a young woman sits at a desk in front of a screen with a reference to cloud storage

Zabezpečení cloudu podle normy ISO 27001:2022

André Saeckel

Expert DQS pro standard informační bezpečnosti
pro 29 , 2023
# Bezpečnost informací a řízení rizik

Podle studie společnosti Statista mělo v roce 2022 využívat cloudové služby již 84 % všech německých společností. Dalších 13 % jejich využití plánuje nebo o něm jedná. Celkový podíl společností využívajících cloudové služby se tedy bude i nadále zvyšovat. Využívání či provozování těchto služeb je však spojeno s řadou rizik.

Bez vhodných opatření ke zvýšení bezpečnosti v cloudu jsou společnosti při správě dat svých zákazníků vystaveny značným bezpečnostním rizikům, a to bez ohledu na to, kde jsou uložena. Nová kontrola 5.23 "Zabezpečení informací při využívání cloudových služeb" v aktualizované normě ISO/IEC 27001:2022 popisuje možná bezpečnostní opatření. V následujícím příspěvku na blogu si ukážeme, co nové bezpečnostní opatření zahrnuje a které aspekty je třeba zohlednit pro úspěšnou (re)certifikaci.

OBSAH

Proč je zabezpečení cloudu důležité?

Od privátního po veřejný cloud, ať už jde o IaaS, PaaS nebo SaaS: cloudové struktury a cloudové služby určují velkou část dnešních ICT krajin společností, organizací nebo úřadů. Cloud computing se již dávno stal realitou a zásadně mění způsob poskytování a využívání IT služeb.

Bezpečnostní rizika spojená s jeho rostoucím využíváním jsou však komplexní a neomezují se pouze na organizovaný zločin. Mezi největší hrozby patří také nedostatečná správa identit a přístupu, chybná konfigurace a neúmyslné vyzrazení cloudových dat zaměstnanci.

To potvrzuje i výroční zpráva Cloud Security Alliance (CSA) za rok 2022. Nedostatečné zabezpečení navíc může ovlivnit dostupnost služeb a ohrozit dodržování různých předpisů a norem, které vyžadují ochranu zákaznických a osobních údajů.

Všechny tyto hrozby přiměly organizace ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise), aby v nové normě ISO/IEC 27001:2022 uvedly zabezpečení informací pro využívání cloudových služeb jako samostatný bod.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Otázky a odpovědi

Kompilace zajímavých informací o revidované normě:

  • Kdy bychom měli přejít na novou normu?
  • V čem spočívají nové kontrolní mechanismy?
  • Kde lze najít seznam shod stará vs. nová norma?

...a 35 dalších.

Stáhněte si zdarma

Lepší zabezpečení informací a dodržování předpisů

Nové preventivní opatření slouží k zajištění bezpečnosti informací při využívání cloudových služeb. Podporuje - v souladu s příslušnými bezpečnostními požadavky organizace - systematické definování procesů pro pořízení, používání, správu a ukončení.

Vzhledem k rozmanitosti nabízených služeb vyžaduje nové kontrolní opatření 5.23 v příloze A dodržování "specifického přístupu k danému subjektu".

To má povzbudit společnosti, aby vytvářely politiky cloudových služeb přizpůsobené jednotlivým podnikovým funkcím. V porovnání s obecnou politikou, která se vztahuje plošně na bezpečné využívání cloudových služeb, lze požadavky na shodu řešit mnohem podrobněji.

Zabezpečení cloudu prostřednictvím nové kontroly 5.23

Zabezpečení informací pro využívání cloudových služeb v této specifické podobě je nově zavedené opatření v příloze A nové normy ISO 27001:2022. V předchozí verzi se cloudové služby obecně nacházely v oblasti dodavatelských vztahů.

Vzhledem k rostoucímu využívání a obrovskému vývoji v oblasti cloudu má smysl cloudové služby systematicky zabezpečovat samostatným opatřením pro zabezpečení informací. Nicméně kontrola A.5.23 by měla být úzce koordinována s opatřeními A.5.21 a A.5.22, která se zabývají bezpečností informací v dodavatelském řetězci ICT a řízením dodavatelských služeb.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

ICT - informační a komunikační technologie

Využijte znalostí našich odborníků

V digitální ekonomice jsou bezchybné informační a komunikační technologie nezbytné pro zachování obchodních procesů. Cílem nejnovějších aktualizací norem ISO 27001 a 27002 je minimalizovat bezpečnostní rizika. Kontrola 5.30 "Připravenost ICT na kontinuitu podnikání" v příloze A zavazuje společnosti zajistit nepřetržitou dostupnost ICT i v případě narušení. Přečtěte si náš příspěvek na blogu a zjistěte, co to znamená pro váš systém řízení bezpečnosti informací.

Prozkoumejte článek

Provádění kontroly 5.23

S ohledem na bezpečnost informací musí společnosti definovat řadu aspektů pro implementaci kontroly 5.23 . Ty zahrnují všechny relevantní požadavky, kritéria výběru a oblasti použití spojené s využíváním cloudové služby. Podrobný popis rolí a příslušných odpovědností určuje, jak jsou tyto služby v organizaci využívány a spravovány.

Na externí straně musí být dohodnuty s poskytovatelem služby:

  • Jaká opatření v oblasti bezpečnosti informací poskytovatel služeb spravuje?
  • Za která je odpovědná samotná společnost?

Důležité je také vyjasnit, jakým způsobem mohou být bezpečnostní opatření poskytovaná poskytovatelem zpřístupněna, v ideálním případě využívána a spolehlivě kontrolována. Zejména při využívání více cloudových služeb od různých poskytovatelů podporují jasně definované procesy manipulaci s kontrolami, rozhraními a změnami služeb.

Vzhledem k četným bezpečnostním rizikům, kterým jsou v dnešní době společnosti vystaveny, však nelze bezpečnostní incidenty nikdy zcela vyloučit. V takových případech pomáhají postupy řízení incidentů specifické pro jednotlivé služby vypořádat se s výzvou tím nejlepším možným způsobem.

Aby bylo možné taková rizika řídit, je třeba cloudové služby monitorovat, přezkoumávat a vyhodnocovat pomocí systematicky definovaného přístupu v souladu s revidovanou normou ISO 27001. Kromě toho norma vyžaduje, aby byly definovány procesy pro změnu nebo ukončení používání služby. Ty musí zahrnovat také explicitní strategie ukončení cloudových služeb.

Certifikované zabezpečení informací podle normy ISO 27001

Chraňte své informace pomocí systému řízení podle mezinárodní normy ★ Efektivní zavedení procesu řízení rizik ★ Zjistěte více. Nezávazné a bezplatné.

Zjistěte více o své certifikaci ISO 27001e

Význam smluvních bezpečnostních aspektů

Smluvní úprava cloudových služeb je pro zákaznickou společnost zásadní, aby stanovila důležité rámcové parametry a zajistila právní ochranu. Smlouvy o cloudových službách jsou však často předem definované a nelze o nich vyjednávat. S ohledem na to by společnosti měly těmto smlouvám věnovat zvláštní pozornost a pečlivě je zkoumat. Tímto způsobem zajistí splnění základních provozních požadavků na cíle ochrany bezpečnosti informací "důvěrnost, integrita, dostupnost" a zpracování informací.

Aby to bylo zajištěno, měla by cloudová služba poskytovat řešení založená na průmyslově uznávaných standardech pro architekturu a infrastrukturu. Měla by mít řízení přístupu, které splňuje bezpečnostní požadavky, a zahrnovat řešení pro monitorování a ochranu před škodlivým softwarem. Mělo by být smluvně stanoveno, že zpracování a ukládání citlivých informací je povoleno pouze na autorizovaných místech nebo v rámci určité jurisdikce. To je důležité například u kritických infrastruktur.

Poskytovatel služeb musí poskytovat cílenou podporu v případě bezpečnostního incidentu v prostředí cloudových služeb a nabízet obecnou podporu při shromažďování digitálních důkazů. Bezpečnostní požadavky musí být splněny také v případě, že je služba předána externím poskytovatelům služeb.

Pokud chce společnost službu opustit, měl by se poskytovatel zavázat k podpoře a dostupnosti služby po přiměřenou dobu. Musí proto také poskytnout záložní kopie dat a informací o konfiguraci a v případě potřeby je bezpečně spravovat. Informace, jako jsou konfigurační soubory, zdrojové kódy a citlivá data ve vlastnictví organizace, musí být poskytnuty na vyžádání nebo vráceny po ukončení služby.

Zákazník cloudových služeb by měl v souladu se svými vlastními bezpečnostními požadavky zvážit, zda by smlouva měla obsahovat povinnost informovat, pokud poskytovatel cloudových služeb provede významné změny. Mezi ně patří např:

  • změny technické infrastruktury, které mají vliv na nabídku služeb
  • zpracování nebo ukládání informací v nové zeměpisné nebo právní jurisdikci

využívání nebo změna rovnocenných poskytovatelů cloudových služeb nebo jiných subdodavatelů

Zabezpečení cloudu prostřednictvím nové kontroly 5.23 - Závěr

Podle studie společnosti Statista z roku 2022 využívá cloudové služby 84 % všech německých společností. Kromě toho je 13 % z nich ve fázi rozhodování nebo plánování jejich využití. To znamená, že ochrana osobních údajů a důvěrných dat je stále důležitější.

Díky novému bezpečnostnímu opatření ISO a IEC vyplňují důležitou mezeru v ochraně moderních ICT architektur a citlivých dat společností, organizací a úřadů. Znamená to, že norma pro bezpečnost informací ISO 27001 jako celosvětová norma nyní přispívá také k důslednému a systematickému zabezpečení cloudu.

Bez ohledu na to, zda vaše společnost provozuje veřejný cloud, privátní cloud nebo hybridní cloudové prostředí, jsou řešení a osvědčené postupy v oblasti bezpečnosti informací nezbytné. Jedině tak lze zajistit kontinuitu podnikání a shodu s předpisy. Zejména v době nedostatku kvalifikovaných pracovníků a decentralizovaných podnikových sítí bude zabezpečení dat v cloudu v příštích letech nadále nabývat na významu.

Nová kontrola 5.23 z přílohy A poskytuje uživatelům cloudových služeb rámec. Mohou jej využít k otestování svých stávajících opatření v oblasti bezpečnosti informací a v případě potřeby je upravit.

Kromě velkého množství základních organizačních požadavků zdůrazňuje nová kontrola také význam úzké spolupráce s poskytovatelem cloudových služeb, aby byla vždy zachována vzájemná výměna informací. To podporuje vzájemné mechanismy pro sledování definovaných funkcí služby a identifikaci a hlášení porušení dohodnutých povinností.

Co znamená aktualizace pro vaši certifikaci?

Nová norma ISO/IEC 27001:2022 byla v angličtině zveřejněna 25. října 2022. Z toho vyplývají pro uživatele následující termíny a období pro přechod na tuto normu

Převod všech stávajících certifikátů na novou verzi:

  • Od 31. října 2022 platí tříleté přechodné období.
  • Certifikáty vydané podle norem ISO/IEC 27001:2013 nebo DIN EN ISO/IEC 27001:2017 jsou platné pouze do 31. října 2025, poté se staré normy považují za zrušené.

Poslední datum pro prvotní certifikace a recertifikace podle "staré" normy ISO 27001:

  • 30. dubna 2024 - od 1. května 2024 bude DQS provádět pouze počáteční a recertifikační audity podle nové verze z roku 2022.

Norma ISO/IEC 27001:2022 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky je k dispozici na adrese www.iso.org.

DQS Group: Soustředěné know-how v oblasti auditů

Jak ukazují termíny, společnosti mají na přizpůsobení svého systému řízení bezpečnosti informací novým požadavkům a na jeho certifikaci už jen omezený čas. Délku a náročnost celého procesu změn nelze podceňovat.

Jako odborníci na audit a certifikaci s téměř 40letou praxí vám rádi pomůžeme při hodnocení vašeho současného stavu, například v rámci delta auditu. Zeptejte se našich zkušených auditorů na hlavní změny a jejich význam pro vaši organizaci. Společně s vámi probereme možnosti zlepšení a podpoříme vás až do získání nového certifikátu.

Důvěra a odbornost

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro jejich autora, budeme se těšit na vaše odpovědi.

Autor
André Saeckel

Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás