Przedstawiamy esencję wiedzy dla podmiotów nadzorowanych na temat outsourcingu chmury. Sa to praktyczne wskazówki dotyczące wymogów formalnych w procesie migracji do chmury, opracowane przez prawików z kancelarii Leśniewski Borkiewicz & Partners, w nawiązaniu do Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej.
Dokument powinien identyfikować przetwarzane informacje, z podziałem na:
Udokumentowanie kompleksowego szacowania ryzyka (identyfikacja, analiza oraz ocena zagrożeń, możliwości ich wystąpienia oraz wpływ tego wystąpienia na podmiot nadzorowany). Należy uwzględnić zarówno zagrożenia dla stosowania chmury jako takiej (np. awarie mechanizmów izolacji zasobów) jak również specyficzne zagrożenia, związane z zasobami podmiotu nadzorowanego (np. brak zasobów ludzkich o ustalonych kompetencjach).
W tym kroku będą potrzebne informacje od dostawcy chmury, np. dotyczące możliwości korzystania z pomocy osób o specjalistycznych kompetencjach w obszarze cyberbezpieczeństwa jak i samej usługi chmury (szczególnie w sytuacji braku takich kompetencji wewnątrz własnej organizacji podmiotu nadzorowanego).
TIP: szacując ryzyko działaj w zgodnie z metodą: PDCA („plan – do – check – act”)
Formalne zatwierdzenie wyników szacowania ryzyka. Zatwierdzenie powinno obejmować decyzję dotyczącą:
Opracowanie planu na podstawie wyników szacowania ryzyka, który będzie zawierał m.in.:
W tym reguluje m.in.:
Wymagania dla dostawców to przede wszystkim zgodności działania z normami (lub ich odpowiednikami):
Jeśli wynika to z szacowania ryzyka, można zaakceptować brak spełnienia części ww. wymagań.
Uruchomienie produkcyjne stosowania chmury powinien poprzedzać okres testowy, podczas którego na danych testowych (generowanych w przypadkowy sposób) testowane są scenariusze adekwatne do oszacowanego ryzyka.
O fakcie korzystania z chmury należy poinformować UKNF, nie później niż 30 dni po rozpoczęciu świadczenia usługi.
Autorem tekstu jest Grzegorz Leśniewski, Leśniewski Borkiewicz & Partners