Хмарна безпека за стандартом ISO 27001:2022

ЗМІСТ

• Чому безпека хмарних технологій важлива?
• Покращення інформаційної безпеки
• Хмарна безпека за допомогою Control 5.23
• Впровадження Control 5.23
• Важливість договірних аспектів безпеки
• Хмарна безпека - Висновок
• DQS: Simply leveraging Quality.

Чому важлива хмарна безпека?

Від приватної до публічної хмари, IaaS, PaaS або SaaS: хмарні структури і хмарні сервіси визначають значну частину сучасного ІКТ-ландшафту компаній, організацій або органів влади. Хмарні обчислення вже давно стали реальністю і докорінно змінюють спосіб надання та використання ІТ-послуг.

Однак ризики для безпеки, пов'язані з їх зростаючим використанням, є комплексними і не обмежуються лише організованою злочинністю. Неналежне управління ідентифікацією та доступом, неправильні конфігурації та ненавмисне розкриття хмарних даних працівниками також є одними з найбільших загроз.

Це підтверджує щорічний звіт Альянсу хмарної безпеки (Cloud Security Alliance, CSA) за 2022 рік. Крім того, відсутність безпеки може вплинути на доступність послуг і поставити під загрозу відповідність різним нормам і стандартам, які вимагають захисту даних клієнтів і персональних даних.

Всі ці загрози спонукали ISO (Міжнародну організацію зі стандартизації) та IEC (Міжнародну електротехнічну комісію) виділити інформаційну безпеку при використанні хмарних сервісів окремим пунктом у новому стандарті ISO/IEC 27001:2022.

Покращення інформаційної безпеки та відповідності

Новий превентивний захід служить для забезпечення інформаційної безпеки при використанні хмарних сервісів. Він підтримує - згідно з відповідними вимогами безпеки організації - систематичне визначення процесів придбання, використання, управління та виходу.

Враховуючи різноманітність пропонованих послуг, новий Control 5.23 в Додатку А вимагає дотримання "підходу, орієнтованого на конкретний суб'єкт".

Це має на меті заохотити компанії створювати політики щодо хмарних сервісів, пристосовані до окремих бізнес-функцій. Порівняно з загальною політикою, яка застосовується до безпечного використання хмарних сервісів, вимоги щодо відповідності можуть бути набагато більш деталізованими.

Хмарна безпека завдяки новому Control 5.23

Інформаційна безпека при використанні хмарних сервісів в цій специфічній для хмар формі є новим заходом в Додатку А нового стандарту ISO 27001:2022. У попередній версії хмарні сервіси, як правило, знаходилися у сфері відносин з постачальниками.

У зв'язку зі зростаючим використанням і величезними розробками в хмарному секторі, має сенс систематично захищати хмарні сервіси за допомогою незалежного заходу з інформаційної безпеки. Тим не менш, захід A.5.23 слід тісно координувати із заходами A.5.21 та A.5.22, які стосуються інформаційної безпеки в ланцюгу постачання ІКТ та управління послугами постачальників.

Впровадження Control 5.23

Що стосується інформаційної безпеки, компанії повинні визначити ряд аспектів для впровадження Control 5.23. До них відносяться всі відповідні вимоги, критерії відбору та сфери застосування, пов'язані з використанням хмарних сервісів. Детальний опис ролей і відповідних обов'язків визначає, як ці послуги використовуються і управляються в організації.

З зовнішнього боку це має бути узгоджено з постачальником послуг:

• Якими заходами інформаційної безпеки керує постачальник послуг?
• За які з них відповідає сама компанія?

Важливо також з'ясувати, як заходи безпеки, надані провайдером, можуть бути доступні, ідеально використані та надійно перевірені. Особливо при використанні декількох хмарних сервісів від різних провайдерів, чітко визначені процеси підтримують роботу з елементами управління, інтерфейсами та змінами в сервісах.

Однак через численні ризики безпеки, на які наражаються компанії в наш час, інциденти безпеки ніколи не можуть бути повністю виключені. У таких випадках процедури управління інцидентами для конкретних сервісів допомагають впоратися з проблемою найкращим чином.

Для управління такими ризиками хмарні сервіси повинні контролюватися, аналізуватися і оцінюватися з використанням систематично визначеного підходу відповідно до переглянутого стандарту ISO 27001. Крім того, стандарт вимагає, щоб були визначені процеси для зміни або припинення використання послуги. Вони також повинні включати чіткі стратегії виходу з хмарних сервісів.

Важливість договірних аспектів безпеки

Договірне оформлення хмарних послуг має важливе значення для компанії-замовника для встановлення важливих рамкових параметрів і забезпечення правового захисту. Однак угоди про надання хмарних послуг часто є заздалегідь визначеними і не підлягають обговоренню. З огляду на це, компаніям слід приділяти особливу увагу цим угодам і ретельно їх вивчати. Таким чином, вони гарантують, що основні операційні вимоги до цілей захисту інформаційної безпеки "конфіденційність, цілісність, доступність" та обробки інформації будуть виконані.

Щоб забезпечити це, хмарний сервіс повинен надавати рішення, засновані на визнаних у галузі стандартах архітектури та інфраструктури. Він повинен мати засоби контролю доступу, які відповідають вимогам безпеки та включати рішення для моніторингу та захисту від шкідливого програмного забезпечення. У договорі має бути передбачено, що обробка та зберігання конфіденційної інформації дозволяється лише в дозволених місцях або в межах певної юрисдикції. Це важливо, наприклад, для критично важливих об'єктів інфраструктури.

Постачальник послуг повинен надавати цільову підтримку в разі інциденту з безпекою в середовищі хмарного сервісу та пропонувати загальну підтримку в зборі цифрових доказів. Вимоги безпеки також повинні бути дотримані, коли послуга передається зовнішнім постачальникам послуг.

Якщо компанія хоче відмовитися від послуги, провайдер повинен залишатися прихильним до підтримки та доступності послуг протягом розумного періоду часу. Тому він також повинен надавати резервні копії даних та інформації про конфігурацію і, за необхідності, безпечно керувати ними. Така інформація, як конфігураційні файли, вихідний код та конфіденційні дані, що належать організації, повинні надаватися на вимогу або повертатися після припинення надання послуги.

Клієнт хмарних сервісів повинен розглянути, відповідно до власних вимог безпеки, чи повинен договір включати обов'язок інформувати, якщо провайдер хмарних послуг вносить значні зміни. До таких змін належать

• Зміни в технічній інфраструктурі, які впливають на надання послуг
• Обробка або зберігання інформації в новій географічній або правовій юрисдикції
• Використання або зміна постачальників хмарних послуг або інших субпідрядників

Хмарна безпека за допомогою нового Control 5.23 - Висновок

Згідно з дослідженням, проведеним компанією Statista у 2022 році, 84% усіх німецьких компаній використовують хмарні сервіси. Крім того, 13 відсотків перебувають на стадії прийняття рішення або планування їх використання. Це означає, що захист особистої інформації та конфіденційних даних стає все більш важливим.

За допомогою нового заходу безпеки ISO та IEC закривають важливу прогалину в захисті сучасних ІКТ-архітектур та конфіденційних даних компаній, організацій та органів влади. Це означає, що стандарт інформаційної безпеки ISO 27001, як глобальний стандарт, тепер також сприяє послідовному, систематичному забезпеченню безпеки хмарних технологій.

Незалежно від того, чи працює ваша компанія в публічній хмарі, приватній хмарі або гібридному хмарному середовищі, рішення та найкращі практики інформаційної безпеки мають важливе значення. Це єдиний спосіб забезпечити безперервність бізнесу та відповідність нормативним вимогам. Особливо в умовах дефіциту кваліфікованих кадрів і децентралізованих корпоративних мереж, безпека даних у хмарі буде продовжувати зростати в найближчі роки.

Новий Control 5.23 з Додатку А надає користувачам хмарних сервісів основу. Вони можуть використовувати його для перевірки існуючих заходів інформаційної безпеки та їх коригування в разі необхідності.

На додаток до великої кількості основних організаційних вимог, новий контроль також підкреслює важливість тісної співпраці з постачальником хмарних послуг, щоб підтримувати взаємний обмін інформацією в будь-який час. Це сприяє створенню взаємних механізмів для моніторингу визначених функцій сервісу, а також для виявлення та повідомлення про порушення узгоджених зобов'язань.

Що означає це оновлення для вашої сертифікації?

Новий стандарт ISO/IEC 27001:2022 був опублікований англійською мовою 25 жовтня 2022 року. Це призводить до наступних термінів і періодів переходу для користувачів

Перетворення всіх існуючих сертифікатів на нову версію:

• 3-річний перехідний період застосовується з 31 жовтня 2022 року.
• Сертифікати, видані відповідно до ISO/IEC 27001:2013 або DIN EN ISO/IEC 27001:2017, дійсні лише до 31 жовтня 2025 року, після чого старі стандарти вважаються скасованими.

Остання дата для первинної сертифікації та ресертифікації за "старим" ISO 27001:

• 30 квітня 2024 року - з 1 травня 2024 року DQS буде проводити первинні та ресертифікаційні аудити тільки за новою версією 2022 року.

DQS Group: Концентроване ноу-хау в галузі аудиту

Як показують дедлайни, компанії мають лише обмежену кількість часу, щоб адаптувати свою систему управління інформаційною безпекою до нових вимог та сертифікувати її. Не слід недооцінювати тривалість і зусилля всього процесу змін.

Як експерти з аудиту та сертифікації з майже 40-річним досвідом роботи, ми будемо раді допомогти вам оцінити ваш поточний стан, наприклад, в рамках дельта-аудиту. Запитайте наших досвідчених аудиторів про основні зміни та їхню актуальність для вашої організації. Разом ми обговоримо ваш потенціал для вдосконалення і будемо підтримувати вас до отримання нового сертифікату.

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з багаторічним досвідом. Якщо у вас виникли запитання до автора щодо змісту тексту або наших послуг, ми з нетерпінням чекаємо на ваш запит.