Важливість договірних аспектів безпеки
Договірне оформлення хмарних послуг має важливе значення для компанії-замовника для встановлення важливих рамкових параметрів і забезпечення правового захисту. Однак угоди про надання хмарних послуг часто є заздалегідь визначеними і не підлягають обговоренню. З огляду на це, компаніям слід приділяти особливу увагу цим угодам і ретельно їх вивчати. Таким чином, вони гарантують, що основні операційні вимоги до цілей захисту інформаційної безпеки "конфіденційність, цілісність, доступність" та обробки інформації будуть виконані.
Щоб забезпечити це, хмарний сервіс повинен надавати рішення, засновані на визнаних у галузі стандартах архітектури та інфраструктури. Він повинен мати засоби контролю доступу, які відповідають вимогам безпеки та включати рішення для моніторингу та захисту від шкідливого програмного забезпечення. У договорі має бути передбачено, що обробка та зберігання конфіденційної інформації дозволяється лише в дозволених місцях або в межах певної юрисдикції. Це важливо, наприклад, для критично важливих об'єктів інфраструктури.
Постачальник послуг повинен надавати цільову підтримку в разі інциденту з безпекою в середовищі хмарного сервісу та пропонувати загальну підтримку в зборі цифрових доказів. Вимоги безпеки також повинні бути дотримані, коли послуга передається зовнішнім постачальникам послуг.
Якщо компанія хоче відмовитися від послуги, провайдер повинен залишатися прихильним до підтримки та доступності послуг протягом розумного періоду часу. Тому він також повинен надавати резервні копії даних та інформації про конфігурацію і, за необхідності, безпечно керувати ними. Така інформація, як конфігураційні файли, вихідний код та конфіденційні дані, що належать організації, повинні надаватися на вимогу або повертатися після припинення надання послуги.
Клієнт хмарних сервісів повинен розглянути, відповідно до власних вимог безпеки, чи повинен договір включати обов'язок інформувати, якщо провайдер хмарних послуг вносить значні зміни. До таких змін належать
- Зміни в технічній інфраструктурі, які впливають на надання послуг
- Обробка або зберігання інформації в новій географічній або правовій юрисдикції
- Використання або зміна постачальників хмарних послуг або інших субпідрядників