a young woman sits at a desk in front of a screen with a reference to cloud storage

Bezpieczeństwo w chmurze z ISO 27001:2022

André Saeckel

Ekspert ds. standardów DQS w zakresie bezpieczeństwa informacji
gru 29 , 2023
# Bezpieczeństwo informacji i zarządzanie ryzykiem

Według badania przeprowadzonego przez Statista, 84% wszystkich niemieckich firm korzystało już z usług w chmurze w 2022 roku. Kolejne 13 procent planuje lub omawia ich wykorzystanie. Ogólny odsetek firm korzystających z chmury będzie zatem nadal wzrastał. Jednak korzystanie z tych usług lub ich obsługa wiąże się z różnymi zagrożeniami.

Bez odpowiednich środków mających na celu zwiększenie bezpieczeństwa w chmurze, firmy są narażone na znaczne zagrożenia bezpieczeństwa podczas zarządzania danymi swoich klientów, niezależnie od tego, gdzie są one przechowywane. Nowa kontrola 5.23 "Bezpieczeństwo informacji przy korzystaniu z usług w chmurze" w zaktualizowanej normie ISO/IEC 27001:2022 opisuje możliwe środki bezpieczeństwa. W poniższym wpisie na blogu pokazujemy, co obejmuje nowy środek bezpieczeństwa i jakie aspekty należy wziąć pod uwagę w celu pomyślnej (ponownej) certyfikacji.

TREŚĆ

Dlaczego bezpieczeństwo w chmurze jest ważne?

Od chmury prywatnej po publiczną, czy to IaaS, PaaS czy SaaS: struktury chmury i usługi w chmurze determinują dużą część dzisiejszych krajobrazów ICT firm, organizacji lub władz. Przetwarzanie w chmurze już dawno stało się rzeczywistością i zasadniczo zmienia sposób świadczenia i korzystania z usług IT.

Zagrożenia dla bezpieczeństwa związane z ich rosnącym wykorzystaniem są jednak złożone i nie ograniczają się do przestępczości zorganizowanej. Nieodpowiednie zarządzanie tożsamością i dostępem, błędne konfiguracje i nieumyślne ujawnienie danych w chmurze przez pracowników również należą do największych zagrożeń.

Potwierdza to roczny raport Cloud Security Alliance (CSA) z 2022 roku. Ponadto brak zabezpieczeń może wpłynąć na dostępność usług i zagrozić zgodności z różnymi przepisami i normami, które wymagają ochrony danych klientów i danych osobowych.

Wszystkie te zagrożenia skłoniły ISO (Międzynarodową Organizację Normalizacyjną) i IEC (Międzynarodową Komisję Elektrotechniczną) do wymienienia bezpieczeństwa informacji w zakresie korzystania z usług w chmurze jako osobnej pozycji w nowej normie ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Pytania i odpowiedzi

Kompilacja interesujących szczegółów na temat zmienionej normy:

  • Kiedy powinniśmy przejść na nową normę?
  • Na czym polegają nowe mechanizmy kontrolne?
  • Gdzie mogę znaleźć listę korespondencji starej i nowej?

...i 35 innych.

Pobierz bezpłatnie

Większe bezpieczeństwo informacji i zgodność z przepisami

Nowy środek zapobiegawczy służy zapewnieniu bezpieczeństwa informacji podczas korzystania z usług w chmurze. Wspiera on - zgodnie z odpowiednimi wymogami bezpieczeństwa organizacji - systematyczne definiowanie procesów pozyskiwania, użytkowania, zarządzania i wycofywania.

Biorąc pod uwagę różnorodność oferowanych usług, nowa kontrola 5.23 w załączniku A wymaga zgodności z "podejściem tematycznym".

Ma to na celu zachęcenie firm do tworzenia polityk dotyczących usług w chmurze dostosowanych do poszczególnych funkcji biznesowych. W porównaniu z ogólną polityką, która ma zastosowanie do bezpiecznego korzystania z usług w chmurze, wymagania dotyczące zgodności można rozwiązać w znacznie bardziej szczegółowy sposób.

Bezpieczeństwo w chmurze dzięki nowej Kontroli 5.23

Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze w tej specyficznej dla chmury formie jest nowo wprowadzonym środkiem w załączniku A do nowej normy ISO 27001:2022. W poprzedniej wersji usługi w chmurze były zasadniczo zlokalizowane w obszarze relacji z dostawcami.

Ze względu na rosnące wykorzystanie i ogromny rozwój w sektorze chmury, sensowne jest systematyczne zabezpieczanie usług w chmurze za pomocą niezależnego środka bezpieczeństwa informacji. Niemniej jednak kontrola A.5.23 powinna być ściśle skoordynowana ze środkami A.5.21 i A.5.22, które dotyczą bezpieczeństwa informacji w łańcuchu dostaw ICT i zarządzania usługami dostawców.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

ICT - Information and communication technologies

Skorzystaj z wiedzy naszych ekspertów

W gospodarce cyfrowej bezbłędne technologie informacyjno-komunikacyjne są niezbędne do utrzymania procesów biznesowych. Najnowsze aktualizacje norm ISO 27001 i 27002 mają na celu zminimalizowanie ryzyka związanego z bezpieczeństwem. Kontrola 5.30 "Gotowość ICT do ciągłości działania" w załączniku A zobowiązuje firmy do zapewnienia ciągłej dostępności ICT nawet w przypadku zakłóceń. Przeczytaj nasz wpis na blogu, aby dowiedzieć się, co to oznacza dla Twojego systemu zarządzania bezpieczeństwem informacji.

Zapoznaj się z artykułem

Wdrożenie Kontroli 5.23

W odniesieniu do bezpieczeństwa informacji, firmy muszą zdefiniować szereg aspektów w celu wdrożenia Kontroli 5.23 . Obejmują one wszystkie odpowiednie wymagania, kryteria wyboru i obszary zastosowania związane z korzystaniem z usługi w chmurze. Szczegółowy opis ról i odpowiednich obowiązków określa sposób korzystania z tych usług i zarządzania nimi w organizacji.

Po stronie zewnętrznej należy to uzgodnić z dostawcą usług:

  • Jakimi środkami bezpieczeństwa informacji zarządza dostawca usług?
  • Za które odpowiada sama firma?

Ważne jest również wyjaśnienie, w jaki sposób środki bezpieczeństwa zapewniane przez dostawcę mogą być udostępniane, idealnie wykorzystywane i niezawodnie sprawdzane. Szczególnie w przypadku korzystania z wielu usług w chmurze od różnych dostawców, jasno zdefiniowane procesy wspierają obsługę kontroli, interfejsów i zmian w usługach.

Jednak ze względu na liczne zagrożenia bezpieczeństwa, na które narażone są obecnie firmy, nigdy nie można całkowicie wykluczyć incydentów bezpieczeństwa. W takich przypadkach procedury zarządzania incydentami specyficzne dla usługi pomagają poradzić sobie z wyzwaniem w najlepszy możliwy sposób.

Aby zarządzać takim ryzykiem, usługi w chmurze muszą być monitorowane, weryfikowane i oceniane przy użyciu systematycznie definiowanego podejścia zgodnie ze zmienioną normą ISO 27001. Ponadto norma wymaga zdefiniowania procesów zmiany lub zaprzestania korzystania z usługi. Muszą one również obejmować wyraźne strategie wyjścia dla usług w chmurze.

Certyfikowane bezpieczeństwo informacji zgodnie z ISO 27001

Chroń swoje informacje za pomocą międzynarodowego standardowego systemu zarządzania ★ Skuteczne wdrożenie procesu zarządzania ryzykiem ★ Dowiedz się więcej. Niewiążące i bezpłatne.

Dowiedz się więcej o certyfikacji ISO 27001

Znaczenie umownych aspektów bezpieczeństwa

Umowny projekt usług w chmurze jest niezbędny dla firmy klienta w celu ustalenia ważnych parametrów ramowych i zapewnienia ochrony prawnej. Umowy dotyczące usług w chmurze są jednak często predefiniowane i nie podlegają negocjacjom. Mając to na uwadze, firmy powinny zwracać szczególną uwagę na te umowy i dokładnie je analizować. W ten sposób zapewniają, że spełnione są podstawowe wymagania operacyjne dotyczące celów ochrony bezpieczeństwa informacji "poufności, integralności, dostępności" i przetwarzania informacji.

Aby to zapewnić, usługa w chmurze powinna dostarczać rozwiązania oparte na uznanych w branży standardach architektury i infrastruktury. Powinna ona posiadać mechanizmy kontroli dostępu spełniające wymogi bezpieczeństwa oraz rozwiązania do monitorowania i ochrony przed złośliwym oprogramowaniem. W umowie należy zastrzec, że przetwarzanie i przechowywanie poufnych informacji jest dozwolone tylko w autoryzowanych lokalizacjach lub w ramach określonej jurysdykcji. Jest to ważne na przykład w przypadku infrastruktury krytycznej.

Dostawca usług musi zapewnić ukierunkowane wsparcie w przypadku incydentu bezpieczeństwa w środowisku usług w chmurze i zaoferować ogólne wsparcie w gromadzeniu dowodów cyfrowych. Wymogi bezpieczeństwa muszą być również spełnione, gdy usługa jest przekazywana zewnętrznym dostawcom usług.

Jeśli firma chce zrezygnować z usługi, dostawca powinien pozostać zaangażowany we wsparcie i dostępność usługi przez rozsądny okres czasu. W związku z tym musi również zapewnić kopie zapasowe danych i informacji konfiguracyjnych oraz w razie potrzeby bezpiecznie nimi zarządzać. Informacje takie jak pliki konfiguracyjne, kod źródłowy i dane wrażliwe będące własnością organizacji muszą zostać dostarczone na żądanie lub zwrócone po zakończeniu świadczenia usługi.

Klient usługi w chmurze powinien rozważyć, zgodnie z własnymi wymogami bezpieczeństwa, czy umowa powinna obejmować obowiązek informowania, jeśli dostawca usług w chmurze wprowadza istotne zmiany. Obejmują one:

  • Zmiany w infrastrukturze technicznej, które mają wpływ na ofertę usługi
  • przetwarzanie lub przechowywanie informacji w nowej jurysdykcji geograficznej lub prawnej

korzystanie lub zmiana równorzędnych dostawców usług w chmurze lub innych podwykonawców.

Bezpieczeństwo w chmurze dzięki nowej Kontroli 5.23 - Podsumowanie

Według badania przeprowadzonego przez Statista w 2022 r. 84% wszystkich niemieckich firm korzysta z usług w chmurze. Ponadto 13% z nich znajduje się w fazie podejmowania decyzji lub planowania ich wykorzystania. Oznacza to, że ochrona danych osobowych i poufnych danych staje się coraz ważniejsza.

Dzięki nowym środkom bezpieczeństwa, ISO i IEC wypełniają ważną lukę w ochronie nowoczesnych architektur ICT i wrażliwych danych firm, organizacji i władz. Oznacza to, że norma bezpieczeństwa informacji ISO 27001, jako norma globalna, przyczynia się teraz również do spójnego, systematycznego bezpieczeństwa w chmurze.

Niezależnie od tego, czy firma działa w chmurze publicznej, prywatnej czy hybrydowej, rozwiązania i najlepsze praktyki w zakresie bezpieczeństwa informacji są niezbędne. Jest to jedyny sposób na zapewnienie ciągłości biznesowej i zgodności z przepisami. Zwłaszcza w czasach niedoboru umiejętności i zdecentralizowanych sieci korporacyjnych, bezpieczeństwo danych w chmurze będzie nadal zyskiwać na znaczeniu w nadchodzących latach.

Nowa kontrola 5.23 z dodatku A zapewnia użytkownikom usług w chmurze ramy. Mogą go użyć do przetestowania istniejących środków bezpieczeństwa informacji i dostosowania ich w razie potrzeby.

Oprócz dużej liczby podstawowych wymagań organizacyjnych, nowa kontrola podkreśla również znaczenie ścisłej współpracy z dostawcą usług w chmurze w celu utrzymania wzajemnej wymiany informacji przez cały czas. Promuje to wzajemne mechanizmy monitorowania określonych funkcji usługi oraz identyfikowania i zgłaszania naruszeń uzgodnionych zobowiązań.

Co aktualizacja oznacza dla certyfikacji?

Nowa norma ISO/IEC 27001:2022 została opublikowana w języku angielskim 25 października 2022 roku. Skutkuje to następującymi terminami i okresami przejścia dla użytkowników

Konwersja wszystkich istniejących certyfikatów do nowej wersji:

  • 3-letni okres przejściowy obowiązuje od 31 października 2022 r.
  • Certyfikaty wydane zgodnie z ISO/IEC 27001:2013 lub DIN EN ISO/IEC 27001:2017 są ważne tylko do 31 października 2025 r., po czym stare standardy zostaną uznane za wycofane.

Ostatnia data dla początkowych certyfikacji i recertyfikacji zgodnie ze "starą" normą ISO 27001:

  • 30 kwietnia 2024 roku - od 1 maja 2024 roku DQS będzie przeprowadzać audyty wstępne i recertyfikacyjne wyłącznie według nowej wersji z 2022 roku.

NormaISO/IEC 27001:2022 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji - Wymagania jest dostępna na stronie www.iso.org.

Grupa DQS: Skoncentrowane know-how w zakresie audytów

Jak pokazują terminy, firmom pozostało niewiele czasu na dostosowanie swoich systemów zarządzania bezpieczeństwem informacji do nowych wymagań i ich certyfikację. Nie należy lekceważyć czasu trwania i wysiłku całego procesu zmian.

Jako eksperci w dziedzinie audytu i certyfikacji z prawie 40-letnim doświadczeniem, chętnie pomożemy w ocenie aktualnego statusu, na przykład w ramach audytu delta. Zapytaj naszych doświadczonych audytorów o główne zmiany i ich znaczenie dla Twojej organizacji. Wspólnie omówimy potencjał poprawy i wesprzemy Cię do momentu otrzymania nowego certyfikatu.

Zaufanie i wiedza specjalistyczna

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub wieloletnich audytorów. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autora, czekamy na wiadomość od Ciebie.

Autor
André Saeckel

Menedżer produktu w DQS ds. zarządzania bezpieczeństwem informacji. Jako ekspert ds. norm w dziedzinie bezpieczeństwa informacji i katalogu bezpieczeństwa IT (infrastruktury krytyczne) André Säckel jest odpowiedzialny m.in. za następujące normy i standardy branżowe: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (bezpieczeństwo informacji w przemyśle motoryzacyjnym). Jest również członkiem grupy roboczej ISO/IEC JTC 1/SC 27/WG 1 jako delegat krajowy Niemieckiego Instytutu Normalizacyjnego DIN.

Masz pytania?

Jesteśmy do Państwa dyspozycji.
Skontaktuj się