a young woman sits at a desk in front of a screen with a reference to cloud storage

Сигурност в облака с ISO 27001:2022

Андре Saeckel

Експерт на DQS по стандартите за информационна сигурност
дек 29 , 2023
# Информационна сигурност и управление на риска

Според проучване на Statista през 2022 г., 84% от всички германски компании вече използват облачни услуги. Други 13% планират или обсъждат използването им. Следователно общият дял на компаниите, използващи облачни услуги, ще продължи да се увеличава. Използването или експлоатацията на тези услуги обаче е свързано с различни рискове.

Без подходящи мерки за повишаване на сигурността в облака, компаниите са изложени на значителни рискове за сигурността при управлението на данните на своите клиенти, независимо къде се съхраняват те. В новата контрола 5.23 "Сигурност на информацията при използване на облачни услуги" в актуализирания стандарт ISO/IEC 27001:2022 са описани възможните мерки за сигурност. В тази публикация в блога показваме какво обхваща новата мярка за сигурност и кои аспекти трябва да се вземат предвид за успешна (ре)сертификация.

СЪДЪРЖАНИЕ

Защо е важна сигурността в облака?

От частен до публичен облак, независимо дали става въпрос за IaaS, PaaS или SaaS: облачните структури и облачните услуги определят голяма част от съвременните ИКТ пейзажи на компании, организации или органи. Облачните услуги отдавна са станали реалност и променят из основи начина, по който се предоставят и използват ИТ услугите.

Рисковете за сигурността, свързани с все по-широкото им използване, обаче са комплексни и не се ограничават само до организираната престъпност. Неадекватното управление на идентичността и достъпа, неправилните конфигурации и неволното разкриване на данни в облака от страна на служителите също са сред най-големите заплахи.

Това се потвърждава и от годишния доклад за 2022 г. на Алианса за сигурност в облака (Cloud Security Alliance - CSA). Освен това липсата на сигурност може да повлияе на наличността на услугите и да застраши спазването на различни разпоредби и стандарти, които изискват защита на клиентските и личните данни.

Всички тези заплахи подтикнаха ISO (Международната организация по стандартизация) и IEC (Международната електротехническа комисия) да включат информационната сигурност при използването на облачни услуги като отделен елемент в новия стандарт ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 въпроси и отговори

Компилация от интересни подробности за преработения стандарт:

  • Кога трябва да преминем към новия стандарт?
  • В какво се състоят новите механизми за контрол?
  • Къде мога да намеря списък на съответствията между стария и новия стандарт?

...и още 35.

Свалете безплатно

Подобрена информационна сигурност и съответствие

Новата превантивна мярка служи за гарантиране на информационната сигурност при използване на облачни услуги. Тя подпомага - в съответствие със съответните изисквания за сигурност на организацията - систематичното определяне на процесите за придобиване, използване, управление и извеждане.

Предвид разнообразието от предлагани услуги, новата контрола 5.23 в приложение А изисква спазване на "специфичен за субекта подход".

Това има за цел да насърчи компаниите да създават политики за облачни услуги, съобразени с отделните бизнес функции. В сравнение с една обща политика, която се прилага повсеместно за безопасното използване на облачни услуги, изискванията за съответствие могат да бъдат адресирани по много по-подробен начин.

Сигурност в облака чрез новата Control 5.23

Сигурността на информацията за използването на облачни услуги в тази специфична за облака форма е новосъздадена мярка в приложение А на новия ISO 27001:2022. В предишната версия облачните услуги обикновено бяха разположени в областта на взаимоотношенията с доставчиците.

Поради все по-широкото използване и огромното развитие на сектора на облачните услуги има смисъл систематично да се обезпечават облачните услуги с независима мярка за информационна сигурност. Независимо от това контролът A.5.23 следва да бъде тясно координиран с мерки A.5.21 и A.5.22, които се отнасят до информационната сигурност във веригата на доставки на ИКТ и управлението на услугите на доставчиците.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

ICT - Информационни и комуникационни технологии

Възползвайте се от знанията на нашите експерти

В дигиталната икономика безгрешните ИКТ са от съществено значение за поддържането на бизнес процесите. Последните актуализации на стандартите ISO 27001 и 27002 имат за цел да сведат до минимум рисковете за сигурността. Контрола 5.30 "Готовност на ИКТ за непрекъсваемост на дейността" в приложение А задължава компаниите да осигурят непрекъсната наличност на ИКТ дори в случай на прекъсвания. Прочетете публикацията в нашия блог, за да разберете какво означава това за Вашата система за управление на информационната сигурност.

Запознайте се със статията

Прилагане на контрола 5.23

По отношение на информационната сигурност компаниите трябва да определят редица аспекти за прилагането на Контрола 5.23 . Те включват всички съответни изисквания, критерии за подбор и области на приложение, свързани с използването на облачна услуга. Подробно описание на ролите и съответните отговорности определя начина, по който тези услуги се използват и управляват в рамките на организацията.

От външна страна това трябва да бъде съгласувано с доставчика на услугата:

  • Какви мерки за информационна сигурност управлява доставчикът на услуги?
  • Кои от тях са отговорност на самата компания?

Важно е също така да се изясни как мерките за сигурност, предоставени от доставчика, могат да бъдат предоставени, използвани в идеалния случай и надеждно проверени. Особено когато се използват множество облачни услуги от различни доставчици, ясно дефинираните процеси подпомагат обработката на контрола, интерфейсите и промените в услугите.

Въпреки това, поради многобройните рискове за сигурността, на които са изложени компаниите в наши дни, инцидентите със сигурността никога не могат да бъдат напълно изключени. В такива случаи процедурите за управление на инциденти, специфични за услугата, помагат да се справим с предизвикателството по най-добрия възможен начин.

За да се управляват такива рискове, облачните услуги трябва да се наблюдават, преглеждат и оценяват, като се използва систематично определен подход в съответствие с ревизирания стандарт ISO 27001. Освен това стандартът изисква да се определят процеси за промяна или прекратяване на използването на дадена услуга. Те трябва да включват и изрични стратегии за излизане от облачните услуги.

Сертифицирана информационна сигурност в съответствие с ISO 27001

Защитете информацията си със система за управление по международен стандарт ★ Ефективно прилагане на процес за управление на риска ★ Научете повече. Необвързващо и безплатно.

Научете повече за Вашата сертификация по ISO 27001

Значение на договорните аспекти на сигурността

Договорното оформление на облачните услуги е от съществено значение за компанията клиент, за да се установят важни рамкови параметри и да се осигури правна защита. Въпреки това споразуменията за облачни услуги често са предварително определени и не подлежат на договаряне. С оглед на това компаниите трябва да обръщат особено внимание на тези споразумения и да ги проучват внимателно. По този начин те гарантират, че са изпълнени основните оперативни изисквания за целите на защитата на информационната сигурност "поверителност, цялостност, наличност" и обработката на информацията.

За да се гарантира това, дадена облачна услуга трябва да предоставя решения, основани на признати от индустрията стандарти за архитектура и инфраструктура. Тя следва да разполага с контрол на достъпа, който отговаря на изискванията за сигурност, и да включва решения за мониторинг и защита от зловреден софтуер. В договора следва да бъде предвидено, че обработката и съхранението на чувствителна информация са разрешени само на оторизирани места или в рамките на определена юрисдикция. Това е важно например за критичните инфраструктури.

Доставчикът на услуги трябва да осигури целенасочено съдействие в случай на инцидент със сигурността в средата на облачните услуги и да предложи обща подкрепа при събирането на цифрови доказателства. Изискванията за сигурност трябва да бъдат изпълнени и когато услугата се предава на външни доставчици на услуги.

Ако дадено дружество иска да напусне услугата, доставчикът трябва да остане ангажиран с поддръжката и наличността на услугата за разумен период от време. Поради това той трябва да осигури и резервни копия на данните и информацията за конфигурацията и да ги управлява по сигурен начин, ако е необходимо. Информация като конфигурационни файлове, изходен код и чувствителни данни, притежавани от организацията, трябва да се предоставят при поискване или да се върнат при прекратяване на услугата.

Клиентът на облачни услуги трябва да обмисли, в съответствие със собствените си изисквания за сигурност, дали споразумението трябва да включва задължение за информиране, ако доставчикът на облачни услуги прави значителни промени. Те включват:

  • промени в техническата инфраструктура, които засягат предлагането на услугата
  • Обработка или съхранение на информация в нова географска или правна юрисдикция
  • Използване или промяна на равностойни доставчици на облачни услуги или други подизпълнители

Сигурност в облака чрез новата контрола 5.23 - Заключение

Според проучване, проведено от Statista през 2022 г., 84% от всички германски дружества използват облачни услуги. Освен това 13% са във фаза на вземане на решения или планиране на използването им. Това означава, че защитата на личната информация и поверителните данни става все по-важна.

С новата мярка за сигурност ISO и IEC запълват важна празнина в защитата на съвременните ИКТ архитектури и поверителните данни на компании, организации и органи. Това означава, че стандартът за информационна сигурност ISO 27001, като глобален стандарт, вече допринася и за последователна, систематична сигурност на облаците.

Независимо дали компанията Ви работи в публичен облак, частен облак или хибридна облачна среда, решенията и най-добрите практики за информационна сигурност са от съществено значение. Това е единственият начин да се осигури непрекъснатост на бизнеса и съответствие. Особено във времена на недостиг на умения и децентрализирани корпоративни мрежи, значението на сигурността на данните в облака ще продължи да нараства през следващите години.

Новата контрола 5.23 от Приложение А предоставя рамка на потребителите на облачни услуги. Те могат да я използват, за да подложат на проверка съществуващите си мерки за информационна сигурност и да ги коригират, ако е необходимо.

В допълнение към големия брой основни организационни изисквания, новата контрола също така подчертава значението на тясното сътрудничество с доставчика на облачни услуги, за да се поддържа взаимният обмен на информация по всяко време. По този начин се насърчават взаимните механизми за наблюдение на определените характеристики на услугата и за установяване и докладване на нарушения на договорените задължения.

Какво означава актуализацията за вашата сертификация?

Новият стандарт ISO/IEC 27001:2022 е публикуван на английски език на 25 октомври 2022 г. Това води до следните крайни срокове и периоди за преход за потребителите

Конвертиране на всички съществуващи сертификати към новата версия:

  • От 31 октомври 2022 г. се прилага 3-годишен преходен период.
  • Сертификатите, издадени в съответствие с ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, са валидни само до 31 октомври 2025 г., след което старите стандарти се считат за оттеглени.

Последна дата за първоначално сертифициране и ресертифициране в съответствие със "стария" ISO 27001:

  • 30 април 2024 г. - от 1 май 2024 г. DQS ще извършва само първоначални и ресертификационни одити съгласно новата версия от 2022 г.

ISO/IEC 27001:2022 - Сигурност на информацията, киберсигурност и защита на личните данни - Системи за управление на сигурността на информацията - Изисквания е достъпен на адрес www.iso.org.

Група DQS: Концентрирано одиторско ноу-хау

Както показват крайните срокове, на компаниите им остава само ограничен период от време, за да адаптират своята система за управление на информационната сигурност към новите изисквания и да я сертифицират. Продължителността и усилията на целия процес на промяна не трябва да се подценяват.

Като експерти по одит и сертификация с почти 40-годишен опит, ние с удоволствие ще ви подкрепим при оценката на текущото Ви състояние, например като част от делта одит. Попитайте нашите опитни одитори за основните промени и тяхното значение за Вашата организация. Заедно ще обсъдим потенциала ви за подобрение и ще Ви подкрепим, докато получите новия сертификат.

Доверие и опит

Нашите текстове и брошури са написани изключително от нашите експерти по стандартите или дългогодишни одитори. Ако имате въпроси относно съдържанието на текстовете или услугите на нашия автор, очакваме да се свържете с нас.

Автор
Андре Saeckel

Продуктов мениджър в DQS за управление на информационната сигурност. Като експерт по стандартите в областта на информационната сигурност и каталога на ИТ сигурността (критични инфраструктури) Андре Сакел отговаря за следните стандарти и специфични индустриални норми, като: ISO 27001, ISIS12, ISO 20000-1, KRITIS и TISAX (информационна сигурност в автомобилната индустрия). Той е и член на работната група ISO/IEC JTC 1/SC 27/WG 1 като национален делегат на Германския институт за стандартизация DIN.

Свързани статии и събития

Това също може да Ви интересува
Блог
Mixing console in a recording studio with sliders at different heights

Управление на конфигурацията в информационната сигурност

Вижте повече
Блог
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund

Сигурно кодиране - предизвикателства в информационната сигурност

Вижте повече
Блог
Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen

Разкриване и превенция в управлението на информационната сигурност

Вижте повече

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас