a young woman sits at a desk in front of a screen with a reference to cloud storage

Sigurnost u oblaku sa ISO 27001:2022

André Saeckel

DQS expert za standard za sigurnost informacija
dec 29 , 2023
# Sigurnost informacija i upravljanje rizicima

Prema studiji Statista, 84% svih njemačkih kompanija već je koristilo usluge oblaka 2022. Još 13% planira ili raspravlja o njihovoj upotrebi. Ukupni udio kompanija koje koriste oblak će stoga nastaviti da raste. Međutim, korištenje ili rad ovih usluga povezano je s različitim rizicima.

Bez odgovarajućih mjera za povećanje sigurnosti u oblaku, kompanije su izložene značajnim sigurnosnim rizicima kada upravljaju svojim podacima o klijentima, bez obzira na to gdje su pohranjeni. Nova Kontrola 5.23 „Sigurnost informacija za korištenje usluga u oblaku“ u ažuriranom standardu ISO/IEC 27001:2022 opisuje moguće mjere sigurnosti. U sljedećem blog postu pokazujemo šta pokriva nova sigurnosna mjera i koje aspekte treba uzeti u obzir za uspješnu (ponovnu) certifikaciju.

CONTENT

Zašto je sigurnost u oblaku važna?

Od privatnog do javnog oblaka, bilo IaaS, PaaS ili SaaS: strukture oblaka i usluge u oblaku određuju veliki dio današnjeg ICT pejzaža kompanija, organizacija ili vlasti. Računarstvo u oblaku je odavno postalo stvarnost i iz temelja mijenja način na koji se IT usluge pružaju i koriste.

Međutim, sigurnosni rizici povezani sa njegovom sve većom upotrebom su složeni i nisu ograničeni na organizovani kriminal. Neadekvatno upravljanje identitetom i pristupom, pogrešne konfiguracije i nenamjerno otkrivanje podataka u oblaku od strane zaposlenih također su među najvećim prijetnjama.

To potvrđuje godišnji izvještaj Cloud Security Alliance za 2022 (CSA). Osim toga, nedostatak sigurnosti može uticati na dostupnost usluga i ugroziti poštivanje različitih propisa i standarda koji zahtijevaju zaštitu podataka korisnika i ličnih podataka.

Sve ove prijetnje navele su ISO (Međunarodnu organizaciju za standardizaciju) i IEC (Međunarodnu elektrotehničku komisiju) da navedu sigurnost informacija za korištenje usluga u oblaku kao posebnu stavku u novom ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Pitanja i odgovora

Kompilacija zanimljivih detalja o revidiranom standardu:

  • Kada treba da pređemo na novi standard?
  • O čemu su sve nove kontrole?
  • Gdje mogu naći listu starih i novih korespondencija?

...i još 35.

Preuzmite besplatno!

Poboljšana sigurnost informacija i usklađenost

Nova preventivna mjera služi za osiguranje sigurnosti informacija kada koristite usluge u oblaku. Podržava - u skladu sa odgovarajućim sigurnosnim zahtjevima organizacije - sistematsko definisanje procesa za stjecanje, korištenje, upravljanje i izlazak.

S obzirom na raznolikost usluga u ponudi, nova kontrola 5.23 u Aneksu A zahtijeva usklađenost sa "predmetno-specifičnim pristupom".

Ovo ima za cilj da podstakne kompanije da kreiraju politike cloud usluga prilagođene pojedinačnim poslovnim funkcijama. U poređenju sa opštom politikom koja se primenjuje u cijelosti na sigurno korištenje usluga u oblaku, zahtjevi usklađenosti mogu se adresirati na mnogo detaljniji način.

Sigurnost u oblaku kroz novu Kontrolu 5.23

Sigurnost informacija za korištenje usluga u oblaku u ovom obliku specifičnom za oblak je novouvedena mjera u Aneksu A novog ISO 27001:2022. U prethodnoj verziji, usluge u oblaku su se uglavnom nalazile u oblasti odnosa sa dobavljačima.

Zbog sve veće upotrebe i ogromnog razvoja u sektoru oblaka, ima smisla sistematski osigurati usluge u oblaku nezavisnom mjerom sigurnosti informacija. Ipak, kontrola A.5.23 treba da bude blisko koordinisana sa mjerama A.5.21 i A.5.22, koje se bave sigurnošću informacija u lancu nabavke IKT i upravljanjem uslugama dobavljača.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT - Informacione i komunikacione tehnologije

Iskoristite znanje naših stručnjaka

U digitalnoj ekonomiji IKT bez grešaka je od suštinskog značaja za održavanje poslovnih procesa. Najnovija ažuriranja ISO standarda 27001 i 27002 imaju za cilj minimiziranje sigurnosnih rizika. Kontrola 5.30 "IKT spremnost za kontinuitet poslovanja" u Aneksu A obavezuje kompanije da osiguraju kontinuiranu dostupnost IKT čak i u slučaju prekida. Pročitajte naš blog post da saznate šta to znači za vaš sistem upravljanja sigurnošću informacija.

Istražite članak

Implementacija Kontrole 5.23

U pogledu informacione sigurnosti, kompanije moraju definisati niz aspekata za implementaciju Kontrole 5.23. To uključuje sve relevantne zahtjeve, kriterije odabira i područja primjene povezane s korištenjem usluge u oblaku. Detaljan opis uloga i relevantnih odgovornosti određuje kako se ove usluge koriste i upravljaju unutar organizacije.

Sa vanjske strane, ovo se mora dogovoriti sa pružaocem usluga:

  • Kojim mjerama sigurnosti informacija upravlja provajder usluga?
  • Za koje je odgovorna sama kompanija?

Također je važno razjasniti kako sigurnosne mjere koje pruža provajder mogu biti dostupne, idealno korištene i pouzdano provjerene. Posebno kada se koristi više usluga u oblaku od različitih provajdera, jasno definisani procesi podržavaju rukovanje kontrolama, sučeljima i promjenama usluga.

Međutim, zbog višestrukih sigurnosnih rizika kojima su kompanije danas izložene, sigurnosni incidenti se nikada ne mogu u potpunosti isključiti. U takvim slučajevima, procedure upravljanja incidentima specifične za uslugu pomažu u rješavanju izazova na najbolji mogući način.

Da bi se upravljalo takvim rizicima, usluge u oblaku moraju biti praćene, pregledane i procijenjene korištenjem sistematski definisanog pristupa u skladu sa revidiranim ISO 27001. Osim toga, standard zahtijeva da se definišu procesi za promjenu ili prestanak korištenja usluge. One također moraju uključivati eksplicitne izlazne strategije za usluge u oblaku.

Certificirana sigurnost informacija prema ISO 27001

Zaštitite svoje informacije pomoću međunarodnog standardnog sistema upravljanja ★ Efikasna implementacija procesa upravljanja rizikom ★ Saznajte više. Neobvezujuće i besplatno.

Saznajte više o vašem ISO 27001 certifikatu

Važnost ugovornih sigurnosnih aspekata

Ugovorni dizajn cloud usluga je od suštinskog značaja za kompaniju korisnika kako bi se uspostavili važni okvirni parametri i obezbijedila pravna zaštita. Međutim, ugovori o uslugama u oblaku često su unaprijed definisani i o njima se ne može pregovarati. Imajući to na umu, kompanije treba da obrate posebnu pažnju na ove sporazume i da ih pomno prouče. Na taj način osiguravaju ispunjenje bitnih operativnih zahtjeva za ciljeve zaštite sigurnosti informacija "povjerljivost, integritet, dostupnost“ i obrada informacija.

Da bi se to osiguralo, usluga u oblaku bi trebala ponuditi rješenja zasnovana na industrijski priznatim standardima za arhitekturu i infrastrukturu. Trebalo bi da ima kontrole pristupa koje ispunjavaju sigurnosne zahtjeve i uključuju rješenja za nadzor i zaštitu od zlonamjernog softvera. Ugovorom treba predvidjeti da je obrada i pohrana osjetljivih informacija dozvoljena samo na ovlaštenim lokacijama ili unutar određene jurisdikcije. Ovo je važno za kritične infrastrukture, na primjer.

Pružalac usluge mora pružiti ciljanu podršku u slučaju sigurnosnog incidenta u okruženju usluge u oblaku i ponuditi opću podršku u prikupljanju digitalnih dokaza. Sigurnosni zahtjevi također moraju biti ispunjeni kada se usluga prosljeđuje vanjskim dobavljačima usluga.

Ako kompanija želi da napusti uslugu, provajder treba da ostane posvećen podršci i dostupnosti usluga u razumnom vremenskom periodu. Stoga također moraju osigurati sigurnosne kopije podataka i konfiguracijskih informacija i sigurno upravljati njima ako je potrebno. Informacije kao što su konfiguracijske datoteke, izvorni kod i osjetljivi podaci u vlasništvu organizacije moraju se dati na zahtjev ili vratiti po prestanku usluge.

Klijent usluge u oblaku treba da razmotri, u skladu sa sopstvenim sigurnosnim zahtjevima, da li ugovor treba da sadrži obavezu obavještavanja ako provajder oblaka napravi značajne promjene. To uključuje:

  • Promjene tehničke infrastrukture koje utiču na ponudu usluga
  • Obrada ili skladištenje informacija u novoj geografskoj ili pravnoj jurisdikciji
  • Korištenje ili promjena provajdera usluga u oblaku ili drugih podizvođača

Sigurnost u oblaku kroz novu Kontrolu 5.23 - Zaključak

Prema studiji koju je proveo Statista 2022. godine 84% svih njemačkih kompanija koristi usluge u oblaku. Osim toga, 13 posto je u fazi donošenja odluka ili planiranja za njihovu upotrebu. To znači da zaštita ličnih podataka i povjerljivih podataka postaje sve važnija.

S novom sigurnosnom mjerom, ISO i IEC zatvaraju važnu prazninu u zaštiti modernih IKT arhitektura i osjetljivih podataka kompanija, organizacija i vlasti. To znači da je standard sigurnosti informacija ISO 27001, kao globalni standard, sada također doprinosi dosljednoj, sistematskoj sigurnosti u oblaku.

Bez obzira da li vaša kompanija posluje u javnom oblaku, privatnom oblaku ili hibridnom oblaku, rješenja za sigurnost informacija i najbolje prakse su od suštinskog značaja. Ovo je jedini način da se osigura kontinuitet poslovanja i usklađenost. Posebno u vremenima nedostatka vještina i decentraliziranih korporativnih mreža, sigurnost podataka u oblaku nastavit će rasti na važnosti u narednim godinama.

Nova Kontrola 5.23 iz Dodatka A pruža korisnicima usluga u oblaku okvir. Mogu ga koristiti kako bi testirali svoje postojeće mjere sigurnosti informacija i prilagodili ih ako je potrebno.

Pored velikog broja osnovnih organizacionih zahtjeva, nova kontrola također naglašava važnost bliske saradnje sa pružaocem usluga u oblaku kako bi se održala međusobna razmjena informacija u svakom trenutku. Ovo promoviše recipročne mehanizme za praćenje definisanih karakteristika usluga i za identifikaciju i prijavu kršenja ugovorenih obaveza.

Šta ažuriranje znači za vašu certifikaciju?

Novi ISO/IEC 27001:2022 objavljen je na engleskom jeziku 25. oktobra 2022. To rezultira sljedećim rokovima i periodima za prijelaz za korisnike

Konverzija svih postojećih certifikata u novu verziju:

  • Prijelazni period od 3 godine primjenjuje se od 31. oktobra 2022. godine.
  • Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede samo do 31. oktobra 2025. godine, nakon čega se stari standardi smatraju povučenima.

Zadnji datum za inicijalne certifikacije i recertifikacije prema "starom" ISO 27001:

  • 30. april 2024. - od 1. maja 2024. DQS će provoditi samo inicijalne i recertifikacijske audite prema novoj verziji za 2022. godinu.

ISO/IEC 27001:2022 - Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Sistemi upravljanja sigurnošću informacija - Zahtjevi su dostupni na www.iso.org. 

DQS Grupa: Koncentrisano znanje za audite

Kao što rokovi pokazuju, kompanijama je preostalo samo ograničeno vrijeme da prilagode svoj sistem upravljanja sigurnošću informacija novim zahtjevima i da ga certificiraju. Trajanje i napor cijelog procesa promjene ne treba potcijeniti.

Kao stručnjaci za audit i certifikaciju sa skoro 40 godina iskustva, rado ćemo vam pružiti podršku u procjeni vašeg trenutnog statusa, na primjer kao dio delta audita. Pitajte naše iskusne auditore o glavnim promjenama i njihovoj važnosti za vašu organizaciju. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi certifikat.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, radujemo se vašem upitu.

Autor
André Saeckel

Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas