Bezpieczna migracja do chmury

Podobne dokumenty
Zarządzanie cyklem życia bezpieczeństwa danych

Zarządzanie relacjami z dostawcami

CSA STAR czy można ufać dostawcy

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Szczegółowy opis przedmiotu zamówienia:

Zarządzanie ryzykiem w chmurze

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Zapewnienie dostępu do Chmury

Przetwarzanie danych w chmurze

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Dane bezpieczne w chmurze

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo dziś i jutro Security InsideOut

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

HP Service Anywhere Uproszczenie zarządzania usługami IT

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Kompleksowe Przygotowanie do Egzaminu CISMP

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Chmura z perspektywy bezpieczeństwa

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

Dwuwymiarowy sposób na podróbki > 34

Archiwum Cyfrowe jako usługa w modelu Cloud Computing

XXIII Forum Teleinformatyki

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Chmura Krajowa milowy krok w cyfryzacji polskiej gospodarki

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Ochrona biznesu w cyfrowej transformacji

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Aurea BPM Dokumenty pod kontrolą

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

W drodze do chmury hybrydowej stan zaawansowania w polskich przedsiębiorstwach.

Jarosław Żeliński analityk biznesowy, projektant systemów

ZAŁOŻENIA TECHNICZNO-TECHNOLOGICZNE SYSTEMU BUDOWANEGO W RAMACH PROJEKTU

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

USŁUGI HIGH PERFORMANCE COMPUTING (HPC) DLA FIRM. Juliusz Pukacki,PCSS

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Elastyczne centrum przetwarzania danych

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Bezpieczeństwo chmury obliczeniowej dr inż. Piotr Boryło

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

epolska XX lat później Daniel Grabski Paweł Walczak

CLOUD COMPUTING CHMURA OBLICZENIOWA I PLATFORMA WINDOWS AZURE

! Retina. Wyłączny dystrybutor w Polsce

Materiał dystrybuowany na licencji CC-BY-SA

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Architektury usług internetowych. Tomasz Boiński Mariusz Matuszek

Przetwarzanie danych w chmurze

1. Zakres modernizacji Active Directory

Warstwa ozonowa bezpieczeństwo ponad chmurami

Jarosław Żeliński analityk biznesowy, projektant systemów

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Ogólne zagrożenia dla danych w chmurowym modelu przetwarzania

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Chmura obliczeniowa jako źródło dostępu do usług świadczonych na drodze elektronicznejd

OCHRONA SIECI DLA KAŻDEJ CHMURY

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

SZCZEGÓŁOWY HARMONOGRAM KURSU

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Skalowalna Platforma dla eksperymentów dużej skali typu Data Farming z wykorzystaniem środowisk organizacyjnie rozproszonych

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Architektura i mechanizmy systemu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Oracle COREid Federation Przegląd

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.

Transkrypt:

Bezpieczna migracja do chmury

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów informatycznych oraz ekspert w zarządzaniu ryzykiem i bezpieczeństwem informacji - CISA, CIA, CRISC.

Agenda 1. Podsumowanie zagadnień poruszanych w poprzednich artykułach 2. Proces migracji krok po kroku z punktu widzenia bezpieczeństwa 3. Podsumowanie 4. Sesja pytań od uczestników

Podsumowanie zagadnień architektura modelu cloud computingu wg NIST SP 800-145, ryzyka natury organizacyjno-prawnej i zarządzania zgodnością na przykładzie pojęcia GRC Governance, Risk management and Compliance, wymagania prawne, standardy bezpieczeństwa i audyt w chmurze RODO w chmurze, zarządzanie tożsamością w chmurze i standardy SAML, OpenID, OAuth, wdrożenie i zarządzanie uprawnieniami w chmurze, przygotowania do wielkiej awarii, bezpieczeństwo centrum danych, bezpieczeństwo środowiska wirtualnego, szyfrowanie w chmurze, zarządzanie incydentami w chmurze, interoperacyjność i przenaszalność jak uniezależnić się od dostawcy, zarządzanie cyklem życia bezpieczeństwa danych (datasecurity lifecycle), Secure Software Development Cycle, zarządzanie relacjami z dostawcą Security as a Service

Bank w chmurze? Styczeń 2018 Lloyd s szacuje straty wynikające z awarii usług chmurowych w USA na około 19 miliardów dolarów. Czerwiec 2018 Lloyd s podpisuje wart 1,2 miliarda funtów, 10-letni kontrakt z IBM na dostarczenie usług chmurowych i migrację bankowych systemów do chmury

Scenariusz migracji Korzystamy z usługi w modelu platform as a service (PaaS) do rozwoju aplikacji Aplikacja do szacowania zdolności kredytowych potencjalnych klientów Zintegrowana z wewnętrznymi systemami bankowymi Przetwarza dane osobowe Uruchamiana okresowo

Migracja do chmury Identyfikacja aktywów Ocena aktywów Mapowanie aktywów Wybór modelu chmury Zabezpieczenia Dane Aplikacje Funkcje Procesy Poufność Integralność Dostępność Normy Standardy Regulacje Rozmieszczenie usługi (Publiczna, prywatna, hybrydowa, wspólna) Rodzaj usługi (SPI) Specyfikacja wymagań Analiza luki Ocena ryzyka

Model chmury wg NIST

Stos SPI IaaS PaaS SaaS Interfejs Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura Interfejs Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura Interfejs Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura

Podział odpowiedzialności IaaS PaaS SaaS Interfejs Interfejs Interfejs Aplikacja Aplikacja Aplikacja Dzierżawca Oprogramowanie pośredniczące Systemy operacyjne Oprogramowanie pośredniczące Systemy operacyjne Oprogramowanie pośredniczące Systemy operacyjne Dostawca Hypervisor Przetwarzanie i składowanie Hypervisor Przetwarzanie i składowanie Hypervisor Przetwarzanie i składowanie Sieć Sieć Sieć Infrastruktura Infrastruktura Infrastruktura

Podział odpowiedzialności

Podział odpowiedzialności

Podział odpowiedzialności

Podział odpowiedzialności

Wpływ na bezpieczeństwo Mały wpływ na zabezpieczenia. Wysoka istotność dobrze skonstruowanej umowy. Monitoring usług. Raporty zgodności i z testów. Większy wpływ na zabezpieczenia. Duża istotność dobrze skonstruowanej umowy. Dobrze zaprojektowane i udokumentowane API. Monitoring usług. Raporty zgodności i z testów. Duży wpływ na zabezpieczenia. Możliwość przeniesienia istniejących rozwiązań. Duża istotność dobrze skonstruowanej umowy. Dobrze zaprojektowane i udokumentowane API. Raporty zgodności i z testów. Niska elastyczność i możliwość negocjacji umowy. Konieczne wykorzystanie alternatywnych rozwiązań. Standardowe rozwiązania. Większa elastyczność i możliwość negocjacji umowy. Dokładny opis usługi Hybrydowa (chmura-chmura, chmura-centrum danych) strategia nadzoru musi obejmować podział odpowiedzialności za wykorzystywane usługi pomiędzy klienta i dostawcę lub dostawców Współdzielona Uwzględnienie relacji pomiędzy podmiotami w ramach grupy.

Cykl życia danych 5 6 4 1 2 3 1. Wytworzenie lub zmiana/aktualizacja, modyfikacja danych w postaci cyfrowej 2. Przechowywanie jest działaniem mającym na celu składowanie danych w repozytorium i występuje zazwyczaj równolegle z procesem tworzenia 3. Korzystanie obejmuje przeglądanie, przetwarzanie i wszelkie działania wyłączając modyfikację 4. Dzielenie polega na udostępnieniu informacji innym użytkownikom, klientom, partnerom 5. Archiwizacja umożliwia dostęp i korzystanie z danych w zdefiniowanym okresie czasu 6. Niszczenie polega na całkowitym usunięciu danych przy wykorzystaniu fizycznych lub logicznych środków.

Gdzie są moje dane? Kto ma do nich dostęp? Z jakich urządzeń? Jakie działania może na nich wykonać? Czy można przenosić dane pomiędzy lokalizacjami? Jaki jest cykl życia danych w tych lokalizacjach? Cykl życia danych

Cykl życia danych Funkcje Access: Przegląd/dostęp do danych, kopiowanie, przesyłanie, wymiana informacji Process: Operacje na danych jak aktualizacja, transakcje biznesowe itd. Store: Przechowywanie danych (w plikach, bazach danych, hurtowniach itd. ) Aktorzy Użytkownicy, konta systemowe, aplikacje, urządzenia Lokalizacje model (on-premise, chmura, zewnętrzne), geograficzne, warstwa chmury, środowisko.

Klasyfikacja Identyfikacja danych Ocena danych Mapowanie danych Kategoryzacja Przepływ danych Dane Aplikacje Funkcje Procesy Wartość Poufność Integralność Dostępność Normy Standardy Regulacje CIA Przepisy Organizacja Klienci Dostawcy Lokalizacje

Mapowanie standardów RODO - do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku (decyduje wartość wyższa) i do 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku. Krajowy System Cyberbezpieczeństwa - do 200 tys. zł (a w wyjątkowych przypadkach do 1 mln zł). Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (Rekomendacja 20) Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej

Mapowanie

Mapowanie Kategoria Funkcje Aktorzy Lokalizacja Admin Internal Aplikacja External SaaS PaaS Iaas EU Non EU Możliwe(M)/ Dopuszczalne (D) M D M D M D M D M D M D M D M D M D Access * * * Dane osobowe Process * * * Store * * * *Dopuszczalne pod warunkiem spełnienia określonych wymagań

Zabezpieczenia Mapowanie

IaaS PaaS SaaS Szyfrowanie danych w spoczynku Aplikacje Dane Metadane Kontent Provider-managed encryption: Dane są szyfrowane w aplikacji i generalnie zarządzane przez dostawcę Proxy encryption: Dane przechodzą przez szyfrujące proxy zanim trafią do SaaS. Bazy danych Hadoop/Big Data API Magazyny danych Szyfrowanie warstwy aplikacyjnej - Dane są szyfrowane w aplikacji lub kliencie uzyskującym dostęp do platformy. Szyfrowanie bazy danych - Dane są szyfrowane wykorzystując mechanizmy wbudowane I wspierane przez platformę bazodanową Proxy encryption: Dane przechodzą przez szyfrujące proxy zanim trafią do platformy Wolumen/blok Instance-managed encryption (TrueCrypt, dm-crypt Linuxa) Externally-managed encryption (HSM, SecaaS, Serwer) Obiektowy Szyfrowanie po stronie klienta (client-side encryption) Szyfrowanie po stronie serwera (server-side encryption) Fizyczny (raw data)

Szyfrowanie podczas przesyłu

Szyfrowanie podczas przesyłu

Szyfrowanie

Federated Identity (FIM) Model, w którym podmiot może korzystać z wielu usług dostarczanych przez różnych dostawców przy użyciu tych samych danych uwierzytelniających. W tym podejściu tożsamość podmiotu jest potwierdzana przez zaufaną stronę (Identity provider), która może być wewnętrzna jak i zewnętrzna. 1. Użytkownik chce uzyskać dostęp do serwisu. Użytkownik może się zalogować używając danych z zaufanego serwisu pełniącego rolę Identity Provider (IdP) np. inny serwis bankowy 2. Użytkownik wybiera logowanie przy użyciu danych IdP. Service Provider (SP) generuje żądanie potwierdzenia tożsamości do Identity Provider (IdP) 3. Usługa przekierowuje użytkownika do IdP, w tym przypadku do serwisu bankowego 4. IdP uwierzytelnia użytkownika (na podstawie wprowadzonych danych uwierzytelniających lub session cookies) 5. IdP wysyła poświadczenie tożsamości do przeglądarki użytkownika, które jest przekierowane do usługi. 6. SP (Pinterest) weryfikuje potwierdzenie tożsamości. 7. Użytkownik Marcin uzyskuje dostęp do serwisu.

Kontrola dostępu - modele RBAC - (Role based access control) Kontrola dostępu oparta na rolach zakłada przypisanie podmiotom odpowiednich ról, które przekładają się na poszczególne uprawnienia do wykonywania operacji w systemie. Podmiot może pełnić wiele ról, ale może wykorzystać uprawnienia jedynie w ramach roli, którą pełni aktualnie. Są one przydzielane ze względu na jego przynależność do roli, a nie tożsamość. Powiązanie uprawnień pracownika do funkcji, jaką pełnią. RBAC model źródło Guide to Attribute Based Access Control (ABAC) Definition and Considerations

Kontrola dostępu - modele ABAC - (attribute-based access control ) Dodatkowo określa kiedy, gdzie, dlaczego i jak dostęp powinien być nadany Polega on na nadaniu użytkownikowi zestawu atrybutów, które są cechami dla : podmiotu, którym może być użytkownik, funkcja, rola czy posiadany certyfikat obiektu np. urządzenie, plik, rekord, tablica, proces, program, sieć czy domena warunków środowiskowych (environment conditions) stanowiących operacyjny lub sytuacyjny kontekst, w którym następuje żądanie dostępu. Mogą obejmować atrybuty związane z czasem (godziny, dni tygodnia), geolokalizacją lub przynależnością do sieci lub domeny. Obiekt określa, jakie atrybuty musi posiadać podmiot łącznie z warunkami środowiskowymi, aby uzyskać do niego dostęp. ABAC model źródło Guide to Attribute Based Access Control (ABAC) Definition and Considerations

Kontrola dostępu - modele 1. Podmiot chce uzyskać dostęp do obiektu 2. Mechanizm kontroli dostępu analizuje: a. Reguły ograniczenia dostępu. W wyniku analizy zwracana jest wartość true lub false b. Atrybuty podmiotu c. Atrybuty obiektu d. Warunki środowiskowe (opcjonalnie) 3. W przypadku pozytywnej autoryzacji podmiot uzyskuje dostęp do obiektu. Przykład: Pielęgniarka (1) z oddziału ortopedii (2b) może uzyskać dostęp w trybie do odczytu (2a) do danych aktualnych pacjentów z oddziału ortopedii (2c) w szpitalu warszawskim w trakcie swojej zmiany (2d) ABAC model źródło Guide to Attribute Based Access Control (ABAC) Definition and Considerations

Kontrola dostępu - modele Przy wyborze odpowiedniego dla używanych przez siebie rozwiązań należy wziąć pod uwagę wiele czynników m.in.: Uwzględnienie niejednorodnej specyfiki chmury i wsparcie interoperacyjności usługi w modelu cloud computing wykorzystują różne technologie w zakresie oprogramowania i sprzętu. Przy projektowaniu systemu kontroli dostępu należy wziąć pod uwagę jego integrację i kompatybilność z wieloma rozwiązaniami i standardami. Złożoność rozwiązania i czas reakcji jedna z cech chmury polegająca na szerokim, zdalnym dostępie do usług mogących znajdować się w dowolnym obszarze geograficznym. Część obecnie stosowanych modeli kontroli dostępu zapewnia wysoki poziom bezpieczeństwa okupiony jednak użyciem skomplikowanych algorytmów powodujących spowolnienie usługi. Skalowalność kolejna z cech usług chmurowych, która powinna być również uwzględniona w kontekście kontroli dostępu. Rozwiązanie powinno w elastyczny sposób dostosowywać się do wzrostu liczby użytkowników i polityk i umożliwiać proste zarządzanie. Kategoria/model RBAC* ABAC Łatwość użycia Wysoka Średnia Efektywność Wysoka Średnia Elastyczność/ Średnia Wysoka Skalowalność Bezpieczeństwo Średnie Wysokie Szczegółowość Niska Wysoka dostępu (Fine grained) Odpowiednia dla dynamicznych i rozproszonych środowisk Nie Tak

DevOps (DevSecOps) SDLC

SDLC Zbuduj kulturę bezpieczeństwa i uczyń je stałym elementom cyklu SDLC na każdym z jego etapów. Testuj wcześnie i często, ale adekwatnie do potrzeb. Pamiętaj o współdzielonej odpowiedzialności (dostawca-odbiorca) za zarządzanie i zabezpieczenie elementów na poszczególnych warstwach stosu SPI. Uwzględnij ten aspekt przy modelowaniu zagrożeń i projektowaniu testów oraz monitorowania. Nie wszystko w chmurze jest możliwe i widoczne. Duży nacisk na bezpieczeństwo swoich rozwiązań Dodatkowe narzędzia, które łatwo można wkomponować w cykl rozwoju. Skalowalność, elastyczność i łatwa możliwość korzystania z mikroserwisów oraz tworzenia odseparowanych środowisk. Rys.1 Proporcje testów na fazy cyklu (OWASP Testing Guide ver.4) Rys.2 Proporcje testów ze względu na techniki Spełnienie wielu wymagań dotyczących zgodności z wieloma regulacjami. Jednolite interfejsy, API, narzędzia do orkiestracji i zarządzania infrastrukturą, platformą i aplikacjami, umożliwiają uzyskanie szerszego obrazu i lepszej komunikacji między zespołami DevOps

Interoperacyjność i przenaszalność

Kwestie prawne Lokalizacja dostawcy, danych, serwerów Jurysdykcja, której podlega umowa pomiędzy podmiotami Traktaty i inne regulacje prawne pomiędzy różnymi lokalizacjami

Zapisy umowne Opis usługi Role i odpowiedzialności Zarządzanie usługą Dostępność usługi Zarządzanie ciągłością i incydentami Gwarancje Kary Prawo do audytu Płatności Zakończenie usług Zarządzanie danymi Zabezpieczenie danych Klauzule poufności Własność danych Retencja danych Ograniczenia odpowiedzialności Własność intelektualna Jurysdykcja Powierzenie przetwarzania danych osobowych ISO/IEC 19086-1:2016 Information technology Cloud computing Service level agreement (SLA) framework

Zapewnienie zgodności Większe poleganie na zewnętrznych ocenach/audytach (kodeksy postępowania, certyfikaty, raporty) Poświadczenia potwierdzają zgodność dostawcy, nie zapewniają zgodności odbiorcy Współdzielona odpowiedzialność za wdrożenie wymagań, ale to odbiorca finalnie jest odpowiedzialny za zapewnienia zgodności uruchamianych aplikacji.

Audyt w chmurze Cloud Computing Management Audit/Assurance Program (ISACA) IT Control Objectives for cloud computing (ISACA) Cloud Control Matrix (CCM), Consensus Assessment Initiative (CAI), STAR ISO/IEC 27001:2013 certyfikat potwierdzający wdrożenie i funkcjonowanie Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27017 - zgodna z ISO/IEC 27001:2013 i uzupełniająca ISO/IEC 27002:2013, która kładzie szczególny nacisk na specyficzne zagrożenia i ryzyka związane z chmurą obliczeniową. ISO/IEC 27018:2014 Praktyczne zasady ochrony informacji danych osobowych w przetwarzaniu w chmurze, uzupełniająca ISO/IEC 27002:2013 o aspekty ochrony danych osobowych w chmurze. Cloud Auditing Data Federation (CADF)

CSA STAR STAR

www.bezpiecznachmura.org.pl Q&A Dziękuję bezpiecznachmura Cloud Security Alliance Polska biuro@bezpiecznachmura.org.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres