VING doo
Bulevar Oslobođenja 60A/75
21000 Novi Sad, Srbija
Tel: +381 21 455 044
Mob: +381 64 64 19 792
Mob: +381 65 22 64 600
E-mail: info@ving.co.rs
Kodeks prakse za kontrole bezbednosti informacija zasnovan na ISO/IEC 27002 za usluge u oblaku
Šta je ISO/IEC 27017?
Standard ISO/IEC 27017 je međunarodni standard koji daje smernice za bezbednosne kontrole informacija u okruženju cloud computinga (usluga u oblaku).
Standard ISO/IEC 27017 pomaže kompanijama da:
- Pravilno primene bezbednosne kontrole u cloudu;
- Jasno definišu odgovornosti između cloud provajdera i korisnika;
- Smanje rizike vezane za:
- deljenje resursa,
- virtuelizaciju,
- upravljanje pristupom,
- zaštitu podataka u oblaku.
Standard ISO/IEC 27017 ne uvodi zahteve za sertifikaciju sam po sebi, već pruža smernice koje se koriste uz: standard ISO/IEC 27001 (sertifikacija ISMS-a) i ISO/IEC 27002 (kontrole bezbednosti).
Kome je namenjen ISO/IEC 27017?
Standard ISO/IEC 27017 namenjen je:
- Provajderima cloud usluga (Cloud Service Providers)
Da bi:
- uspostavili i primenjivali bezbednosne kontrole u cloud okruženju,
- jasno definisali svoje bezbednosne odgovornosti,
- povećali poverenje korisnika u svoje usluge.
- Korisnicima cloud usluga (Cloud Service Customers)
Da bi:
- razumeli koje bezbednosne kontrole su njihova odgovornost,
- procenili bezbednost cloud provajdera,
- pravilno upravljali rizicima prilikom korišćenja cloud servisa.
- Organizacijama koje koriste ili nude cloud rešenja
Uključujući:
- IT kompanije,
- finansijske institucije,
- zdravstvene organizacije,
- javni sector.
Standard ISO/IEC 27017 je namenjen svim kompanijama koje pružaju ili koriste cloud usluge i žele da unaprede bezbednost informacija u oblaku.
Struktura standarda ISO/IEC 27017?
Standard ISO/IEC 27017 ima strukturu koja je zasnovana na standardu ISO/IEC 27002, uz dodatne cloud-specifične smernice i kontrole.
Struktura standarda ISO/IEC 27017:
- Uvod (Introduction)
Objašnjava svrhu standarda i njegovu primenu u cloud okruženju. - Opseg (Scope)
Definiše da se standard odnosi na bezbednosne kontrole za cloud servise, kako za provajdere tako i za korisnike. - Normativne reference (Normative references)
Upućuje na povezane standarde, pre svega standard ISO/IEC 27002.
- Termini i definicije (Terms and definitions)
Objašnjava ključne pojmove vezane za cloud computing i bezbednost informacija.
- Cloud-specifične smernice za kontrole iz standarda ISO/IEC 27002
Ovo je glavni deo standarda i obuhvata:
- dodatna objašnjenja postojećih kontrola iz standarda ISO/IEC 27002,
- smernice kako se te kontrole primenjuju u cloud okruženju,
- razgraničenje odgovornosti između:
- cloud provajdera,
- korisnika cloud usluga.
- Dodatne cloud-specifične kontrole
Standard uvodi nove kontrole koje nisu eksplicitno obuhvaćene u standard ISO/IEC 27002, kao što su:
- odgovornosti u deljenom cloud okruženju,
- bezbednost virtuelnih mašina,
- administracija cloud servisa,
- razdvajanje podataka korisnika.
Prednosti uvođenja ISO/IEC 27017?
Ključne prednosti uvođenja standarda ISO/IEC 27017 su:
- Povećana bezbednost u cloud okruženju
- jasne smernice za zaštitu podataka u oblaku,
- smanjenje rizika vezanih za deljenje resursa i virtuelizaciju.
- Jasno definisane odgovornosti
- razgraničenje odgovornosti između:
- cloud provajdera,
- korisnika cloud usluga
- smanjenje nesporazuma i bezbednosnih propusta.
- Bolje upravljanje rizicima
- lakša identifikacija i procena cloud-specifičnih rizika,
- efikasnije sprovođenje bezbednosnih kontrola.
- Veće poverenje korisnika i partnera
- demonstriranje posvećenosti bezbednosti informacija,
- konkurentska prednost na tržištu cloud usluga.
- Usklađenost sa drugim standardima
- laka integracija sa:
- standardom ISO/IEC 27001,
- standardom ISO/IEC 27002,
- standardom ISO/IEC 27018,
- podrška regulatornim i ugovornim zahtevima.
- Poboljšana transparentnost cloud usluga
- jasna pravila za nadzor, upravljanje i izveštavanje,
- bolja kontrola nad cloud resursima.
Standard ISO/IEC 27017 pomaže kompanijama da bezbedno, jasno i pouzdano koriste ili pružaju cloud usluge.
Šta je to implementacija ISO/IEC 27017?
Implementacija standarda ISO/IEC 27017 je proces uvođenja i primene smernica i bezbednosnih kontrola ovog standarda u cloud okruženju, sa ciljem da se poveća bezbednost informacija i jasno definišu odgovornosti između cloud provajdera i korisnika.
Implementacija standarda ISO/IEC 27017 podrazumeva:
- Analiza postojećeg stanja
- procena trenutnih bezbednosnih mera u cloud okruženju,
- identifikacija razlika u odnosu na smernice standarda ISO/IEC 27017.
- Definisanje odgovornosti
- jasno razgraničenje odgovornosti između:
- cloud provajdera,
- korisnika cloud usluga,
- dokumentovanje tih odgovornosti u ugovorima i politikama.
- Primena cloud-specifičnih bezbednosnih kontrola
- bezbedno upravljanje virtuelnim mašinama,
- kontrola pristupa cloud resursima,
- razdvajanje podataka korisnika,
- nadzor i evidencija aktivnosti u cloudu.
- Usklađivanje sa postojećim ISMS-om
- integracija sa standardima ISO/IEC 27001 i ISO/IEC 27002,
- prilagođavanje politika, procedura i tehničkih mera.
- Obuka i podizanje svesti
- edukacija zaposlenih i administratora,
- razumevanje cloud rizika i odgovornosti.
- Praćenje i unapređenje
- redovno praćenje bezbednosnih kontrola,
- stalno poboljšavanje u skladu sa promenama u cloud okruženju.
Standard ISO/IEC 27017 nije sertifikacioni standard, već se implementira kao dopuna i koristi kao dokaz dobre prakse u cloud bezbednosti.
Implementacija standarda ISO/IEC 27017 znači prilagođavanje bezbednosnih mera komapnije specifičnostima cloud usluga.
Šta je to sertifikacija ISO/IEC 27017?
Sertifikacija standarda ISO/IEC 27017 u užem smislu ne postoji kao samostalan sertifikat, jer ISO/IEC 27017 nije standard sa obavezujućim zahtevima, već standard sa smernicama.
Standard ISO/IEC 27017 se ne sertifikuje direktno, sertifikacija se vrši prema standardu ISO/IEC 27001. Standard ISO/IEC 27017 se koristi kao dopuna i dokaz dobre prakse za cloud bezbednost.
