Szabványok, szabályozások

Jellemzően nyilvános felhőszolgáltatásnál szükséges betartani a szolgáltatási területen hatályos adatvédelmi és információ biztonsági törvényi előírásokat. A rendszer felépítésében meg kell valósítani, hogy az ügyfelek ne legyenek képesek egymás adataihoz hozzáférni, sem a szolgáltató, sem pedig külső támadók.

 

Országos, EU, világméretű

Jelenleg nem ismert olyan szabályozás, ami világszinten elfogadott lenne a felhőszolgáltatásokra. Különböző, gyártó vagy regionális (pl: EU, ország csoport) ajánlások léteznek. Általában az informatikai iparág korábbi tapasztalatait (legjobb gyakorlat) próbálják alkalmazni, ami azonban a különböző szabályozású régiók között konfliktusokhoz vezethet.

 

Helyi (cégen belüli)

Minden vállalat a digitális stratégia mentén ki kellett/ki fogja alakítani a saját szabályozását a felhőszolgáltatásokra. A nagyobb vállalatok önálló, magán felhőket hoznak létre, azokat néhány központban helyezik el és a leányvállalatoknak előírják, hogy ezeket miként és mennyiért használhatják. Vállalatok saját magukban az adatbiztonságnál csak a törvényi kötelezettségeknek kell, hogy eleget tegyenek, a többit saját, jellemzően meglévő szabályozásuk mentén szokták végrehajtani

 

Iparági (PCI-DSS, SoX, GxP, Basel, …)

Jelen pillanatban nem ismert nagy felhőszolgáltató, amely valamelyik komolyabb iparági előírásnak meg akarna/tudni felelni. Technikailag és dokumentációilag nem lehetetlen, hogy bármely felhőszolgáltató a címben szereplő szabványoknak, előírásoknak megfeleljenek és a minősítést elérje, azonban egyrészt ez pénzügyileg sokat rontana a szolgáltató profitján és jellemzően ezen iparágak vállalatonként is igen jelentős mérethatékonysággal rendelkeznek. Így kicsi a gazdasági nyomatéka annak, hogy az alap rendszereiket kiköltöztessék.

 

ISO 27000 szabványcsalád

Az ISO/IEC 27000-es szabványcsalád az információbiztonsági irányítási rendszerekkel kapcsolatos szabványokat tartalmazza, melyek egy része előkészítés, illetve korszerűsítés alatt áll, többségük azonban már megjelent és folyamatos korszerűsítés alatt áll. Az egyes szabványok többsége magyar szabványként, magyar nyelven nem létezik azért a továbbiakban az eredeti, angol nyelvű elnevezések szerepelnek. A szabványcsaládot a következő szabványok alkotják:

 

ISO/IEC 27000 Information security management systems

Áttekintés és fogalmak:

ISO/IEC 27001: Information technology – Security Techniques – Information security management systems
ISO/IEC 27018:2014 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27017: Information security management for cloud systems

A szabványcsaládon belül központi helyet foglal el az ISO/IEC 27000, a ISO/IEC 27001 és az ISO/IEC 27018:2014 szabvány. Az előbbi a szabványcsalád áttekintését és a valamennyi szabványra érvényes fogalomtárat tartalmazza, az utóbbi pedig az általános követelményeket. A többiek speciális ágazatok számára készültek (pl. ISO/IEC 27099), speciális biztonsági területekhez tartoznak (pl. ISO/IEC 27031), az auditálást támogatják (pl. ISO/IEC 27006) ill. útmutatóként szolgálnak (pl. ISO/IEC 27003).

Kifejezetten a felhőhöz kapcsolódó információbiztonsági kérdésekkel foglalkozik az ISO/IEC 27017 szabvány (Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services).

Ez a szabvány az ISO 27000 szabványcsalád további tagjaira épülve útmutatóul szolgál a felhő alapú informatika esetén szükséges kontrollok alkalmazásához, mind a szolgáltatást nyújtó, mind a szolgáltatást igénybe vevő fél szempontjait figyelembe véve.

 

Követelmények az általános, az informatikai és a személyzeti környezetre vonatkozóan:

ISO/IEC 27002: Code of practice for information security management
ISO/IEC 27003: Information security management system implementation guidance
ISO/IEC 27004: Information security management
ISO/IEC 27005: Information security risk management
ISO/IEC 27006: Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007: Guidelines for information security management systems auditing (focused on the management system)
ISO/IEC TR 27008: Guidance for auditors on ISMS controls (focused on the information security controls)*
ISO/IEC 27010: Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
ISO/IEC 27013: Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC 27014: Information security governance. Mahncke assessed this standard in the context of Australian e-health
ISO/IEC TR 27015: Information security management guidelines for financial services (TR:Technical Report)
ISO/IEC 27031: Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27032: Guideline for cybersecurity
ISO/IEC 27033-1-5: Network security – Part 1: Overview and concepts
ISO/IEC 27033-2: Network security – Part 2: Guidelines for the design and implementation of network security
ISO/IEC 27033-3: Network security – Part 3: Reference networking scenarios – Threats, design techniques and control issues
ISO/IEC 27033-5: Network security – Part 5: Securing communications across networks using Virtual Private Networks (VPNs)
ISO/IEC 27034-1: Application security – Part 1: Guideline for application security
ISO/IEC 27035: Information security incident management
ISO/IEC 27036-3: Information security for supplier relationships – Part 3: Guidelines for information and communication technology supply chain security

ISO/IEC 27037: Guidelines for identification, collection, acquisition and preservation of digital evidence
ISO 27799: Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to provide guidance to health organizations and other holders of personal health information on how to protect such information via implementation of ISO/IEC 27002.
ISO/IEC 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry
ISO/IEC 27033: IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already)
ISO/IEC 27036: Guidelines for security in supplier relationships
ISO/IEC 27038: Specification for redaction of digital documents
ISO/IEC 27039: Intrusion detection and protection systems
ISO/IEC 27040: Guideline on storage security
ISO/IEC 27041: Assurance for digital evidence investigation methods
ISO/IEC 27042: Analysis and interpretation of digital evidence
ISO/IEC 27043: Digital evidence investigation principles and processes