Соответствие требованиям для облака означает обеспечение соответствия облачных сред стандартам регуляторов с выполнением отраслевых рекомендаций, а также местных, национальных и международных законов. Примеры требований регуляторов: Закон о передаче данных и учете в системе медицинского страхования в США (HIPAA), стандарт безопасности данных для индустрии платежных карт (PCI DSS) и Закон Грэмма-Лича-Блайли (GLBA).
Когда компания начинает использовать облачную среду, она должна выяснить, в какой мере поставщик облачных услуг будет помогать обеспечивать соответствие требованиям регуляторов (например, GDPR в Европе и HIPAA в США). Разумеется, эту тему нужно обсудить с самого начала, до перехода в облако.
Однако ситуацию иногда осложняет то, что организации начинают использовать облако задолго до запланированного срока. Один из основных принципов облака — это самообслуживание: клиенты должны иметь возможность легко получить облачные услуги, что-либо поменять или перестать ими пользоваться.
Поскольку в компаниях не всегда установлено, кто должен этим заниматься, сделать это может любой сотрудник. Для этого нужна только корпоративная кредитная карта, и затем данные какого-либо отдела внезапно оказываются в облаке. Это не новый феномен: он известен как «теневые ИТ» (shadow IT). В последнее время этот термин встречается все чаще — из-за особенностей облака.
Руководство облаком
Руководство — это надзор за деятельностью компании со стороны руководителей высшего звена и совета директоров. Руководство облаком — это распространение такого надзора на облако. Руководство имеет решающее значение: оно определяет бизнес-цели и задачи, в соответствии с которыми ведется управление облачными вычислениями и их безопасностью.
Прежде чем компания приступит к миграции в облако, необходимо определить цели и задачи этого перехода. При их определении необходимо руководствоваться действующими законами, регуляторными требованиями и контрактами. Помимо юридических аспектов, руководство облаком задает направление, придерживаясь которого сотрудники эффективно используют облачные технологии для достижения целей и задач бизнеса.
Серьезные ошибки могут привести к тому, что облако не упростит, а усложнит ситуацию, мешая пользователям выполнять свою работу. Ошибки могут даже послужить причиной судебного разбирательства. Совет директоров и руководители высшего звена должны уделять большое внимание облаку.
Законы и требования
При обсуждении соответствия требованиям прежде всего принимаются во внимание определенные законы. Юридическая служба должна определить, какие именно законы компания должна соблюдать. Последствия их несоблюдения также должны быть четко прописаны. Когда правовой вопрос будет решен, нужно подумать, какие средства безопасности необходимы для обеспечения соответствия регуляторным требованиям.
Такие требования, как GDPR, требуют высокого уровня безопасности в отношении персональных данных. GDPR также устанавливает конкретные ограничения на то, где могут обрабатываться и храниться данные, подпадающие под действие регламента. Облако может создать трудности в этом плане из-за особенностей своей работы, однако большинство поставщиков облачных услуг может обеспечить безопасность в соответствии с требованиями.
Контракты являются официальными соглашениями между двумя и более сторонами. Подписав контракт, компания обязана выполнять его условия. Нарушения могут привести к серьезным финансовым санкциям.
Допустим, некая организация обрабатывает или хранит данные кредитных карт — скорее всего, у нее заключен контракт с эмитентами кредитных карт, которые обязывают ее следовать определенным требованиям PCI-DSS.
Чтобы начать принимать к оплате кредитные карты, организация подписала договор, обещая выполнять 12 требований этого стандарта. Конкретные детали требований зависят от количества транзакций, которые организация обрабатывает за год.
Также компаниям следует обратить внимание, накладывают ли контракты с их клиентами какие-либо ограничения на использование облачных сред. Необходимо знать, какое облако допускается использовать: публичное, частное, общественное и т. п., чтобы это не повлияло на соответствие нормативным требованиям.
Многие компании при внедрении защитных средств опираются на такие стандарты, как ISO 27001 или NIST SP 800-53. Если компания решила использовать ISO 27001 в качестве стандарта, ей необходимо обучить сотрудников применению надлежащих защитных методов и средств. Это справедливо и для облака. У Международной организации по стандартизации (ISO) методы и средства обеспечения безопасности для облачных служб собраны в отдельном стандарте — ISO 27017.
Для проверки своего соответствия требованиям компания может пройти аудит. Допустим как внешний, так и внутренний аудит. Внутренний аудит проводят собственные аудиторы компании. Они сами определяют уровень соответствия требованиям. Есть вероятность, что необъективность собственных аудиторов может повлиять на достоверность результатов.
Для более объективного взгляда компания может выбрать независимую аудиторскую компанию. За аудит облачных сред отвечает поставщик облачных услуг.
Большинство поставщиков не разрешают клиентам самостоятельно проводить аудиты своих ЦОД, однако эти проверки могут выполнить независимые сторонние аудиторы.
Отчеты по аудиту
Результаты аудита предоставляются в отчете по аудиту. Отчеты составляются согласно стандартам Американского института дипломированных общественных бухгалтеров (AICPA). Компаниям следует запрашивать аудиторский отчет SOC 2®. Отчет SOC 2® предназначен для организаций, предоставляющих услуги, например, поставщиков облачных услуг. Он показывает их соответствие средствам обеспечения безопасности, определяемым, например, ISO 270017 или NIST Cybersecurity Framework (CSF). Услуги поставщика оцениваются по пяти критериям:
Эти отчеты могут быть двух типов: 1 (type 1) и 2 (type 2). Отчет первого типа показывает статус соответствия на данный момент, а также подтверждает приемлемость используемых средств обеспечения безопасности. Отчет второго типа показывает эффективность применения этих средств за какой-либо период, например, за полгода.
Хотя клиентам рекомендуется запросить у своего поставщика облачных услуг отчеты этих двух типов, не все поставщики согласятся их предоставить: отчеты могут содержать чувствительную информацию о бизнесе поставщика. Еще один вариант отчета — SOC 3®, который предназначен для свободного распространения. Он содержит очень мало информации о бизнесе поставщика облачных услуг. SOC 3® фактически является аудиторским отчетом о соответствии или несоответствии поставщика предъявляемым требованиям.
Статьи по теме
Исследования по теме