Narzędzia, które wspomagają wybór dostawcy rozwiązań chmurowych – cz. 3
Dodano: 21-07-2014 w kategorii: Powierzenie, Zasady przetwarzania danych osobowych. Dodane przez: Piotr Kawczyński.
Ostatnia część krótkiego przewodnika (poprzednie części znajdą Państwo tutaj: cz. 1 i cz. 2) jest związana z omówieniem kilku standardów, które dostarczają najlepszych praktyk w zakresie przetwarzania danych w chmurze. Pierwszym z nich jest Cloud Security Alliance Security Guidance (Wytyczne bezpieczeństwa dla krytycznych obszarów w Cloud Computing), obecnie dokument w wersji 3 z listopada 2011 roku.
Przewodnik składa się z czternastu obszarów takich jak:
1. Architektura cloud computing
2. Nadzór i zarządzanie ryzykiem
3. Prawo i informatyka śledcza
4. Zgodność i audyt
5. Zarządzanie informacją i ochrona danych
6. Przenaszalność i interoperacyjność
7. Bezpieczeństwo tradycyjne
8. Centrum danych i zarządzanie operacjami
9. Zarządzanie incydentami
10. Bezpieczeństwo aplikacji
11. Szyfrowanie i zarządzanie kluczami
12. Zarządzanie własnością, tożsamością i dostępem
13. Wirtualizacja
14. Bezpieczeństwo jako usługa
Wyżej wymieniony standard można pobrać z adresu https://cloudsecurityalliance.org/download/securit... po wcześniejszej rejestracji. Organizacja Cloud Security Alliance prowadzi również dla profesjonalistów branżowy program certyfikacyjny pod nazwą Cloud Security Knowledge. Otrzymanie certyfikatu CCSK jest potwierdzeniem i gwarancją znajomości najlepszych praktyk w zakresie zarządzania ryzykiem w cloud computing.
Kolejny standardem opublikowanym przez CSA jest Cloud Control Matrix (CCM), który został zaprojektowany w celu określenia zasad z zakresu bezpieczeństwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing. Jednocześnie standard ten uwzględnia wymagania powszechnie stosowanych norm i standardów bezpieczeństwa takich jak m.in.: ISO 27001, COBIT, NIST, Jericho.
Dla dostawców usług chmurowych organizacja CSA opracowała również program certyfikacyjny pod nazwą STAR, złożony z 3 poziomów. Do programu należy już ponad 70 dostawców w tym taki firmy jak Microsoft, Amazon, RedHat, Citrix i pozostałe.
Za standard (szczególnie dla administracji publicznej) można również uznać tzw. „Dekalog Chmuroluba”, którego opracowania podjął się Generalny Inspektor Ochrony Danych Osobowych. Poradnik jest na tyle uniwersalnym dokumentem, że z powodzeniem można uwzględniać wytyczne w nim opisane w stosunku nie tylko do podmiotów publicznych. Najważniejszymi wytycznymi opisanymi w poradniku są:
1. Obowiązek informacyjny o fizycznych lokalizacjach serwerów,
2. Pełen dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz stosowanych zabezpieczeń,
3. Pełen dostęp do informacji o ewentualnych podwykonawcach i współpracujących podmiotach,
4. Stosowanie jednolitych klauzul umownych i kontrola łańcucha podwykonawców,
5. Obowiązek informowania i raportowania o wszystkich incydentach bezpieczeństwa danych.
Przetwarzanie danych w chmurze obliczeniowej jest problemem wartym rozważenia i wdrożenia. Należy jednak pamiętać, aby przy podejmowaniu decyzji wziąć pod uwagę wszelkie za i przeciw oraz w najbardziej możliwy sposób dostosować model przetwarzania w chmurze do swoich potrzeb i kategorii danych, które będą przetwarzane. Zarówno w tradycyjnych modelach przetwarzania danych osobowych, tak i przy przetwarzaniu w chmurze powinno to odbywać się w sposób legalny, czyli zgodny z prawem.
Piotr Kawczyński
e-mail:
Alerty prawno-podatkowe