» \"Облачные\" услуги и ISO 27001 / BS 25999

"Облачные" услуги и ISO 27001 / BS 25999
Деян Кошутич - 30 мая 2011

Все чаще и чаще люди спрашивают меня что делать с "облачными" сервисами в контексте ISO 27001 и BS 25999. Мой ответ: руководствуйтесь здравым смыслом.
Их дилемма вполне понятна - эти стандарты были написаны до того времени пока "облачные" услуги не были настолько серьезный фактор и следовательно нет особого акцента на "облачные" услуги в любом из этих стандартов. Что еще хуже, перебои в поставках "облачных" услуг вызвали серьезные проблемы для других бизнесов, работающих в интернете, как это было недавно в случае с Amazon Web Services (более подробную информацию о AWS и ISO 27001 можете прочитать в статье Означает ли ISO 27001 что информация на 100% безопасна?).
Поэтому их позиция: поскольку мы не можем контролировать информацию в "облаке", безопасность информации в данном случае это просто мертвое слово.

Новая концепция?
Я не согласен с этим. Дело в том - "облачные" услуги являются не чем иным, кроме аутсорсинга (хранения или обработки информации). А вы уже делаете аутсорсинг иной деятельности, которая может создать угрозу для безопасности вашей информации - программное обеспечение, как правило, разработано вне организации; вы наверное имеете внешних поставщиков, которые поддерживают ваше апаратное и программное обеспечение (иногда с возможностью удаленного доступа к сети); скорее всего у вас есть какой-то внешный обслуживающий персонал на месте (например для инфраструктуры); наверняка у вас есть консультанты и/или аудиторы на месте (которые знают уязвимости вашей компании), и скорее всего, у вас есть внешный персонал по очистке (и они имеют доступ к большей части оборудования, когда никого нет там).
Поэтому, я бы сказал, что хотя "облачные" услуги являются новыми технологическими возможностями, главная проблема аутсорсинга остается прежней - насколько вы можете верить своему аутсорсинг партнеру?

Здравый смысл
Здесь нужно применить здравый смысл, или иными словами исполнить требования ISO 27001 и BS 25999-2 - вы должны сделать  оценку рисков, чтобы узнать потенциальные риски, а затем ви должны выбрать своего партнера мудро и применить необходимые средства управления для уменьшения этих рисков.
В своем механизме контроля ​​A.6.2.1 ISO 27001 требует определить "... риски для информации организации и средств обработки информации, вытекающие из бизнес-процессов с участием внешних сторон"; A.6.2.3 требует рассмотрение вопросов безопасности в соглашениях, которые "... должны охватывать все соответствующие требования безопасности"; есть также различные другие средства управления определяющие резервное копирование информации (A.10.5.1), контроль доступа (А.11), классификация (A.7.2.1) и др. В пункте 4.1.1 BS 25999-2 требует "... выявить все зависимости, имеющие отношение к критической деятельности, включая поставщиков и аутсорсинг партнеров", в пункте 4.1.2 "... понять угрозы и уязвимости ... в том числе вызванные поставщиками и аутсорсинг партнерами", а в пункте 4.2 «... определить, как будет восстанавливать каждую критическую деятельность ... в том числе продукты и услуги поставщиков и аутсорсинг партнеров".

Так что же можно сделать, чтобы уменьшить риск от "облачных" сервисов? Вот несколько очень простых советов:
• Сделайте тщательную проверку потенциального поставщика - не только записей его производителности, но и биографии его руководства, были ли реализованы политики и процедуры по информационной безопасности и непрерывности бизнеса, финансовой стабильности, правовых рисков и т.д.
• Введите очень конкретные пункты по безопасности в договоре с поставщиком, где самый большой акцент будет на вопросах, которые вызвали самые высокие опасения в ходе оценки рисков.
• Храните резервное копие информации локально - несмотря на то, что поставщики "облачных" услуг будут (возможно) делать регулярное резервное копирование, это всегда хорошая идея чтобы иметь прямой контроль над информацией. (например, банковские регуляторы в некоторых странах ввели правила для местных банков сохранять резервное копие в стране именно из-за этого риска.) 
• Разработайте свою стратегию о том, как вернуть обработку/архивирование информации обратно в вашу компанию (ре-инсорсинг) в случае возникновения проблем у поставщика "облачных" услуг - вы должны знать какие шаги необходимы, а также какие ресурсы.
• стратегией выхода может быть также иметь альтернативных поставщиков "облачных" услуг, готовы подключиться если существующий партнер работает плохо.
• Регулярно выполняйте проверки вашего поставщика, чтобы узнать соблюдает ли он пункты по безопасности в соглашении.
Конечно, большинство из вещей, упомянутых здесь, кажется невозможны для небольших компаний. Но в таком случае, вы действительно доверите ли им вашу важную информацию, не имея никаких гарантий? Иногда для вас лучше без "облачных" услуг - это то, что ваше руководство должно решить: они должны найти баланс между ценой, удобством и рисками.

Управляйте свои риски
Я не хочу сказать здесь, что риски "облачных" услуг такие же как другие риски аутсорсинга, потому что это не так - "облачные" услуги обычно несут более высокие риски. Я также не хочу сказать, что ISO 27001 и BS 25999-2 (вскоре ставший ISO 22301), не должны быть более конкретными в области "облачных" услуг, потому что они должны быть. Я также думаю, что законодательство должно решить эту проблему очень быстро.

Вот что я хочу сказать здесь: несмотря на то, что риски связанные с "облачными" услугами являются высокими, это не означает что они не могут быть уменьшены.
Поэтому вы должны использовать здравый смысл при выборе поставщика "облачных" сервисов - если вы не верите своему поставщику в полном объеме, то не доверяйте ему свою ценную информацию.

 

Связаться с нами

  • 1111 София ул. Гео Милев 47, бл.2
  • office@mscservices.eu
  • +359 2 4422 637
  • +359 889 622 637