a young woman sits at a desk in front of a screen with a reference to cloud storage

Bezbednost informacija u oblaku sa ISO 27001:2022

Andre Sekel

DQS Ekspert za bezbednost informacija
дец 29 , 2023
# Bezbednost informacija i upravljanje rizicima

Prema studiji Statista, 84% svih nemačkih kompanija već je koristilo usluge oblaka (cloud) 2022. Još 13% planira ili raspravlja o njihovoj upotrebi. Ukupni udeo kompanija koje koriste oblak će stoga nastaviti da raste. Međutim, korišćenje ili rad ovih usluga povezan je sa različitim rizicima.

Bez odgovarajućih mera za povećanje bezbednosti informacija u oblaku, kompanije su izložene značajnim sigurnosnim rizicima kada upravljaju svojim podacima o klijentima, bez obzira na to gdje su podaci pohranjeni. Nova Kontrola 5.23 „Bezbednost informacija za korišćenje usluga u oblaku“ u ažuriranom standardu ISO/IEC 27001:2022 opisuje moguće bezbednosne mere. U sledećem blog postu pokazujemo šta pokriva nova sigurnosna mera i koje aspekte treba uzeti u obzir za uspešnu (ponovnu) sertifikaciju.

CONTENT

Zašto je bezbednost u oblaku važna?

Od privatnog do javnog oblaka, bilo IaaS, PaaS ili SaaS: strukture oblaka i usluge u oblaku određuju veliki deo današnjeg ICT pejzaža kompanija, organizacija ili institucija. Računarstvo u oblaku je odavno postalo stvarnost i iz temelja menja način na koji se IT usluge pružaju i koriste.

Međutim, sigurnosni rizici povezani sa njegovom sve većom upotrebom su složeni i nisu ograničeni na organizovani kriminal. Neadekvatno upravljanje identitetom i pristupom, pogrešne konfiguracije i nenamerno otkrivanje podataka u oblaku od strane zaposlenih takođe su među najvećim rizicima.

To potvrđuje godišnji izveštaj Cloud Security Alliance za 2022 (CSA). Osim toga, manjak bezbednosti može uticati na dostupnost usluga i ugroziti poštovanje različitih propisa i standarda koji zahtevaju zaštitu podataka korisnika i ličnih podataka.

Sve ove pretnje navele su ISO (Međunarodnu organizaciju za standardizaciju) i IEC (Međunarodnu elektrotehničku komisiju) da navedu bezbednost informacija za korišćenje usluga u oblaku kao posebnu stavku u novom ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Pitanja i odgovora

Kompilacija zanimljivih detalja o revidiranom standardu:

  • Kada treba da pređemo na novi standard?
  • O čemu su sve nove kontrole?
  • Gde mogu naći listu starih i novih korespondencija?

...i još 35.

Preuzmite besplatno!

Poboljšana bezbednost informacija i usaglašenost

Nova preventivna mera služi za osiguranje bezbednosti informacija kada koristite usluge u oblaku. Podržava - u skladu sa odgovarajućim sigurnosnim zahtevima organizacije - sistematsko definisanje procesa za sticanje, korišćenje, upravljanje i izlazak.

S obzirom na raznolikost usluga u ponudi, nova kontrola 5.23 u Aneksu A zahteva usaglašenost sa "predmetno-specifičnim pristupom".

Ovo ima za cilj da podstakne kompanije da kreiraju politike cloud usluga prilagođene pojedinačnim poslovnim funkcijama. U poređenju sa opštom politikom koja se primenjuje u celosti na sigurno korišćenje usluga u oblaku, zahtevi usaglašenosti mogu se adresirati na mnogo detaljniji način.

Sigurnost u oblaku kroz novu Kontrolu 5.23

Sigurnost informacija za korištenje usluga u oblaku u ovom obliku specifičnom za oblak je novouvedena mjera u Aneksu A novog ISO 27001:2022. U prethodnoj verziji, usluge u oblaku su se uglavnom nalazile u oblasti odnosa sa dobavljačima.

Zbog sve veće upotrebe i ogromnog razvoja u sektoru oblaka, ima smisla sistematski osigurati usluge u oblaku nezavisnom mjerom sigurnosti informacija. Ipak, kontrola A.5.23 treba da bude blisko koordinisana sa mjerama A.5.21 i A.5.22, koje se bave sigurnošću informacija u lancu nabavke IKT i upravljanjem uslugama dobavljača.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

IKT - Informacione i komunikacione tehnologije

Iskoristite znanje naših stručnjaka

U digitalnoj ekonomiji IKT bez grešaka je od suštinskog značaja za održavanje poslovnih procesa. Najnovija ažuriranja ISO standarda 27001 i 27002 imaju za cilj minimiziranje sigurnosnih rizika. Kontrola 5.30 "IKT spremnost za kontinuitet poslovanja" u Aneksu A obavezuje kompanije da osiguraju kontinuiranu dostupnost IKT čak i u slučaju prekida. Pročitajte naš blog post da saznate šta to znači za vaš sistem upravljanja sigurnošću informacija.

Istražite članak

Implementacija Kontrole 5.23

U pogledu informacione sigurnosti, kompanije moraju definisati niz aspekata za implementaciju Kontrole 5.23. To uključuje sve relevantne zahtjeve, kriterije odabira i područja primjene povezane s korištenjem usluge u oblaku. Detaljan opis uloga i relevantnih odgovornosti određuje kako se ove usluge koriste i upravljaju unutar organizacije.

Sa vanjske strane, ovo se mora dogovoriti sa pružaocem usluga:

  • Kojim mjerama sigurnosti informacija upravlja provajder usluga?
  • Za koje je odgovorna sama kompanija?

Također je važno razjasniti kako sigurnosne mjere koje pruža provajder mogu biti dostupne, idealno korištene i pouzdano provjerene. Posebno kada se koristi više usluga u oblaku od različitih provajdera, jasno definisani procesi podržavaju rukovanje kontrolama, sučeljima i promjenama usluga.

Međutim, zbog višestrukih sigurnosnih rizika kojima su kompanije danas izložene, sigurnosni incidenti se nikada ne mogu u potpunosti isključiti. U takvim slučajevima, procedure upravljanja incidentima specifične za uslugu pomažu u rješavanju izazova na najbolji mogući način.

Da bi se upravljalo takvim rizicima, usluge u oblaku moraju biti praćene, pregledane i procijenjene korištenjem sistematski definisanog pristupa u skladu sa revidiranim ISO 27001. Osim toga, standard zahtijeva da se definišu procesi za promjenu ili prestanak korištenja usluge. One također moraju uključivati eksplicitne izlazne strategije za usluge u oblaku.

Sertifikovana bezbednost informacija prema ISO 27001

Zaštitite svoje informacije pomoću međunarodnog standardnog sistema upravljanja ★ Efikasna implementacija procesa upravljanja rizikom ★ Saznajte više. Neobvezujuće i besplatno.

Saznajte više o vašem ISO 27001 sertifikatu

Važnost ugovornih bezbednosnih aspekata

Ugovorni dizajn cloud usluga je od suštinskog značaja za kompaniju korisnika kako bi se uspostavili važni okvirni parametri i obezbedila pravna zaštita. Međutim, ugovori o uslugama u oblaku često su unapred definisani i o njima se ne može pregovarati. Imajući to na umu, kompanije treba da obrate posebnu pažnju na ove sporazume i da ih pomno prouče. Na taj način osiguravaju ispunjenje bitnih operativnih zahtjeva za ciljeve zaštite bezbednosti informacija "poverljivost, integritet, dostupnost“ i obrada informacija.

Da bi se to osiguralo, usluga u oblaku bi trebalo da ponudi rešenja zasnovana na industrijski priznatim standardima za arhitekturu i infrastrukturu. Trebalo bi da ima kontrole pristupa koje ispunjavaju sigurnosne zahteve i uključuju rešenja za nadzor i zaštitu od zlonamernog softvera. Ugovorom treba predvideti da je obrada i čuvanje osetljivih informacija dozvoljena samo na ovlašćenim lokacijama ili unutar određene jurisdikcije. Ovo je važno za kritične infrastrukture, na primer.

Pružalac usluge mora pružiti ciljanu podršku u slučaju sigurnosnog incidenta u okruženju usluge u oblaku i ponuditi opštu podršku u prikupljanju digitalnih dokaza. Sigurnosni zahtevi takođe moraju biti ispunjeni kada se usluga prosleđuje eksternim dobavljačima usluga.

Ako kompanija želi da napusti uslugu, provajder treba da ostane posvećen podršci i dostupnosti usluga u razumnom vremenskom periodu. Stoga takođe moraju osigurati sigurnosne kopije podataka i konfiguracionih informacija i sigurno upravljati njima ako je potrebno. Informacije kao što su konfiguracione datoteke, source code i osetljivi podaci u vlasništvu organizacije moraju se dati na zahtev ili vratiti po prestanku usluge.

Klijent usluge u oblaku treba da razmotri, u skladu sa sopstvenim sigurnosnim zahtevima, da li ugovor treba da sadrži obavezu obaveštavanja ako provajder oblaka napravi značajne promene. To uključuje:

  • Promene tehničke infrastrukture koje utiču na ponudu usluga
  • Obrada ili skladištenje informacija u novoj geografskoj ili pravnoj jurisdikciji
  • Korišćenje ili promena provajdera usluga u oblaku ili drugih podizvođača

Bezbednost u oblaku kroz novu Kontrolu 5.23 - Zaključak

Prema studiji koju je proveo Statista 2022. godine 84% svih nemačkih kompanija koristi usluge u oblaku. Osim toga, 13 posto je u fazi donošenja odluka ili planiranja za njihovu upotrebu. To znači da zaštita ličnih podataka i poverljivih podataka postaje sve važnija.

S novom sigurnosnom merom, ISO i IEC zatvaraju važnu prazninu u zaštiti modernih IKT arhitektura i osjetljivih podataka kompanija, organizacija i vlasti. To znači da je standard sigurnosti informacija ISO 27001, kao globalni standard, sada takođe doprinosi doslednoj, sistematskoj sigurnosti u oblaku.

Bez obzira da li vaša kompanija posluje u javnom oblaku, privatnom oblaku ili hibridnom oblaku, rešenja za bezbednost informacija i najbolje prakse su od suštinskog značaja. Ovo je jedini način da se osigura kontinuitet poslovanja i usaglašenost. Posebno u vremenima nedostatka veština i decentralizovanih korporativnih mreža, sigurnost podataka u oblaku nastaviće sa rastom značaja u narednim godinama.

Nova Kontrola 5.23 iz Dodatka A pruža korisnicima usluga u oblaku okvir. Mogu ga koristiti kako bi testirali svoje postojeće mere bezbednosti informacija i prilagodili ih ako je potrebno.

Pored velikog broja osnovnih organizacionih zahteva, nova kontrola takođe naglašava važnost bliske saradnje sa pružaocem usluga u oblaku kako bi se održala međusobna razmena informacija u svakom trenutku. Ovo promoviše recipročne mehanizme za praćenje definisanih karakteristika usluga i za identifikaciju i prijavu kršenja ugovorenih obaveza.

Šta ažuriranje znači za vašu sertifikaciju?

Novi ISO/IEC 27001:2022 objavljen je na engleskom jeziku 25. oktobra 2022. To rezultira sledećim rokovima i periodima za prelaz za korisnike:

Konverzija svih postojećih sertifikata u novu verziju:

  • Prelazni period od 3 godine primenjuje se od 31. oktobra 2022. godine.
  • Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe samo do 31. oktobra 2025. godine, nakon čega se stari standardi (i njihovi sertifikati) smatraju povučenima.

Zadnji datum za inicijalne sertifikacije i resertifikacije prema "starom" ISO 27001:

  • 30. april 2024. - od 1. maja 2024. DQS će sprovoditi samo inicijalne i resertifikacione audite prema novoj verziji za 2022. godinu.

ISO/IEC 27001:2022 - Bezbednost informacija, sajber bezbednosti zaštita privatnosti - Sistemi upravljanja bezbednošću informacija - Zahtevi su dostupni na www.iso.org. 

DQS Grupa: Koncentrisano znanje za audite

Kao što rokovi pokazuju, kompanijama je preostalo samo ograničeno vreme da prilagode svoj sistem upravljanja bezbednošću informacija novim zahtevima i da ga sertifikuju. Trajanje i aktivnosti celog procesa promene ne treba potceniti.

Kao eksperti za audit i sertifikaciju sa skoro 40 godina iskustva, rado ćemo vam pružiti podršku u ocjeni vašeg trenutnog statusa, na primer kao deo delta audita. Pitajte naše iskusne auditore o glavnim promenama i njihovoj važnosti za vašu organizaciju. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi sertifikat.

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši eksperti za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama DQS autoru, radujemo se vašem upitu.

Autor
Andre Sekel

Menadžer proizvoda u DQS-u za upravljanje bezbednošću informacija.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.