wiedza

Outsourcing chmury dla podmiotów nadzorowanych - 9 kroków

Przedstawiamy esencję wiedzy dla podmiotów nadzorowanych na temat outsourcingu chmury. Sa to praktyczne wskazówki dotyczące wymogów formalnych w procesie migracji do chmury, opracowane przez prawików z kancelarii Leśniewski Borkiewicz & Partners, w nawiązaniu do Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej.

Krok 1. Przygotowanie klasyfikacji i oceny informacji

Dokument powinien identyfikować przetwarzane informacje, z podziałem na:

  • informacje prawnie chronione w rozumieniu komunikatu UKNF (informacje związana z tajemnicami sektora finansowego wymienionymi w ustawach sektorowych);
  • informacje, których ochrona wynika z innych uregulowań (np. RODO i dane osobowe, tajemnice przedsiębiorstw)
  • informacje, które nie podlegają ochronie prawnej (np. publicznie dostępne opracowania / baza wiedzy)

Krok 2. Ocena czy komunikat UKNF znajduje zastosowanie

Krok 3. Szacowanie ryzyka (zgodnie z normą PN-ISO 27005)

Udokumentowanie kompleksowego szacowania ryzyka (identyfikacja, analiza oraz ocena zagrożeń, możliwości ich wystąpienia oraz wpływ tego wystąpienia na podmiot nadzorowany). Należy uwzględnić zarówno zagrożenia dla stosowania chmury jako takiej (np. awarie mechanizmów izolacji zasobów) jak również specyficzne zagrożenia, związane z zasobami podmiotu nadzorowanego (np. brak zasobów ludzkich o ustalonych kompetencjach).

W tym kroku będą potrzebne informacje od dostawcy chmury, np. dotyczące możliwości korzystania z pomocy osób o specjalistycznych kompetencjach w obszarze cyberbezpieczeństwa jak i samej usługi chmury (szczególnie w sytuacji braku takich kompetencji wewnątrz własnej organizacji podmiotu nadzorowanego).

TIP: szacując ryzyko działaj w zgodnie z metodą: PDCA („plan – do – check – act”)

Krok 4. Zarządzenie ryzykiem

Formalne zatwierdzenie wyników szacowania ryzyka. Zatwierdzenie powinno obejmować decyzję dotyczącą:

  • usług chmury, z których podmiot nadzorowany będzie korzystał
  • rodzaju i zakresu przetwarzanych w ramach tych usług informacji

Czytaj także: Kubernetes i kontenery - nowa miłość branży finansowej


Krok 5. Plan przetwarzania informacji w chmurze

Opracowanie planu na podstawie wyników szacowania ryzyka, który będzie zawierał m.in.:

  • opis przetwarzanych informacji
  • sposób ich szyfrowania oraz zarządzania kluczami szyfrującymi
  • zasady nadawania, kontrolowania oraz odbierania dostępu do informacji
  • przewidywaną datę zawarcia umowy z dostawcą chmury, a jeśli jest już zawarta - referencje do tej umowy (numer, okres obowiązywania, data przedłużenia lub zmiany, data rozpoczęcia korzystania z usług)
  • opis zadania realizowanego za pomocą chmury

Krok 6. Potwierdzenie, że umowa z dostawcą spełnia wymogi KNF

W tym reguluje m.in.:

  • deklarowane SLA
  • metody zabezpieczenia lokalizacji przetwarzania (opis metod i narzędzi)
  • prawo podmiotu nadzorowanego do przeprowadzenia inspekcji
  • prawo dla nadzoru do wykonania obowiązków kontrolnych
  • zasady wsparcia, w tym zakres i okna czasowe, tryb i sposób zgłaszania problemów z chmurą

Krok 7. Potwierdzenie, że sam dostawca spełnia wymogi KNF

Wymagania dla dostawców to przede wszystkim zgodności działania z normami (lub ich odpowiednikami):

  • PN-ISO/IEC ISO 20000 dotyczące zarządzania usługami IT
  • PN-EN ISO/IEC 27001 dotyczące zarządzania bezpieczeństwem informacji
  • PN-EN ISO 22301 dotyczące zarządzania ciągłością działania
  • ISO/IEC 27017 dotyczące bezpieczeństwa informacji w chmurze
  • ISO/IEC 27018 dotyczące dobrych praktyk zabezpieczania danych osobowych w chmurze

Jeśli wynika to z szacowania ryzyka, można zaakceptować brak spełnienia części ww. wymagań.

Krok 8. Uruchomienie usług

Uruchomienie produkcyjne stosowania chmury powinien poprzedzać okres testowy, podczas którego na danych testowych (generowanych w przypadkowy sposób) testowane są scenariusze adekwatne do oszacowanego ryzyka.

Krok 9. Poinformowanie UKNF

O fakcie korzystania z chmury należy poinformować UKNF, nie później niż 30 dni po rozpoczęciu świadczenia usługi.

Autorem tekstu jest Grzegorz Leśniewski, Leśniewski Borkiewicz & Partners