Επέκταση του ΣΔΑΠ σας για την αντιμετώπιση κινδύνων ασφάλειας στο Cloud
Το πρότυπο ISO 27001 καθορίζει τις προδιαγραφές για ένα ΣΔΑΠ (Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών). Γνωρίζατε όμως ότι μπορείτε να επεκτείνετε το ΣΔΑΠ σας που βασίζεται στο ISO 27001 για να καλύψετε συγκεκριμένες πτυχές της ασφάλειας στο Cloud;
Ας ρίξουμε μια πιο προσεκτική ματιά στα πρότυπα ISO 27017 και ISO 27018.
Σημείωση: Οι τρέχουσες εκδόσεις των προτύπων ISO 27017 και ISO 27018, ISO/IEC 27017:2015 και ISO/IEC 27018:2019, είναι ευθυγραμμισμένες με την προηγούμενη έκδοση (2013) του ISO 27002. Το πρότυπο ISO 27001:2022 αναδιοργανώνει πλήρως το σύνολο των ελέγχων, προσθέτοντας 11 νέους ελέγχους, συμπεριλαμβανομένου του 5.23: Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών Cloud. Κανένας παλιός έλεγχος δεν αφαιρέθηκε – απλώς αναριθμήθηκαν και, σε ορισμένες περιπτώσεις, συγχωνεύτηκαν.
Περιεχόμενα
Τι είναι το ISO 27017;
Ποιοι είναι οι έλεγχοι του ISO 27017;
Τι είναι το ISO 27018;
Ποιοι είναι οι έλεγχοι του ISO 27018;
Τι είναι το ISO 27017;
Το ISO 27017 παρέχει ένα πρακτικό εγχειρίδιο (code of practice) για τους ελέγχους ασφάλειας πληροφοριών που βασίζονται στο ISO 27002 για τις υπηρεσίες Cloud.
Όπως επισημαίνει το ISO 27017, το Cloud computing παρουσιάζει τους δικούς του κινδύνους ασφάλειας, καθώς είναι τεχνικά σχεδιασμένο και λειτουργεί με τρόπο διαφορετικό από άλλους υπολογιστικούς πόρους.
Επομένως, το Πρότυπο παρέχει οδηγίες για την εφαρμογή 37 ελέγχων ασφάλειας πληροφοριών του Παραρτήματος A του ISO 27001 σε περιβάλλοντα Cloud, καθώς και 7 πρόσθετους ελέγχους για την αντιμετώπιση κινδύνων και απειλών ασφάλειας πληροφοριών που είναι ειδικοί για το Cloud.
Για κάθε έλεγχο, η καθοδήγηση χωρίζεται σε δύο μέρη: για τους πελάτες υπηρεσιών Cloud και για τους παρόχους υπηρεσιών Cloud.
Ποιοι είναι οι έλεγχοι του ISO 27017;
Το διευρυμένο σύνολο ελέγχων για τις υπηρεσίες Cloud, που παρέχεται στο Παράρτημα Α του ISO 27017, περιλαμβάνει:
CLD.6.3.1 Κοινόχρηστοι ρόλοι και ευθύνες σε περιβάλλον Cloud computing
CLD.8.1.5 Αφαίρεση περιουσιακών στοιχείων του πελάτη της υπηρεσίας Cloud
CLD.9.5.1 Διαχωρισμός σε εικονικά υπολογιστικά περιβάλλοντα
CLD.9.5.2 Ενίσχυση εικονικής μηχανής
CLD.12.1.5 Λειτουργική ασφάλεια διαχειριστή
CLD.12.4.5 Παρακολούθηση υπηρεσιών Cloud
CLD.13.1.4 Ευθυγράμμιση της διαχείρισης ασφάλειας για εικονικά και φυσικά δίκτυα
Το σύστημα αρίθμησης ευθυγραμμίζεται με το ISO 27002:2013.
Όπως και με το σύνολο ελέγχων του ISO 27002, οι οργανισμοί που εφαρμόζουν το σύνολο ελέγχων του ISO 27017 δεν αναμένεται να τους εφαρμόσουν όλους, αλλά θα πρέπει να διεξάγουν μια εκτίμηση κινδύνου ασφάλειας πληροφοριών. Αυτό περιλαμβάνει:
Προσδιορισμό όλων των κινδύνων ασφάλειας πληροφοριών.
Αξιολόγηση του επιπέδου κινδύνου τους.
Αντιμετώπιση των μη αποδεκτών κινδύνων.
Ο πιο συνηθισμένος τρόπος για την αντιμετώπιση ενός κινδύνου είναι η εφαρμογή ενός κατάλληλου ελέγχου («τροποποίηση του κινδύνου»), ο οποίος μπορεί, αλλά δεν είναι απαραίτητο, να προέρχεται από το Παράρτημα Α (είτε στο ISO 27001 είτε στο ISO 27017).
Τι είναι το ISO 27018;
Το ISO 27018 είναι επίσης ένα πρακτικό εγχειρίδιο, αλλά για την προστασία των PII (πληροφορίες προσωπικής ταυτοποίησης) στο Cloud ως εκτελεστής επεξεργασίας δεδομένων.
Όπως και το ISO 27017, το ISO 27018 αποτελεί επέκταση ενός ΣΔΑΠ ISO 27001, παρέχοντας οδηγίες για τους ελέγχους του ISO 27002 (όπου ισχύει), καθώς και ένα δικό του διευρυμένο σύνολο ελέγχων.
Ποιοι είναι οι έλεγχοι του ISO 27018;
Το Παράρτημα Α του ISO 27018 περιέχει 25 ελέγχους:
A.2.1 Υποχρέωση συνεργασίας σχετικά με τα δικαιώματα των υπευθύνων για τα PII [υποκείμενα των δεδομένων]
A.3.1 Σκοπός του εκτελεστή επεξεργασίας PII του δημόσιου Cloud
A.3.2 Εμπορική χρήση από τον εκτελεστή επεξεργασίας PII του δημόσιου Cloud
A.5.1 Ασφαλής διαγραφή προσωρινών αρχείων
A.6.1 Ειδοποίηση αποκάλυψης PII
A.6.2 Καταγραφή αποκαλύψεων PII
A.8.1 Γνωστοποίηση της επεξεργασίας PII που ανατίθεται σε υπεργολάβο
A.10.1 Ειδοποίηση παραβίασης δεδομένων που αφορούν PII
A.10.2 Περίοδος διατήρησης για διοικητικές πολιτικές και κατευθυντήριες γραμμές ασφάλειας
A.10.3 Επιστροφή, μεταφορά και διάθεση PII
A.11.1 Συμφωνίες εμπιστευτικότητας ή μη αποκάλυψης
A.11.2 Περιορισμός της δημιουργίας υλικού σε έντυπη μορφή
A.11.3 Έλεγχος και καταγραφή της αποκατάστασης δεδομένων
A.11.4 Προστασία δεδομένων σε μέσα αποθήκευσης που φεύγουν από τις εγκαταστάσεις
A.11.5 Χρήση μη κρυπτογραφημένων φορητών μέσων αποθήκευσης και συσκευών
A.11.6 Κρυπτογράφηση PII που μεταδίδονται μέσω δημόσιων δικτύων μετάδοσης δεδομένων
A.11.7 Ασφαλής διάθεση υλικών σε έντυπη μορφή
A.11.8 Μοναδική χρήση αναγνωριστικών χρηστών
A.11.9 Αρχεία εξουσιοδοτημένων χρηστών
A.11.10 Διαχείριση αναγνωριστικών χρηστών
A.11.11 Συμβατικά μέτρα
A.11.12 Επεξεργασία PII που ανατίθεται σε υπεργολάβο
A.11.13 Πρόσβαση σε δεδομένα σε ήδη χρησιμοποιημένο χώρο αποθήκευσης δεδομένων
A.12.1 Γεωγραφική θέση των PII
A.12.2 Προβλεπόμενος προορισμός των PII
Το σύστημα αρίθμησης είναι ευθυγραμμισμένο με τις 11 αρχές απορρήτου του ISO/IEC 29100.
Όπως και με τα πρότυπα ISO 27001 και ISO 27017, θα πρέπει να εφαρμόσετε μόνο τους ελέγχους που απαιτούνται για την αντιμετώπιση των συγκεκριμένων κινδύνων σας.