Prema istraživanju poduzeća Statista, 84% svih njemačkih tvrtki već je 2022. koristilo usluge "u oblaku". Daljnjih 13% planira ili razmišlja o korištenju istih. Stoga će ukupni udio tvrtki koje koriste oblak nastaviti rasti. Međutim, korištenje ili rad ovih usluga povezano je s nizom rizika.

Bez odgovarajućih mjera za povećanje sigurnosti u oblaku, tvrtke su izložene znatnim sigurnosnim rizicima pri upravljanju svojim podacima o klijentima, bez obzira na to gdje su pohranjeni. Nova kontrola 5.23 "Informacijska sigurnost za korištenje usluga u oblaku" u ažuriranoj normi ISO/IEC 27001:2022 opisuje moguće sigurnosne mjere. U sljedećem postu na blogu pokazujemo što pokriva nova sigurnosna mjera i koje aspekte treba uzeti u obzir za uspješnu (re)certifikaciju.

Zašto je sigurnost u oblaku važna?

Od privatnog do javnog oblaka, bilo IaaS, PaaS ili SaaS: strukture oblaka i usluge oblaka određuju velike dijelove današnjih ICT tvrtki, organizacija ili vlasti. Računalstvo u oblaku odavno je postalo stvarnost i iz temelja mijenja način pružanja i korištenja IT usluga.

Međutim, sigurnosni rizici povezani s njegovom sve većom upotrebom složeni su i nisu ograničeni na organizirani kriminal. Neadekvatno upravljanje identitetom i pristupom, pogrešne konfiguracije i nenamjerno otkrivanje podataka u oblaku od strane zaposlenika također su među najvećim prijetnjama.

To potvrđuje godišnje izvješće udruge Cloud Security Alliance za 2022 (CSA). Osim toga, nedostatak sigurnosti može utjecati na dostupnost usluga i ugroziti usklađenost s raznim propisima i standardima koji zahtijevaju zaštitu korisničkih i osobnih podataka.

Sve te prijetnje potaknule su ISO (Međunarodnu organizaciju za standardizaciju) i IEC (Međunarodnu elektrotehničku komisiju) da informacijsku sigurnost za korištenje usluga u oblaku navedu kao zasebnu stavku u novom ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

ISO/IEC 27001:2022

44 Pitanja i odgovora

Kompilacija zanimljivih detalja o revidiranom standardu:

  • Kada bismo trebali prijeći na novi standard?
  • O čemu se radi u novim kontrolama?
  • Gdje mogu pronaći popis usporedbi starog i novog?

...i još 35 drugih.

Poboljšana informacijska sigurnost i usklađenost

Nova preventivna mjera služi za osiguranje sigurnosti informacija prilikom korištenja usluga u oblaku. Podržava - u skladu s odgovarajućim sigurnosnim zahtjevima organizacije - sustavnu definiciju procesa za usvajanje, korištenje, upravljanje i izlaz.

S obzirom na raznolikost ponuđenih usluga, nova Kontrola 5.23 u Dodatku A zahtijeva usklađenost s "pristupom specifičnim za predmet".

Time se žele potaknuti tvrtke da kreiraju politike usluga u oblaku prilagođene pojedinačnim poslovnim funkcijama. U usporedbi s općom politikom koja se primjenjuje u cijelosti na sigurnu upotrebu usluga u oblaku, zahtjevi usklađenosti mogu se rješavati na mnogo precizniji način.

Sigurnost u oblaku kroz novu kontrolu 5.23

Sigurnost informacija za korištenje usluga u oblaku u ovom obliku specifičnom novouvedena je mjera u Dodatku A novog ISO 27001:2022. U prethodnoj verziji usluge u oblaku uglavnom su bile smještene u područje odnosa s dobavljačima.

Zbog sve veće upotrebe i ogromnog razvoja u sektoru oblaka, ima smisla sustavno osigurati usluge oblaka neovisnom mjerom informacijske sigurnosti. Unatoč tome, kontrolu A.5.23 treba blisko koordinirati s mjerama A.5.21 i A.5.22, koje se bave informacijskom sigurnošću u ICT opskrbnom lancu i upravljanjem uslugama dobavljača.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via
Loading...

ICT - Informacijske i komunikacijske tehnologije (Information and communication technologies)

Iskoristite znanje naših stručnjaka

U digitalnom gospodarstvu, ICT bez grešaka ključan je za održavanje poslovnih procesa. Najnovija ažuriranja ISO standarda 27001 i 27002 imaju za cilj minimizirati sigurnosne rizike. Kontrola 5.30 "ICT spremnost za kontinuitet poslovanja" u Dodatku A obvezuje tvrtke da osiguraju kontinuiranu dostupnost ICT-a čak iu slučaju prekida. Pročitajte članak na našem blogu kako biste saznali što to znači za vaš sustav upravljanja sigurnošću informacija.

Provedba kontrole 5.23

S obzirom na informacijsku sigurnost, poduzeća moraju definirati niz aspekata za implementaciju kontrole 5.23. To uključuje sve relevantne zahtjeve, kriterije odabira i područja primjene povezane s korištenjem usluge u oblaku. Detaljan opis uloga i relevantnih odgovornosti određuje kako se te usluge koriste i kako se njima upravlja unutar organizacije.

S vanjske strane, to se mora dogovoriti s pružateljem usluga:

  • Kojim mjerama informacijske sigurnosti upravlja pružatelj usluga?
  • Za koje od njih je odgovorno samo poduzeće?

Također je važno razjasniti kako sigurnosne mjere koje pruža pružatelj mogu biti dostupne, idealno korištene i pouzdano provjerene. Osobito kada koristite više usluga u oblaku različitih pružatelja, jasno definirani procesi podržavaju postupanje s kontrolama, sučeljima i promjenama usluga.

Međutim, zbog višestrukih sigurnosnih rizika kojima su tvrtke u današnje vrijeme izložene, sigurnosni incidenti nikada se ne mogu u potpunosti isključiti. U takvim slučajevima, postupci upravljanja incidentima specifični za uslugu pomažu nositi se s izazovom na najbolji mogući način.

Kako bi se upravljalo takvim rizicima, usluge u oblaku moraju se pratiti, pregledavati i ocjenjivati korištenjem sustavno definiranog pristupa u skladu s revidiranim ISO 27001. Osim toga, standard zahtijeva definiranje procesa za promjenu ili prekid upotrebe usluge. Oni također moraju uključivati eksplicitne izlazne strategije za usluge u oblaku.

Certificirana informacijska sigurnost prema ISO 27001

Zaštitite svoje podatke međunarodnim standardima sustava upravljanja ★ Učinkovita provedba procesa upravljanja rizikom ★ Saznajte više. Bez obveze i besplatno.

Saznajte više o svom ISO 27001 cer­ti­fikatu

Važnost aspekata ugovorne sigurnosti

Ugovorni dizajn usluga u oblaku ključan je za tvrtku korisnika kako bi se uspostavili važni okvirni parametri i pružila pravna zaštita. Međutim, ugovori o uslugama u oblaku često su unaprijed definirani i o njima se ne može pregovarati. Imajući to na umu, tvrtke bi trebale obratiti posebnu pozornost na te ugovore i pomno ih proučiti. Na taj način osiguravaju ispunjavanje bitnih operativnih zahtjeva za ciljeve zaštite informacijske sigurnosti "povjerljivost, cjelovitost, dostupnost" i obrada informacija.

Kako bi se to osiguralo, usluga u oblaku trebala bi ponuditi rješenja temeljena na standardima za arhitekturu i infrastrukturu priznatima u industriji. Ona bi trebala imati kontrole pristupa koje zadovoljavaju sigurnosne zahtjeve i uključivati rješenja za nadzor i zaštitu od zlonamjernog softvera. Trebalo bi ugovorom odrediti da je obrada i pohrana osjetljivih informacija dopuštena samo na ovlaštenim lokacijama ili unutar određene jurisdikcije. To je, primjerice, važno za kritične infrastrukture.

Pružatelj usluga mora pružiti ciljanu podršku u slučaju sigurnosnog incidenta u okruženju usluga u oblaku i ponuditi opću podršku u prikupljanju digitalnih dokaza. Sigurnosni zahtjevi također moraju biti ispunjeni kada se usluga prosljeđuje vanjskim pružateljima usluga.

Ako tvrtka želi napustiti uslugu, pružatelj bi trebao ostati predan podršci i dostupnosti usluge kroz razumno vremensko razdoblje. Stoga je također potrebno osigurati sigurnosne kopije podataka i informacija o konfiguraciji te njima sigurno upravljati ako je potrebno. Informacije kao što su konfiguracijske datoteke, izvorni kod i osjetljivi podaci u vlasništvu organizacije moraju se dostaviti na zahtjev ili vratiti nakon prekida usluge.

Kupac usluge u oblaku treba razmotriti, u skladu sa svojim sigurnosnim zahtjevima, treba li ugovor uključiti obvezu obavještavanja ako pružatelj usluge u oblaku izvrši značajne promjene. To uključuje:

  • Promjene tehničke infrastrukture koje utječu na ponudu usluga
  • Obrada ili pohrana informacija u novoj geografskoj ili pravnoj nadležnosti

Korištenje ili promjena ravnopravnih pružatelja usluga u oblaku ili drugih podizvođača

Sigurnost u oblaku kroz novu kontrolu 5.23 - Zaključak

Prema studiji koju je provelo poduzeće Statista 2022. godine, 84% svih njemačkih kompanija koristi usluge u oblaku. Uz to, 13 posto je u fazi odlučivanja ili planiranja njihove uporabe. To znači da zaštita osobnih informacija i povjerljivih podataka postaje sve važnija.

S novom sigurnosnom mjerom, ISO i IEC brišu važan jaz u zaštiti modernih ICT arhitektura i osjetljivih podataka tvrtki, organizacija i vlasti. To znači da standard informacijske sigurnosti ISO 27001, kao globalni standard, sada također doprinosi dosljednoj, sustavnoj sigurnosti u oblaku.

Bez obzira posluje li vaše poduzeće u javnom oblaku, privatnom oblaku ili hibridnom oblaku, rješenja za informacijsku sigurnost i najbolje prakse su ključna. To je jedini način da se osigura kontinuitet poslovanja i usklađenost. Osobito u vremenima nedostatka vještina i decentraliziranih korporativnih mreža, sigurnost podataka u oblaku i dalje će rasti na važnosti u nadolazećim godinama.

Nova kontrola 5.23 iz Dodatka A stvara okvir za korisnike usluga u oblaku. Mogu ga koristiti kako bi testirali svoje postojeće mjere informacijske sigurnosti i prilagodili ih ako je potrebno.

Uz veliki broj osnovnih organizacijskih zahtjeva, nova kontrola također naglašava važnost bliske suradnje s pružateljem usluga u oblaku kako bi se u svakom trenutku održala međusobna razmjena informacija. Ovo promiče uzajamne mehanizme za praćenje definiranih značajki usluge i za prepoznavanje i prijavu kršenja dogovorenih obveza.

Što ažuriranje znači za vašu certifikaciju?

Novi ISO/IEC 27001:2022 objavljen je na engleskom jeziku 25. listopada 2022. To rezultira sljedećim rokovima i razdobljima prijelaza za korisnike

Prijenos svih postojećih certifikata na novu verziju:

  • Prijelazno razdoblje od 3 godine primjenjuje se od 31. listopada 2022.
  • Certifikati izdani u skladu s ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede samo do 31. listopada 2025., nakon čega se stare norme smatraju povučenima.

Zadnji datum za inicijalne certifikacije i recertifikacije prema "starom" ISO 27001:

  • 30. travnja 2024. - od 1. svibnja 2024. DQS će provoditi samo inicijalne i recertifikacijske audite prema novoj verziji iz 2022.

ISO/IEC 27001:2022 - Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi su dostupni na www.iso.org.

DQS Grupa: koncentrirano znanje i iskustvo audita

Kao što se može vidjeti iz rokova, poduzećima je preostalo još malo vremena da svoj sustav upravljanja informacijskom sigurnošću prilagode novim zahtjevima i da ga certificiraju. Trajanje i trud za cjelokupni proces promjene ne treba podcijeniti.

Kao stručnjaci za audite i certifikaciju s gotovo 40 godina stručnosti, rado ćemo vas podržati u procjeni vašeg trenutnog statusa, na primjer u sklopu delta audita. Postavite pitanje našim iskusnim auditorima o glavnim promjenama i njihovoj važnosti za vašu organizaciju. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi certifikat.

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja za naše autore o sadržaju teksta ili našim uslugama, veselimo se vašem javljanju.

Autor
André Saeckel

Voditelj proizvoda u DQS-u za upravljanje informacijskom sigurnošću. Kao stručnjak za standarde za područje informacijske sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel je odgovoran za sljedeće opće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informacijska sigurnost u automobilskoj industriji). Također je član radne skupine ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za normiranje (DIN).

Loading...

Relevantni članci i događanja

Možda vas zanima
Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Upravljanje konfiguracijom u informacijskoj sigurnosti

Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle
Loading...

Tehničke mjere u informacijskoj sigurnosti

Blog
ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via
Loading...

ICT sigurnost za kontinuitet poslovanja - kontrola 5.30 u ISO 27001