

Táto výkladová norma poskytuje usmernenie týkajúce sa aspektov informačnej bezpečnosti v oblasti cloudových riešení. Dopĺňa opatrenia definované v ISO IEC 27002.
Norma poskytuje návod na implementáciu ďalších organizačných a technických opatrení nad rámec ISO / IEC 27002 v kontexte cloudových riešení.
Štandardné radia ako zákazníkom cloudové služby a poskytovateľov cloud služieb, pričom primárny pokynmi stanovenými bok po boku v každej sekcii.

Napríklad zaoberajú sa nasledovnými opatreniami:

  • Rozdelenie zodpovednosti medzi organizáciou zákazníka a poskytovateľa cloudových služieb malo by to byť definované a zdokumentované.
  • Informačné aktíva zákazníka cloudovej služby, ktorý sa nachádza v priestoroch poskytovateľa cloudovej služby, by sa mali odstrániť a mali by sa vrátiť po ukončení dohody o cloudovej službe
  • Virtuálne prostredie zákazníka bežiace v cloudovej službe by malo byť chránené pred ostatnými zákazníkmi cloudových služieb a neoprávnenými osobami.
  • Virtuálne prostredie zákazníka v cloudovej službe by malo byť chránené pred ostatnými zákazníkmi cloudových služieb a neoprávnenými osobami.
  • Virtuálne stroje v prostredí cloud computingu by sa mali hardeningované, aby vyhovovali obchodným potrebám.
  • Mali by sa definovať, zdokumentovať a monitorovať postupy pre administratívne operácie prostredia cloud computingu.
  • Mali by sa definovať, zdokumentovať a monitorovať postupy pre administratívne operácie prostredia cloud computingu.

Pre hlbšie obsiahnutie treba sa dať inšpirovať ISO / IEC 17789 (Cloud computing - referenčná architektúra).

ISO / IEC 27018:2019 – PRIVACY v cloude

ISO / IEC 27001 chráni štandardné informačné aktíva spoločnosti, rozšírenie ISO / IEC 27018 sa zameriava na ochranu údajov v cloudových riešeniach. Norma ISO / IEC 27018 je založená na postupoch najlepšej praxe podľa ISO / IEC 27002 a zásadách ochrany osobných údajov podľa ISO / IEC 29100, so zameraním sa na ochranu osobných údajov v prostredí verejných cloudoch.

PREČO JE TO TAK DÔLEŽITÉ?
Vzhľadom na trend bezpečnostných incidentov získala prvoradú dôležitosť ochrana osobných údajov uložených v cloudových riešeniach. Štandard ISO / IEC 27018 môže pomôcť mitigovať riziko ohrozenia údajov vo verejnom cloude. Štandard zabezpečuje, že poskytovateľ cloudových riešení zaviedol vhodné opatrenia na spracovanie osobných údajov.

Plnenie požiadaviek štandardu ISO / IEC 27018 používajú vlastníci údajov ako etalón bezpečnosti ochrany údajov v cloudoch na vyhodnotenie a porovnanie opatrení zabezpečujúcich ochranu osobných údajov pri výbere verejného cloudu. Z toho dôvodu aplikovanie tohto štandardu Vám môže poskytnúť konkurenčnú výhodu na trhu cloudových služieb.

Cieľom normy ISO / IEC 27018 je zabezpečiť stupeň istoty zákazníkom cloudových služieb alebo vlastníkom údajov, aby presne vedeli, akým spôsobom poskytovatelia cloudových služieb zabezpečujú ochranu osobných údajov. Aplikovaním štandardu ISO / IEC 27018 vám môže pomôcť mitigovať riziko a tým aj potenciálne dopady pri kompromitácií údajov vo verejnom cloude a tak získať dôveru zákazníkov.

VÝHODY PRE VÁŠ BIZNIS
Zmiernenie rizika - zabezpečenie prístupu, ukladanie, prenos a spracovanie údajov PII podľa pokynov ISO / IEC 27018.
Konkurenčná výhoda - zákazníci a vlastníci údajov majú istotu, že implementujete vhodné bezpečnostné opatrenia proti narušeniu údajov PII.
Dôvera zákazníkov - certifikácia treťou stranou od spoločnosti TÜV SÜD preukazuje váš záväzok v oblasti informačnej bezpečnosti.

Benefity

  • Zásadné zníženie rizík – Dodržiavaním požiadaviek ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 môžete efektívne analyzovať a pokryť slabé miesta a tak mitigovať potenciálne dopady v cloudových systémoch.
  • Zvýšenie dôvery na trhu – Cloudové riešenia nie sú úplnou novinkou, ale predsa len je zažitý istý konzervatívny prístup k bezpečnosti údajov v cloudových riešeniach. Práve aplikovaním požiadaviek ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 získate dôveru zainteresovaných strán, čo je predstavuje konkurenčnú výhodu.
  • Štandard ISO/IEC 27017 rozšírených o ISO/IEC 27017 a ISO/IEC 27018 jasne definuje vzťahy, povinnosti a práva medzi zákazníkom a poskytovateľov cloudových služieb. Práve definovanie týchto vzťahov prináša transparentnosť v poskytovaní cloudových služieb.

Ciele portálu Q-Trust

Aktívna pomoc pri implementácií informačnej, kybernetickej bezpečnosti a Privacy v slovenských spoločnostiach. Portál združuje spoločnosti, ktoré na seba dobrovoľne preberajú spoluzodpovednosť za rozvoj informačnej bezpečnosti na Slovensku, ktorá je kľúčovou požiadavka naplnenia regulačných požiadaviek. Aktivity pre naplnenie tohto cieľa: Vzdelávanie, Poradenstvo, Meranie úrovne bezpečnosti, Pomoc pri implementácií štandardov, Príprava na certifikačné audity.

KONTAKTUJTE NÁS

Prosím zadajte telefónne číslo
Prosím zadajte vašu správu
 
Prosím odsúhlaste
 

KDE NÁS NÁJDETE

logo vzor

Q-TRUST s. r. o.​, IČO: 52912621

  Kancelária:

Klincová 37 821 08 Bratislava - Ružinov

  Pracovné hodiny:

Pon - Pia: 9:00 - 17:00 hod.

  Telefón: +421 917 941 299 

  Email: qtrust@qtrust.sk