"Облачните" компютърни услуги и ISO 27001 / BS 25999
От Деян Кошутич - 30 май 2011
Все повече и по-често хората ме питат какво да правят с "облачните" компютърни услуги в контекста на ISO 27001 и BS 25999. Моят отговор е:използвайте здрав разум.
Тяхната дилема е напълно разбираема - тези стандарти са били написани преди "облачните" услуги да станат толкова сериозен фактор и затова няма особен акцент върху "облачните" услуги в никой от тях. За да станат нещата още по-лоши, прекъсвания на доставчици на "облачни" услуги предизвикаха сериозни проблеми на други интернет-базирани бизнеси, какъвто беше наскоро случая с Amazon Web Services (за повече информация за AWS и ISO 27001 четете Означава ли ISO 27001, че информацията е 100% сигурна?).
Ето защо, тяхната позиция е: тъй като ние не можем да контролираме информацията в "облака", сигурността на информацията в такъв случай е празна приказка.
Нова концепция?
Аз няма да се съглася с това. Смисълът е - "облачните" компютърни услуги не са нищо друго, освен аутсорсинг (на съхраняване или обработка на вашата информация).
А вие вече сте дали на аутсорсинг други дейности, които могат да застрашат сигурността на вашата информация - вашият софтуер обичайно се разработва от външен доставчик, вие може да имате външни доставчици, които поддържат хардуерните и софтуерните ви активи (понякога с отдалечен достъп до вашата мрежа), най-вероятно имате някакъв външен персонал по поддръжката на място при вас (ако не за друго, то за инфраструктурата), почти сигурно имате консултанти и / или одитори на място при вас (които знаят уязвимостите на вашата компания) и най-вероятно имат външен персонал по почистването на персонал (и те имат достъп до повечето от съоръженията, когато никой друг не е наличен).
Ето защо, аз бих казал, въпреки че "облачните" услуги са нова технологична възможност, основният въпрос на аутсорсинга остава както и преди - до колко можете да се доверите на вашия аутсорсинг партньор?
Здрав разум
Тук е мястото, където трябва да използвате здравия си разум или да приложите текстовете на ISO 27001 и BS 25999-2 - трябва да използвате оценката на риска, за да разберете какви са потенциалните рискове, и тогава ще трябва да изберете мъдро вашия партньор и да приложите необходимите контроли за сигурност, за да намалите тези рискове.
В контрола A.6.2.1 ISO 27001 изисква да се идентифицират "... рисковете за информацията на организацията и средствата за обработка на информация от бизнес процесите с участието на външни лица", а A.6.2.3 изисква да се разгледат въпросите на сигурността в споразумения, които "... трябва да вклюват всички релевантни изисквания за сигурност", има и различни други контроли, определящи резервирането на информацията (A.10.5.1), контрола на достъпа (А.11), класификацията (A.7.2.1) и т.н. В клауза 4.1.1 BS 25999-2 изисква да "... се идентифицират всички зависимости, свързани с критичните дейности, включително доставчици и, аутсорсинг партньори", в клауза 4.1.2 "... да се установят заплахите и слабостите ... включително тези, предизвикани от доставчиците и аутсорсинг партньорите", а в клауза 4.2 "... да определи как ще възстанови всяка критична дейност ... включително продукти и услуги, предоставяни от доставчици и аутсорсинг партньори ".
И така, какво можете да направите, за да намалите риска от "облачните" услуги? Ето няколко много важни съвета:
• направете цялостна проверка на потенциалния доставчик - не само записи за неговата производителност, но също така и биографиите на неговите ръководители, внедрил ли е политики и процедури за информационна сигурност и непрекъсваемост на бизнеса, финансова стабилност, правни рискове и т.н.
• включете много специфични клаузи за сигурност във Вашия договор с доставчика, катоо най-големият акцент ще бъде върху въпросите, които са предизвикали най-големи опасения по време на оценката на риска.
• съхранявайте резервно копие на информацията си на място - въпреки че доставчикът "облачни" услуги (вероятно) прави редовно архивиране, то винаги е добра идея да имате пряк контрол върху вашата информация. (например банковите регулатори в някои страни са наложили регламенти за местните банки да пазят резервно копие вътре в страната специално заради този риск.)
• Разработете стратегия за това как да се върне обработката/архивирането на информация обратно във вашата компания (ре-инсорсинг) в случай на проблеми с вашия доставчик на "облачни" услуги - вие трябва да знаете точно какви стъпки са необходими, както и какви ресурси.
• Възможна стратегия за излизане от кризата може да бъде осигуряването на алтернативен доставчик на "облачни" услуги, в готовност, готов да се включи ако вашият партньор се справя зле.
• Извършвайте редовни проверки на вашия доставчик, за да разберете дали има съответствие на защитните клаузи от споразумението.
Разбира се, повечето от нещата, споменати тук, ще изглеждат невъзможни за по-малка компания. Но във всеки случай, бихте ли им поверили наистина вашата важна информация, без да имате никакви гаранции? Понякога е по-добре без "облачни" услуги - това е нещо, което вашето ръководство трябва да реши: те трябва да преценят баланса между разходите и удобство, и рисковете.
Управлявайте вашите рискове
Не се опитвам да кажа тук, че рисковете от "облачните" компютърни услуги са същите както другите аутсорсинг рискове, защото те не са - "облачните" услуги обикновено водят до по-високи рискове. Аз също не се опитвам да кажа, че ISO 27001 и BS 25999-2 (скоро ще излезе ISO 22301) не трябва да бъдат по-конкретни относно "облачните" услуги, защото трябва. Аз мисля също, че законодателството трябва да разгледа този въпрос много бързо.
Това, което аз се опитвам да кажа тук е, че въпреки че рисковете, свързани с "облачните" услуги, са високи, това не означава, че те не могат да бъдат намалени.
Затова, използвайте здравия си разум при избора на доставчик на "облачни" услуги - ако не вярвате напълно на вашия доставчик, тогава не му поверявайте вашата чувствителна информация.
- 1111 София ул. Гео Милев 47, бл.2
- office@mscservices.eu
- +359 2 4422 637
- +359 889 622 637