Zabezpečenie cloudu podľa normy ISO 27001:2022

OBSAH

• Prečo je bezpečnosť cloudu dôležitá?
• Zlepšenie informačnej bezpečnosti
• Zabezpečenie cloudu prostredníctvom kontroly 5.23
• Vykonávanie kontroly 5.23
• Význam zmluvných bezpečnostných aspektov
• Bezpečnosť cloudu - záver
• DQS: Jednoduché využitie kvality

Prečo je bezpečnosť cloudu dôležitá?

Od súkromného po verejný cloud, či už ide o IaaS, PaaS alebo SaaS: cloudové štruktúry a cloudové služby určujú veľkú časť dnešných IKT prostredí spoločností, organizácií alebo úradov. Cloud computing sa už dávno stal realitou a zásadne mení spôsob poskytovania a využívania IT služieb.

Bezpečnostné riziká spojené s jeho čoraz častejším využívaním sú však komplexné a neobmedzujú sa len na organizovaný zločin. Medzi najväčšie hrozby patrí aj nedostatočná správa identít a prístupu, nesprávne nastavenie a neúmyselné zverejnenie údajov v cloude zamestnancami.

Potvrdzuje to aj výročná správa Cloud Security Alliance (CSA) za rok 2022. Okrem toho nedostatočné zabezpečenie môže ovplyvniť dostupnosť služieb a ohroziť dodržiavanie rôznych predpisov a noriem, ktoré vyžadujú ochranu údajov zákazníkov a osobných údajov.

Všetky tieto hrozby podnietili organizácie ISO (Medzinárodná organizácia pre normalizáciu) a IEC (Medzinárodná elektrotechnická komisia), aby v novej norme ISO/IEC 27001:2022 uviedli informačnú bezpečnosť pri používaní cloudových služieb ako samostatnú položku.

Zlepšenie bezpečnosti informácií a súladu s predpismi

Nové preventívne opatrenie slúži na zaistenie bezpečnosti informácií pri používaní cloudových služieb. Podporuje - v súlade s príslušnými bezpečnostnými požiadavkami organizácie - systematické definovanie procesov získavania, používania, správy a ukončovania.

Vzhľadom na rôznorodosť ponúkaných služieb sa v novej kontrole 5.23 v prílohe A vyžaduje dodržiavanie "špecifického prístupu k subjektu".

To má povzbudiť spoločnosti, aby vytvorili politiky cloudových služieb prispôsobené jednotlivým obchodným funkciám. V porovnaní so všeobecnou politikou, ktorá sa vzťahuje na bezpečné používanie cloudových služieb plošne, možno požiadavky na súlad riešiť oveľa podrobnejšie.

Zabezpečenie cloudu prostredníctvom novej kontroly 5.23

Zabezpečenie informácií pre používanie cloudových služieb v tejto špecifickej podobe je novo zavedené opatrenie v prílohe A novej normy ISO 27001:2022. V predchádzajúcej verzii sa cloudové služby vo všeobecnosti nachádzali v oblasti dodávateľských vzťahov.

Vzhľadom na čoraz častejšie využívanie a obrovský vývoj v sektore cloudových služieb má zmysel systematicky zabezpečovať cloudové služby nezávislým opatrením na zabezpečenie informácií. Napriek tomu by kontrola A.5.23 mala byť úzko koordinovaná s opatreniami A.5.21 a A.5.22, ktoré sa zaoberajú bezpečnosťou informácií v dodávateľskom reťazci IKT a riadením dodávateľských služieb.

Vykonávanie kontroly 5.23

Pokiaľ ide o informačnú bezpečnosť, spoločnosti musia definovať niekoľko aspektov pre implementáciu kontroly 5.23 . Patria sem všetky relevantné požiadavky, kritériá výberu a oblasti použitia súvisiace s používaním cloudovej služby. Podrobný opis úloh a príslušných zodpovedností určuje, ako sa tieto služby v rámci organizácie používajú a spravujú.

Na externej strane sa to musí dohodnúť s poskytovateľom služby:

• Ktoré opatrenia na zabezpečenie informácií spravuje poskytovateľ služieb?
• Za ktoré je zodpovedná samotná spoločnosť?

Dôležité je tiež vyjasniť, ako je možné sprístupniť, v ideálnom prípade používať a spoľahlivo kontrolovať bezpečnostné opatrenia poskytované poskytovateľom. Najmä pri používaní viacerých cloudových služieb od rôznych poskytovateľov podporujú jasne definované procesy manipuláciu s kontrolami, rozhraniami a zmenami služieb.

Vzhľadom na viaceré bezpečnostné riziká, ktorým sú spoločnosti v súčasnosti vystavené, však bezpečnostné incidenty nemožno nikdy úplne vylúčiť. V takýchto prípadoch pomáhajú postupy riadenia incidentov špecifické pre jednotlivé služby, aby sa s výzvou čo najlepšie vysporiadali.

Na riadenie takýchto rizík je potrebné cloudové služby monitorovať, preskúmavať a posudzovať pomocou systematicky definovaného prístupu v súlade s revidovanou normou ISO 27001. Okrem toho norma vyžaduje, aby boli definované procesy na zmenu alebo ukončenie používania služby. Tieto musia zahŕňať aj explicitné stratégie ukončenia poskytovania cloudových služieb.

Význam zmluvných bezpečnostných aspektov

Zmluvný návrh cloudových služieb je pre spoločnosť zákazníka nevyhnutný na stanovenie dôležitých rámcových parametrov a zabezpečenie právnej ochrany. Zmluvy o cloudových službách sú však často vopred definované a nedajú sa vyjednávať. Vzhľadom na to by spoločnosti mali týmto zmluvám venovať osobitnú pozornosť a dôkladne ich preskúmať. Týmto spôsobom zabezpečia splnenie základných prevádzkových požiadaviek na ciele ochrany bezpečnosti informácií "dôvernosť, integrita, dostupnosť" a spracovanie informácií.

Aby sa to zabezpečilo, cloudová služba by mala poskytovať riešenia založené na priemyselne uznávaných normách pre architektúru a infraštruktúru. Mala by mať kontroly prístupu, ktoré spĺňajú bezpečnostné požiadavky, a obsahovať riešenia na monitorovanie a ochranu pred škodlivým softvérom. V zmluve by malo byť stanovené, že spracovanie a ukladanie citlivých informácií je povolené len na autorizovaných miestach alebo v rámci konkrétnej jurisdikcie. To je dôležité napríklad v prípade kritických infraštruktúr.

Poskytovateľ služieb musí poskytovať cielenú podporu v prípade bezpečnostného incidentu v prostredí cloudových služieb a ponúkať všeobecnú podporu pri zhromažďovaní digitálnych dôkazov. Bezpečnostné požiadavky musia byť splnené aj vtedy, keď sa služba odovzdáva externým poskytovateľom služieb.

Ak chce spoločnosť službu opustiť, poskytovateľ by sa mal naďalej zaväzovať k podpore a dostupnosti služby počas primeraného obdobia. Musí preto poskytnúť aj záložné kópie údajov a informácií o konfigurácii a v prípade potreby ich bezpečne spravovať. Informácie, ako sú konfiguračné súbory, zdrojový kód a citlivé údaje vo vlastníctve organizácie, musia byť poskytnuté na požiadanie alebo vrátené po ukončení služby.

Zákazník cloudových služieb by mal v súlade s vlastnými bezpečnostnými požiadavkami zvážiť, či by zmluva mala obsahovať povinnosť informovať, ak poskytovateľ cloudových služieb vykoná významné zmeny. Medzi ne patrí napr:

• zmeny technickej infraštruktúry, ktoré majú vplyv na ponuku služieb
• spracovanie alebo uchovávanie informácií v novej geografickej alebo právnej jurisdikcii

používanie alebo zmena rovnocenných poskytovateľov cloudových služieb alebo iných subdodávateľov

Bezpečnosť cloudu prostredníctvom novej kontroly 5.23 - Záver

Podľa štúdie spoločnosti Statista z roku 2022 využíva cloudové služby 84 % všetkých nemeckých spoločností. Okrem toho je 13 % z nich vo fáze rozhodovania alebo plánovania ich využívania. To znamená, že ochrana osobných informácií a dôverných údajov je čoraz dôležitejšia.

Vďaka novému bezpečnostnému opatreniu ISO a IEC vypĺňajú dôležitú medzeru v ochrane moderných architektúr IKT a citlivých údajov spoločností, organizácií a úradov. Znamená to, že norma informačnej bezpečnosti ISO 27001 ako celosvetová norma teraz prispieva aj k dôslednej a systematickej bezpečnosti cloudu.

Bez ohľadu na to, či vaša spoločnosť pôsobí vo verejnom, súkromnom alebo hybridnom cloudovom prostredí, riešenia a osvedčené postupy v oblasti informačnej bezpečnosti sú nevyhnutné. Len tak sa dá zabezpečiť kontinuita podnikania a súlad s predpismi. Najmä v čase nedostatku kvalifikovaných pracovníkov a decentralizovaných podnikových sietí bude bezpečnosť údajov v cloude v nasledujúcich rokoch naďalej narastať na význame.

Nová kontrola 5.23 z prílohy A poskytuje používateľom cloudových služieb rámec. Môžu ho použiť na otestovanie svojich existujúcich opatrení na zabezpečenie informácií a v prípade potreby ich upraviť.

Okrem veľkého počtu základných organizačných požiadaviek nová kontrola zdôrazňuje aj význam úzkej spolupráce s poskytovateľom cloudových služieb s cieľom zachovať neustálu vzájomnú výmenu informácií. Tým sa podporujú vzájomné mechanizmy na monitorovanie definovaných funkcií služieb a na identifikáciu a nahlasovanie porušení dohodnutých povinností.

Čo znamená aktualizácia pre vašu certifikáciu?

Nová norma ISO/IEC 27001:2022 bola zverejnená v anglickom jazyku 25. októbra 2022. Z toho vyplývajú pre používateľov nasledujúce termíny a obdobia prechodu

Konverzia všetkých existujúcich certifikátov na novú verziu:

• Od 31. októbra 2022 platí trojročné prechodné obdobie.
• Certifikáty vydané podľa normy ISO/IEC 27001:2013 alebo DIN EN ISO/IEC 27001:2017 sú platné len do 31. októbra 2025, potom sa staré normy považujú za zrušené.

Posledný dátum pre prvotné certifikácie a recertifikácie podľa "starej" normy ISO 27001:

• Od 1. mája 2024 bude DQS vykonávať len počiatočné a recertifikačné audity podľa novej verzie z roku 2022.

Skupina DQS: Koncentrované know-how v oblasti auditu

Ako ukazujú termíny, spoločnosti majú už len obmedzený čas na prispôsobenie svojho systému riadenia informačnej bezpečnosti novým požiadavkám a jeho certifikáciu. Trvanie a náročnosť celého procesu zmien by sa nemali podceňovať.

Ako odborníci na audit a certifikáciu s takmer 40-ročnou praxou vám radi pomôžeme pri hodnotení aktuálneho stavu, napríklad v rámci delta auditu. Opýtajte sa našich skúsených audítorov na hlavné zmeny a ich význam pre vašu organizáciu. Spoločne s vami prediskutujeme váš potenciál na zlepšenie a budeme vás podporovať až do získania nového certifikátu.

Dôvera a odbornosť

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textov alebo našich služieb pre nášho autora, tešíme sa na vašu odpoveď.