usługi

Bezpieczeństwo danych w chmurze

Często podczas rozważania decyzji o migracji do chmury pojawiają się wątpliwości, czy dostawca w odpowiedni sposób zadba o bezpieczeństwo mojej infrastruktury? Jeśli posiadamy własną serwerownię, sprawa wydaje się oczywista. Ufamy naszemu działowi IT, że właściwie zadba o bezpieczeństwo naszych systemów i danych. O ile oczywiście ma czas, dedykowany budżet i kwestia ta ma wysoki priorytet.

W większości przypadków w pierwszej kolejności realizowane są te projekty, które mają przełożenie na zysk, napięte terminy realizacji lub są dobrze premiowane. Bezpieczeństwo rzadko spełnia te kryteria. Może więc dostawca chmury potraktuje je priorytetowo?

Odpowiedź brzmi: musi właśnie tak do niego podejść. Jeśli nie zadba o bezpieczeństwo usług swoich klientów, poniesie ogromne ryzyko Przy pierwszym incydencie związanym z wyciekiem danych bądź niedostępnością usług, operator chmury traci wiarygodność, a co za tym idzie, klientów i pieniądze.

Kolejną wątpliwość budzi kwestia spełnienia wymagań prawnych, regulacyjnych czy wewnętrznych. Wiele sektorów już teraz musi spełniać szereg przepisów dotyczących przetwarzania informacji. RODO, Dyrektywa NIS czy regulacje bankowe, to tylko część całego wachlarza regulacji.

W jaki sposób dostawca usług chmurowych może udowodnić, że poważnie podchodzi do zapewnienia bezpieczeństwa danych i zgodności z normami prawnymi? Jest kilka sprawdzonych i powszechnie uznanych sposobów.

SZBI I ISO/IEC 27001:2013

Pierwszym z nich jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji („SZBI”) zgodnym z normą ISO/IEC 27001:2013, zakładającego ciągłe doskonalenie procesu.

Wdrożenie systemu obejmuje następujące etapy:


  • określenie struktury zarządzania
  • zdefiniowanie podstawowych celów i kryteriów bezpieczeństwa
  • zarządzanie ryzykiem obejmujące identyfikację, analizę, ocenę i wybór sposobu postępowania z ryzykiem
  • wdrożenie zabezpieczeń
  • pomiary, monitorowanie i nadzór

Po wdrożeniu tego systemu organizacje mogą poddać się niezależnemu audytowi, w celu otrzymania certyfikatu od akredytowanej jednostki certyfikującej. Uzyskanie akredytowanego certyfikatu ISO/IEC 27001:2013 potwierdza, że wdrożony system jest skuteczny, i że organizacja rozumie znaczenie bezpieczeństwa informacji.

Proces certyfikacji ISO/IEC 27001, składa się z następujących etapów:


1. Audyt wstępny

To pierwsza wnikliwa analiza systemu zarządzania w firmie pod kątem zgodności z normą ISO/IEC 27001. Jej celem jest identyfikacja potencjalnych luk wymagających usprawnienia.

2. Audyt certyfikujący

Weryfikacja przez niezależny podmiot, czy zabezpieczenia wymagane przez normę ISO/IEC 27001 zostały odpowiednio wdrożone i są realizowane. Jej założeniem jest ocena przejrzystości działań i przegląd wszystkich procesów w obszarze bezpieczeństwa.

3. Certyfikacja

Finalizuje niezależną oceną przedsiębiorstwa. Jest potwierdzeniem pomyślnego przeprowadzenia audytu, świadcząc o proaktywnej postawie firmy w obszarze zapewnienia bezpieczeństwa informacji.

4. Doskonalenie

Zakłada dalsze, systematyczne usprawnianie procesów zachodzących w firmie, odzwierciedlając dojrzałość organizacji i jej politykę wzmacniania bezpieczeństwa. W ramach tzw. audytów nadzorczych jednostka akredytująca sprawdza czy System Zarządzania Bezpieczeństwa Informacji jest doskonalony w trybie ciągłym.

W ostatnim czasie norma ISO/IEC 27001 jeszcze bardziej zyskała na rozpoznawalności. Wdrożenie SZBI certyfikowanego na zgodność z normą jest jednocześnie potwierdzeniem spełniania wymagań zdefiniowanych w wielu regulacjach m.in. RODO, Ustawa o krajowym systemie cyberbezpieczeństwa, Rekomendacja D (KNF).

CSA STAR


Kolejnym sposobem na zaprezentowanie właściwego podejścia do kwestii bezpieczeństwa oraz zapewnienia zgodności z wymaganiami wielu przepisów prawnych oraz standardów, jest certyfikacja w ramach programu STAR (Security, Trust, Assurance, Registry). Jest on dedykowany dla procesu bezpieczeństwa w modelu cloud computing. W rejestrze STAR widnieje ponad 500 dostawców usług chmurowych z całego świata, a liczba ta cały czas rośnie. (Źródło: Cloud Security Alliance).

STAR jest częścią programu CSA Open Certification Framework („OCF”) polegającego na przyznawaniu dostawcom usług w chmurze akredytowanych, zaufanych i globalnych certyfikatów, potwierdzających stosowanie najlepszych praktyk w zarządzaniu bezpieczeństwem.

Proces certyfikacji CSA STAR składa się z kilku poziomów:


1. Poziom 1 - Samoocena

Polega na opublikowaniu deklarowanej przez dostawcę samooceny, opartej na Consensus Assessment Initiative (CAI) Questionnaire w przypadku bezpieczeństwa, i GDPR CoC w przypadku prywatności.

CAI jest kwestionariuszem zawierającym około 300 pytań, które pozwalają uzyskać odpowiedź czy dostawca stosuje zabezpieczenia opisane w matrycy wymagań nazwanej Cloud Control Matrix (CCM).

Matryca opisuje, jakie zabezpieczenia powinny się znaleźć w danej domenie bezpieczeństwa, do jakich komponentów architektury się odnoszą (fizyczne, sieciowe, obliczeniowe, przechowywanie danych, aplikacje, dane), do jakiego rodzaju usługi (Software, Platform, Infrastructure) oraz kto jest odpowiedzialny za ich wdrożenie (dostawca czy odbiorca usługi).

Dodatkowo każde zabezpieczenie jest zmapowane do wymagań powszechnie stosowanych norm, standardów czy regulacji m.in. PCI DSS, GDPR (znane w Polsce bardziej jako RODO), czy wspomniana już norma ISO/IEC 27001. Celem GDPR Code of Conduct (CoC) jest ocena poziomu bezpieczeństwa danych osobowych przetwarzanych w chmurze.

2. Poziom 2 - Certyfikacja / Atestacja

Certyfikacja polega na rygorystycznej ocenie zgodności z wymaganiami Cloud Control Matrix oraz standardu ISO/IEC 27001 (w przypadku bezpieczeństwa) oraz GDPR Code of Conduct (w przypadku prywatności).

Atestacja opiera się współpracy pomiędzy Cloud Security Alliance oraz AICPA w celu przeprowadzeniu przez niezależny podmiot oceny systemu kontroli wykorzystującego elementy Cloud Control Matrix oraz publikacji raportu 2 SOC – Service Operation Centre.

3. STAR Continuous

Polega na ciągłym i automatycznym monitoringu obecnego poziomu bezpieczeństwa u dostawcy, opartego na Cloud Audit i Cloud Trust Protocol (CTP) oraz publikacji jego wyników w powszechnie rozumianych formatach.

W Oktawave przykładamy dużą wagę do bezpieczeństwa usług i danych swoich klientów. W 2015 roku podjęliśmy decyzję o poddaniu się procesowi certyfikacyjnego na zgodność SZBI z normą ISO/IEC 27001:2013. Przystąpiliśmy też do programu CSA STAR. Dwa razy w roku jesteśmy poddawani niezależnym ocenom w ramach audytów nadzorczych. Co trzy lata jesteśmy poddawani audytom certyfikującym. Takie obowiązki wynikają z konieczności utrzymania certyfikatów i potwierdzenia ciągłego doskonalenia procesów bezpieczeństwa.

Dodatkowo Oktawave jako akceptant kart płatniczych podlega kwartalnym skanom bezpieczeństwa oraz corocznym audytom zgodności ze standardem PCI DSS, które przeprowadza zewnętrzny Certyfikowany Audytor Bezpieczeństwa (ang. QSA – Qualified Security Agent).