Są nowe Standardy Cyberbezpieczeństwa Chmur Obliczeniowych
Mają zapewnić bezpieczeństwo i ciągłość usług administracji.
Dostawca chmury ma m.in. stosować technologie ułatwiające repatriację do lokalnej infrastruktury.
Zaktualizowane zostały Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Jest to zbiór wymagań prawnych, organizacyjnych i technicznych, które mają zapewnić bezpieczeństwo danych i ciągłość działania administracji publicznej w ramach Inicjatywy Wspólna Infrastruktura Informatyczna Państwa. SCCO to najważniejszy dokument umożliwiający administracji korzystanie z chmury publicznej. Zmiany w nim przyjęli szefowie resortu cyfryzacji, MON, MSWiA i koordynator ds. służb specjalnych.
Według Ministerstw Cyfryzacji najważniejsze zmiany obejmują:
– nowelizację kluczowych pojęć,
– dostosowanie kategorii zabezpieczeń do nowego brzmienia uchwały uchwały w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa”,
– aktualizację katalogu zabezpieczeń zgodnie z bieżącymi standardami NIST (National Institute of Science and Technology),
– zmiany w zakresie podstawowych wymagań bezpieczeństwa w macierzy zabezpieczeń,
– rozwinięcie zagadnień związanych z bezpieczeństwem danych, zawieraniem umów o korzystanie z usług oraz zjawiskiem vendor lock-in.
Według opublikowanych Standardów Cyberbezpieczeństwa Chmur Obliczeniowych przykładowo komercyjni dostawcy usług cloud muszą stosować technologie, pozwalające na łatwą migrację danych do własnej infrastruktury odbiorcy lub do innej chmury. Ma to na celu zapewnienie konkurencyjności, bezpieczeństwa, a w szczególności wyeliminowanie „vendor lock-in”.
Dostawca chmury nie może wykorzystywać informacji i danych odbiorców usług w inny sposób, niż określony w umowie o świadczenie usług. Takie jest wymaganie w odniesieniu do danych administracji.
Ponadto umowa musi zawierać część określającą warunki zakończenia korzystania z usług chmury. Kontrakt ma opisywać przy tym zasady i terminy zwrotu lub usunięcia przetwarzanych danych.
Zaleca się też określone zapisy w umowie o świadczenie usług z dostawcą chmury publicznej. Chodzi np. o takie, by dostawca na każde żądanie odbiorcy usług niezwłocznie przekazywał zawartość wszystkich dzienników i danych monitorowania. Dotyczy to dzienników i danych związanych z wykorzystaniem i zarządzaniem świadczonymi usługami.
Dokument SCCO opisuje też m.in. proces zarządzania ryzykiem związanym z przetwarzaniem informacji w chmurze. Podejście to określono jako schemat sześciu kroków.
Szczegóły na stronie Ministerstwa Cyfryzacji.
Podobne aktualności
Dane do kont skradzione dzięki AI wystawiono na sprzedaż
Skuteczność kliknięć w pułapki przygotowane przez hakerów z pomocą AI wzrosła do 54 proc.
Zagrożenia wewnętrzne rosną. Branża IT najbardziej podatna na nadużycia
Raport Cifas analizuje zjawisko nadużyć pracowników w przedsiębiorstwach, zwracając uwagę na rosnącą akceptację dla nieuczciwych zachowań