Obowiązek informacyjny rodo

21 lip 2014

Narzędzia, które wspomagają wybór dostawcy rozwiązań chmurowych – cz. 3


Ostatnia część krótkiego przewodnika jest związana z omówieniem kilku standardów, które dostarczają najlepszych praktyk w zakresie przetwarzania danych w chmurze. Pierwszym z nich jest Cloud Security Alliance Security Guidance (Wytyczne bezpieczeństwa dla krytycznych obszarów w Cloud Computing), obecnie dokument w wersji 3 z listopada 2011 roku.

Przewodnik składa się z czternastu obszarów takich jak:

1.    Architektura cloud computing
2.    Nadzór i zarządzanie ryzykiem
3.    Prawo i informatyka śledcza
4.    Zgodność i audyt
5.    Zarządzanie informacją i ochrona danych
6.    Przenaszalność i interoperacyjność
7.    Bezpieczeństwo tradycyjne
8.    Centrum danych i zarządzanie operacjami
9.    Zarządzanie incydentami
10.    Bezpieczeństwo aplikacji
11.    Szyfrowanie i zarządzanie kluczami
12.    Zarządzanie własnością, tożsamością i dostępem
13.    Wirtualizacja
14.    Bezpieczeństwo jako usługa

Wyżej wymieniony standard można pobrać z adresu https://cloudsecurityalliance.org/download/securit… po wcześniejszej rejestracji. Organizacja Cloud Security Alliance prowadzi również dla profesjonalistów branżowy program certyfikacyjny pod nazwą Cloud Security Knowledge. Otrzymanie certyfikatu CCSK jest potwierdzeniem i gwarancją znajomości najlepszych praktyk w zakresie zarządzania ryzykiem w cloud computing.

Kolejny standardem opublikowanym przez CSA jest Cloud Control Matrix (CCM), który został zaprojektowany w celu określenia zasad z zakresu bezpieczeństwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing. Jednocześnie standard ten uwzględnia wymagania powszechnie stosowanych norm i standardów bezpieczeństwa takich jak m.in.: ISO 27001, COBIT, NIST, Jericho.

Dla dostawców usług chmurowych organizacja CSA opracowała również program certyfikacyjny pod nazwą STAR, złożony z 3 poziomów. Do programu należy już ponad 70 dostawców w tym taki firmy jak Microsoft, Amazon, RedHat, Citrix i pozostałe.
Za standard (szczególnie dla administracji publicznej) można również uznać tzw. „Dekalog Chmuroluba”, którego opracowania podjął się Generalny Inspektor Ochrony Danych Osobowych. Poradnik jest na tyle uniwersalnym dokumentem, że z powodzeniem można uwzględniać wytyczne w nim opisane w stosunku nie tylko do podmiotów publicznych.  Najważniejszymi wytycznymi opisanymi w poradniku są:

1.    Obowiązek informacyjny o fizycznych lokalizacjach serwerów,
2.    Pełen dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz stosowanych zabezpieczeń,
3.    Pełen dostęp do informacji o ewentualnych podwykonawcach i współpracujących podmiotach,
4.    Stosowanie jednolitych klauzul umownych i kontrola łańcucha podwykonawców,
5.    Obowiązek informowania i raportowania o wszystkich incydentach bezpieczeństwa danych.

Przetwarzanie danych w chmurze obliczeniowej jest problemem wartym rozważenia i wdrożenia. Należy jednak pamiętać, aby przy podejmowaniu decyzji wziąć pod uwagę wszelkie za i przeciw oraz w najbardziej możliwy sposób dostosować model przetwarzania w chmurze do swoich potrzeb i kategorii danych, które będą przetwarzane. Zarówno w tradycyjnych modelach przetwarzania danych osobowych, tak i przy przetwarzaniu w chmurze powinno to odbywać się w sposób legalny, czyli zgodny z prawem.