certifikácia cloudových služieb

ISO/IEC 27018:2019 certifikácia cloudových služieb – ako na to?

Poskytovatelia cloudových služieb, ktorí spracúvajú osobne identifikovateľné informácie (PII) na základe zmluvy so svojimi zákazníkmi musia spracovávať svoje služby spôsobom umožňujúcim obom stranám splniť požiadavky použiteľnej legislatívy a predpisov pokrývajúcich ochranu PII.

Norma ISO/IEC 27018:2019 stanovuje všeobecne akceptované kontrolné ciele, opatrenia a smernice pre zavedenie opatrení na ochranu osobne identifikovateľných informácií (PII) spolu s princípmi súkromia uvedenými v ISO/IEC 29100 pre prostredie verejného cloud computingu.

Norma ISO/IEC 27018:2019 najmä špecifikuje smernice založené na ISO/IEC 27002, pričom berie do úvahy regulačné požiadavky na ochranu PII, ktoré môžu byť uplatniteľné v rámci kontextu prostredia rizík bezpečnosti informácií poskytovateľa služieb verejného cloudu.

Norma ISO/IEC 27018:2019 je použiteľný pre všetky typy a veľkosti organizácií, zahŕňajúce verejné a súkromné spoločnosti, vládne úrady a neziskové organizácie, ktoré poskytujú služby pre spracovanie informácií ako spracovatelia PII prostredníctvom cloud computingu na základe zmluvy s inými organizáciami.

Smernice v tomto dokumente môžu mať tiež význam pre organizácie vystupujúce ako dozorné osoby PII; avšak strážcovia PII môžu byť predmetom ďalšej legislatívy, predpisov a záväzkov na ochranu PII, ktoré nie sú aplikované na spracovateľov PII. Cieľom tohto dokumentu nie je pokrytie takýchto dodatočných záväzkov.

Požiadavky a spôsob, akým sú požiadavky rozdelené medzi poskytovateľov cloudových služieb a jeho zákazníkov, sa menia v závislosti od právnej jurisdikcie a podľa podmienok zmluvného vzťahu medzi poskytovateľom cloudových služieb a zákazníkom. Legislatíva, ktorá určuje, ako môžu byť PII spracovávané (tj zhromažďované, používané, prenášané a likvidované) je niekedy spomínaná ako legislatíva na ochranu dát; PII sa niekedy nazývajú osobné údaje alebo osobné informácie.

Povinnosti spracovateľa PII týkajúce sa spracovateľa PII sa líšia v jednotlivých jurisdikciách, čo je výzvou pre organizácie poskytujúce služby cloud computingu, aby fungovali nadnárodne.

Poskytovateľ verejných cloudových služieb je „spracovateľ PII“, keď spracováva PII pre av súlade s pokynmi zákazníka cloudových služieb. Zákazníkom cloudových služieb, ktorý má zmluvný vzťah so spracovateľom PII vo verejnom cloude, môže byť fyzická osoba, „subjekt PII“, spracovávajúci jeho vlastný PII v cloude, alebo organizácia, „dozorca PII“, spracovávajúci PII týkajúcu sa mnohých subjektov PII.

Zákazník cloudových služieb by mohol autorizovať jedného alebo viacerých užívateľov cloudových služieb s nimi spojených, aby používal služby, ktoré sú pre nich dostupné na základe zmluvy so spracovateľom PII verejných služieb.

Zákazník cloudových služieb je oprávnený spracovávať a používať dáta. Zákazníka cloudových služieb, ktorý je tiež dozorcom PII, by sa mohol týkať širšieho súboru povinností určujúcich ochranu PII, než spracovateľa PII vo verejnom cloude. Udržiavanie odlišností medzi dozorným orgánom PII a spracovateľom PII sa spolieha na spracovateľov PII vo verejnom cloude, ktorý nemá iné ciele spracovania dát, než ciele nastavené zákazníkom cloudových služieb vzhľadom na PII, ktorá spracováva, a operáciám potrebným na dosiahnutie cieľov zákazníka cloudových služieb.

Norma ISO/IEC 27018:2019 Požiadavky na ochranu PII (osobne identifikovateľné informácie)

Je nevyhnutné, aby organizácia stanovila svoje požiadavky na ochranu PII. Existujú tri hlavné zdroje požiadaviek, ktoré sú uvedené ďalej:

  • Právne, štatutárne, regulatórne a zmluvné požiadavky: Jedným zdrojom sú právne, štatutárne, regulatórne a zmluvné požiadavky a záväzky, ktoré organizácie, jej obchodní partneri, dodávatelia a poskytovatelia služieb musia plniť, a ich sociokultúrne zodpovednosti a prevádzkové prostredie. Právne, regulačné a zmluvné záväzky spracovateľa PII môžu určovať výber konkrétnych opatrení a môžu tiež vyžadovať špecifické kritériá na implementáciu takýchto opatrení. Tieto požiadavky môžu byť v rôznych jurisdikciách odlišné.
  • Riziká: Ďalší zdroj je odvodený z posúdenia rizík hroziacich organizácii spojenej s PII, s prihliadnutím na celkovú podnikateľskú stratégiu a ciele organizácie. Posúdením rizík sa identifikujú hrozby, zraniteľnosti a pravdepodobnosť výskytu a je odhadnutý možný vplyv. ISO/IEC 27005 poskytuje pokyny na riadenie rizík bezpečnosti informácií, zahŕňajúce odporúčania ohľadom posúdenia rizík, akceptácie rizík, komunikácie rizík, monitorovania rizík a preskúmania rizík. ISO/IEC 29134 poskytuje usmernenia na posúdenie vplyvu na súkromie.
  • Korporátne politiky: Hoci mnohé aspekty pokryté korporátnou politikou sú odvodené z právnych a sociálno-kultúrnych záväzkov, organizácie si môžu tiež dobrovoľne zvoliť, že prijmú vyššie kritériá ako tie, ktoré sú odvodené z požiadaviek uvedených v bode a).

ISO/IEC 27018 Informačné technológie – Bezpečnostné techniky – Súbor postupov na ochranu osobne identifikovateľných informácií (PII) vo verejných cloudoch vystupujúcich ako spracovatelia PII

Norma ISO/IEC 27018:2019 je navrhnutá tak, aby ho organizácie mohli používať ako odkaz na výber opatrení na ochranu PII v procese implementovania systému riadenia bezpečnosti informácií cloud computingu na základe ISO/IEC 27001, alebo ako pokyny na implementáciu všeobecne akceptovaných opatrení na ochranu PII pre organizácie vystupujúce ako spracovatelia PII vo verejnom cloude.

Tento dokument je predovšetkým založený na ISO/IEC 27002, pričom zohľadňuje špecifické rizikové prostredia, vyplývajúce z tých požiadaviek na ochranu PII, ktoré sa môžu aplikovať na poskytovateľov verejných služieb cloud computingu vystupujúcich ako spracovatelia PII.

Obvykle organizácie implementujúce ISO/IEC 27001 chránia svoje vlastné informačné aktíva. V kontexte požiadaviek na ochranu PII na poskytovateľov verejných cloudových služieb vystupujúcich ako spracovateľ PII však organizácia chráni informačné aktíva, ktoré mu zákazníci zverili. Implementácia opatrení z ISO/IEC 27002 spracovateľom PII vo verejnom cloude je na tento účel vhodná a je nevyhnutná.

Norma ISO/IEC 27018:2019 rozširuje opatrenia uvedené v ISO/IEC 27002, aby zodpovedala distribuovanej povahe rizika a existencii zmluvného vzťahu medzi zákazníkom cloudových služieb a spracovateľom PII vo verejnom cloude. Tento dokument rozširuje ISO/IEC 27002 dvoma spôsobmi:

  • pokyny na implementáciu použiteľné na ochranu PII vo verejnom cloude je poskytnutý pre niektoré opatrenia uvedené v ISO/IEC 27002, a
  • príloha A poskytuje sadu ďalších opatrení a pripojené pokyny, ktoré majú riešiť požiadavky na ochranu PII vo verejnom cloude, ktorými sa nezaoberá súbor opatrení ISO/IEC 27002.

Väčšina z opatrení a pokynov uvedených v tomto dokumente sa budú aplikovať aj na dozorného orgánu PII. Dozorný orgán PII je však vo väčšine prípadov predmetom ďalších záväzkov, ktoré tu nie sú špecifikované.

Norma ISO/IEC 27018:2019 poskytuje rámec pre riadenie rizík týkajúcich sa ochrany osobných údajov, ktoré sa ukladajú a spracovávajú v cloude. Táto norma obsahuje odporúčania pre cloudových poskytovateľov v oblasti ochrany osobných údajov, ako napríklad:

  • Ochrana osobných údajov: Cloudový poskytovateľ musí zabezpečiť, že osobné údaje sú chránené pred neoprávneným prístupom, zmenou, zničením alebo stratou. Táto ochrana by sa mala zabezpečiť prostredníctvom fyzických a logických opatrení.
  • Preukázateľnosť: Cloudový poskytovateľ musí mať postupy na overenie svojich záväzkov v oblasti ochrany osobných údajov a byť schopný poskytnúť doklady o dodržiavaní týchto postupov.
  • Spracovanie údajov na území krajiny: Norma ISO 27018 odporúča, aby boli osobné údaje spracovávané v cloudových riešeniach iba na území krajiny, ktorá má prísne zákony na ochranu osobných údajov.
  • Auditovanie: Cloudový poskytovateľ musí mať procesy pre interné audity svojho systému riadenia ochrany osobných údajov a byť schopný poskytnúť zákazníkom informácie o výsledkoch týchto auditov.

V súčasnosti je ISO/IEC 27018:2019 jednou z najdôležitejších noriem v oblasti ochrany osobných údajov v cloude a je stále viac využívaná ako referenčný rámec pre ochranu osobných údajov v cloudových riešeniach.

Aké nové požiadavky stanovuje norma ISO/IEC 27018:2019 vs ISO/IEC 27001

Ako môžete vidieť, ISO/IEC 27018:2019 navrhuje najväčšie doplnky v požiadavkách bodu 12 Zabezpečenie prevádzky – to sa týka hlavne ovládacích prvkov 12.1.4 Oddelenie vývojového, testovacieho a prevádzkového prostredia (keď sa na testovanie používajú osobné údaje); 12.3.1 Zálohovanie informácií (viac kópií dát; postupy pre zálohovanie, obnovu a vymazanie; poskytovanie informácií zákazníkovi); a 12.4.1 Protokolovanie udalostí (proces kontroly protokolov; zaznamenávanie zmenených informácií o súkromí; poskytovanie informácií zákazníkovi).

Príloha A normy ISO/IEC 27018:2019 uvádza nasledujúce dodatočné kontroly (ktoré v norme ISO 27001/27002 neexistujú), ktoré by mali byť implementované, aby sa zvýšila úroveň ochrany osobných údajov v cloude:

  • Práva zákazníka na prístup a vymazanie údajov
  • Spracovanie údajov iba za účelom, pre ktorý zákazník tieto údaje poskytol
  • Nepoužíva sa dáta pre marketing a reklamu
  • Zmazanie dočasných súborov
  • Oznámenie zákazníkovi v prípade požiadavky na zverejnenie údajov
  • Evidencia všetkých zverejnení osobných údajov
  • Zverejnenie informácií o všetkých subdodávateľoch použitých na spracovanie osobných údajov
  • Oznámenie zákazníkovi v prípade úniku dát
  • Správa dokumentov pre cloudové zásady a postupy
  • Zásady pre vrátenie, prenos a likvidáciu osobných údajov
  • Dohody o mlčanlivosti pre jednotlivcov, ktorí majú prístup k osobným údajom
  • Obmedzenie tlače osobných údajov
  • Postup pre obnovu dát
  • Oprávnenie na odobratie fyzického média mimo web
  • Obmedzenie použitia médií, ktoré nemajú schopnosť šifrovania
  • Šifrovanie dát prenášaných cez verejné siete
  • Zničenie tlačených médií s osobnými údajmi
  • Použitie jedinečných ID pre cloudových zákazníkov
  • Záznamy o prístupe užívateľov do cloudu
  • Zakázanie používania ID užívateľov, ktorých platnosť vypršala
  • Stanovenie minimálnych bezpečnostných kontrol v zmluvách so zákazníkmi a subdodávateľmi
  • Zmazanie dát v úložisku pridelených iným zákazníkom
  • Oznámenie zákazníkovi cloudu, v ktorých krajinách budú dáta uložené
  • Zaistenie, že dáta dorazia do cieľa

ISO/IEC 27001 alebo ISO/IEC 27018:2019?

Záverom však nie je voliť medzi týmito dvoma štandardmi, ale implementovať ich spoločne – ISO 27001 poskytuje najlepší rámec pre riadenie bezpečnosti (s rozhodujúcim dôrazom na riadenie rizík), zatiaľ čo ISO 27018 poskytuje vynikajúce bezpečnostné detaily špecifické pre cloud. Jednoducho začnite s ISO 27001 a pridávajte kúsky z ISO 27018, ako postupujete vo svojom implementačnom projekte.

Súvisiaci STN k norme ISO/IEC 27018:2019 – Informačné technológie – Bezpečnostné techniky

  • ISO/IEC 17788 zavedená v ČSN ISO/IEC 17788 (36 9865) Informačné technológie – Cloud computing – Prehľad a slovník
  • ISO/IEC 27000 zavedená v STN EN ISO/IEC 27000 (36 9790) Informačné technológie – Bezpečnostné techniky – Systémy riadenia bezpečnosti informácií – Prehľad a slovník
  • ISO/IEC 27002:2013 zavedená v STN EN ISO/IEC 27002:2014 (36 9798) Informačné technológie – Bezpečnostné techniky – Súbor postupov pre opatrenia bezpečnosti informácií
  • ČSN ISO/IEC 17789 (36 9866) Informačné technológie – Cloud computing – Referenčná architektúra
  • STN EN ISO/IEC 27001 (36 9797) Informačné technológie – Bezpečnostné techniky – Systémy riadenia bezpečnosti informácií – Požiadavky

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *