Лучшие стандарты облачной безопасности для вашего бизнеса

Стандарты облачной безопасности — это список лучших методов обеспечения безопасности. Эти стандарты обязательным для вашего бизнеса и предоставить вам множество преимуществ. Вот некоторые из этих преимуществ:

• Повышение безопасности вашей инфраструктуры
• Сохранение конфиденциальности данных ваших клиентов
• Предоставление структуры вашей деятельности
• Обеспечение оптимального использования ваших ресурсов
• Создание вашего доверия и репутации
• Открывая для вас множество возможностей для бизнеса

В этой статье вы узнаете больше о нескольких стандартах облачной безопасности и о том, как выбрать лучший для вашего бизнеса. Давайте начнем с понимания основ.

Понимание стандартов облачной безопасности

Стандарты облачной безопасности поддерживают многие организационные цели, такие как переносимость, безопасность, конфиденциальность, функциональная совместимость и т. д. Однако в этой области вы столкнетесь с сотнями стандартов. Одним из старейших является ISO, основанный в 1946 году. Все эти стандарты варьируются от де-факто до де-юре. Здесь де-факто означает набор общепринятых передовых практик. И наоборот, де-юре являются обязательными стандартами. Например, ISO и GDPR являются де-юре, а ACSC Essential Eight — скорее стандартом де-факто.

Теперь, когда вы знаете, что такое стандарты облачной безопасности и чем они могут вам помочь, давайте поговорим об основных стандартах и инфраструктурах облачной безопасности.

Национальный институт стандартов и технологий (NIST)

Национальный институт стандартов и технологий (NIST) разработал программу облачных вычислений. Это набор рекомендаций по оптимизации, защите и обслуживанию вашей облачной инфраструктуры. В рамках этой программы NIST предоставляет технические документы, которые компании могут использовать для создания своей облачной инфраструктуры. Кроме того, он разрабатывает и выполняет оценки безопасности и техническую документацию.

В этой документации оцениваются возможности компании по мониторингу облачной безопасности. Многие правительства штатов и федеральные правительства также полагаются на эти стандарты для оценки облачных инициатив и программ. Теперь давайте рассмотрим некоторые рекомендации и стандарты, относящиеся к облачным службам.

СП 800-210

SP 800-210 также известен как Руководство по общему контролю доступа для облачных систем. В нем перечислены шаги, которые вы можете выполнить для выявления проблем безопасности в LaaS, PaaS и SaaS. В нем также содержатся рекомендации по проектированию управления доступом и потенциальным системам политик, которые могут повысить безопасность облака.

СП 800-53

Платформа SP 800-53 предоставляет стратегии, элементы и элементы управления. Эта структура помогает компании повысить свою кибербезопасность. В частности, он направлен на поддержание конфиденциальности, целостности и доступности федеральных информационных систем.

Далее я объясню, как можно провести аудит NIST.

Как провести аудит NIST

Чтобы соответствовать NIST, просто следуйте рекомендациям, данным в каждом стандарте. Кроме того, не забудьте предоставить подтверждающую документацию для различных аспектов. Этими аспектами могут быть конфиденциальность вашей информации, пользователи, имеющие доступ к системе, предыдущие и текущие уязвимости и т. д.

Далее я помогу вам лучше понять, что такое Международная организация по стандартизации.

Международная организация по стандартизации

Международная организация по стандартизации (ISO) — это организация, которая разрабатывает и публикует международные стандарты практически во всех областях бизнеса и операций. На момент написания этой статьи было разработано 24 362 международных стандарта. В частности, эти стандарты разрабатываются техническими и предметными экспертами. Они также помогают эффективно предоставлять услуги, создавать продукты, повышать безопасность, поддерживать конфиденциальность и т. д.

Из этих тысяч стандартов лишь немногие имеют отношение к облачной безопасности и мониторингу. Я расскажу о них ниже.

ИСО-27001 / ИСО-27002

Это стандарты мониторинга облачной безопасности. Они определяют требования к созданию, обслуживанию и постоянному улучшению безопасности облачных систем. Они также включают оценки, определяющие соответствие.

Позвольте мне кратко объяснить разницу между двумя стандартами: ISO 27001 — это стандарт соответствия безопасности облачных вычислений, которому вы должны следовать для сертификации. ISO 27002, с другой стороны, является дополнительным стандартом, который касается различных аспектов вашей системы управления информационной безопасностью (ISMS). Как правило, это включает в себя выбор и реализацию мер безопасности.

ИСО-27017

ISO 27017 — это стандарт безопасности облачных вычислений, разработанный для снижения рисков в облачной среде. Это исключительно для поставщиков облачных услуг. Он также определяет лучшие практики СМИБ для облака. Кроме того, он основан на стандартах ISO 27002, поэтому включает дополнительные меры безопасности специально для облачных сред.

ИСО-27018

ISO 27018 — это стандарт безопасности облачных вычислений, ориентированный на конфиденциальность. В частности, он определяет рекомендации и стандарты для защиты личной информации (PII) клиентов в общедоступном облаке.

Все вышеупомянутые стандарты ISO хорошо известны, поэтому их соответствие может значительно расширить возможности вашего бизнеса. Это также поднимает вопрос о том, ?

Как провести аудит ISO

Обратите внимание, что ISO не проверяет ваше соответствие. Скорее, это делают другие аудиторские компании. Некоторые аспекты этих стандартов являются обязательными, в то время как другие являются необязательными. Вот подробная статья, в которой рассказывается о том, как можно провести внутренний аудит на соответствие ISO 27001.

Теперь давайте перейдем к более подробному изучению ISACA.

ИСАКА

ISACA — это профессиональная ассоциация, которая предоставляет контрольные показатели управления и инструменты для безопасности облачных вычислений. Он также обучает людей и помогает им изменить ландшафт безопасности своих организаций.

Что предлагает ISACA? Давай выясним!

ССАК

ISACA предлагает Сертификат знаний об аудите облачных вычислений (CCAK) в сотрудничестве с Альянсом безопасности облачных вычислений (CSA). Этот сертификат также обеспечивает независимое от поставщика техническое образование для специалистов по ИТ-аудиту и безопасности. В свою очередь, эта информация позволяет им выбрать подходящие облачные службы и развертывание для своей организации.

Как провести аудит ISACA

ISACA предлагает сертификаты, поэтому люди должны сдать эти экзамены и получить сертификаты. Я также рекомендую вам пройти через 3 этапа этого процесса аудита: планирование, работа на местах и отчетность. Чтобы узнать больше об этом, вы можете прочитать эту статью здесь.

Стандарт безопасности данных индустрии платежных карт (PCI DSS)

PCI DSS — это стандарт облачной безопасности для компаний, которые принимают, хранят и обрабатывают информацию о кредитных картах. Это помогает организациям устранять бреши в кибербезопасности, чтобы киберпреступники не могли украсть конфиденциальные личные данные. Соответствие стандарту PCI DSS также повышает доверие ваших клиентов к вашей деятельности. Кроме того, это может помочь повысить вашу репутацию. Это также гарантирует, что вы и ваш поставщик облачных услуг внедрите необходимые средства безопасности для защиты конфиденциальной информации ваших клиентов.

Как провести аудит PCI SS

Аудиты PCI проводятся оценщиками безопасности, которые проверяют системы торговых точек и другую ИТ-инфраструктуру, чтобы определить соответствие требованиям. Перед аудитом также требуется тщательная подготовка. Прочтите эту статью здесь, чтобы получить совет.

Общее положение о защите данных (GDPR)

Общий регламент по защите данных (GDPR) — это стандарт ЕС, который применяется ко всем организациям, ведущим бизнес или имеющим клиентов в ЕС. Когда речь идет об облачной безопасности, GDPR заявляет, что личные данные не должны храниться дольше, чем это необходимо. Кроме того, он определил утвержденные кодексы поведения, связанные с обработкой данных, безопасностью и конфиденциальностью. Все поставщики облачных услуг и предприятия также должны соблюдать эти требования, чтобы продолжать свою деятельность в ЕС.

Как провести аудит GDPR

GDPR конкретно не упоминает аудит. Тем не менее, компаниям рекомендуется нанимать сторонних оценщиков для проверки соответствия требованиям. Это также важно, так как несоблюдение может повлечь за собой крупные штрафы и пени.

Правило безопасности Закона о переносимости и подотчетности медицинского страхования (HIPAA)

HIPAA установила стандарты для защиты PII медицинских и других лиц. Поставщики облачных услуг (CSP) также должны соблюдать это обязательное требование, особенно если они создают, передают, хранят или поддерживают электронную личную медицинскую информацию (ePHI) отдельных лиц.

Как провести аудит HIPAA

Управление по гражданским правам Министерства здравоохранения и социальных служб проводит проверки предприятий и других организаций, подпадающих под действие этого закона. Компаниям также рекомендуется нанимать сторонних специалистов для предварительной аудиторской проверки, чтобы обеспечить соответствие требованиям.

Федеральная программа управления рисками и авторизацией (FedRAMP)

FedRAMP — это программа федерального правительства США, которая охватывает оценку, авторизацию и мониторинг облачной безопасности. Цель этого стандарта — повысить безопасность облачных сервисов в учреждениях и программах федерального правительства. Он также обеспечивает подход к оценке рисков и безопасности для всех поставщиков облачных услуг, которые обслуживают любое федеральное правительственное учреждение. Обратите внимание, что это обязательный стандарт облачной безопасности.

Как провести аудит для FedRAMP

Каждый поставщик облачных услуг (CSP) должен провести оценку и отправить ее в FedRAMP для дальнейшего соответствия требованиям. Требования соответствия и процедура оценки также изложены в рекомендациях FedRAMP. Вы можете прочитать больше об этом здесь.

Федеральный закон об управлении информационной безопасностью (FISMA)

FISMA — это федеральное законодательство, устанавливающее стандарты безопасности данных и облачных вычислений, а также обучение. Этот закон был введен для снижения рисков безопасности, связанных с информационной безопасностью и обработкой данных в облаке. Это также влечет за собой непрерывный мониторинг, аудит, подотчетность, реагирование на инциденты, планирование на случай непредвиденных обстоятельств и т. д.

Как пройти аудит для FISMA

Как и FedRAMP, федеральные агентства и подрядчики, которые должны соответствовать стандартам FISMA, также должны предоставить документы, подтверждающие их соответствие, для получения сертификата.

Системный и организационный контроль (SOC) Отчетность

System and Organization Controls (SOC) 2 — это добровольный стандарт соответствия, разработанный Американским институтом CPA (AICPA). В нем четко изложен набор передовых методов управления данными клиентов. Он также придерживается принципов целостности, конфиденциальности, конфиденциальности и обработки данных AICPA. Хотя это является добровольным, соблюдение SOC 2 значительно повышает вашу репутацию.

Как провести аудит для SOC 2

Квалифицированный аудитор фирмы CPA проводит аудит SOC 2. Эти проверки также регулируются AICPA. На основании отчета вы получаете сертификат SOC 2.

Австралия: Руководящие принципы пруденциальной практики APRA CPG 234

Руководство по пруденциальной практике APRA позволяет компаниям внедрять политики и методы безопасности. Это относится ко всем предприятиям, которые работают в отраслях, регулируемых APRA. Сюда также входят уполномоченные предприятия по приему депозитов (ADI) и недействующие компании, подпадающие под действие Закона о банковской деятельности.

CPG 234 — это обязательный нормативный акт в Австралии, который также позволяет компаниям улучшать свои существующие политики безопасности на благо всех. В частности, он направлен на защиту конфиденциальной информации, хранящейся в финансовых учреждениях, и снижение вероятности кибератак.

Как проводить аудит для APRA CPG 234

Правление каждой организации, регулируемой APRA, несет ответственность за соблюдение требований. Он также должен периодически представлять доказательства соответствия APRA.

СНГ

CIS Critical Security Controls — это набор мер безопасности, предназначенных для снижения вероятности кибератак. Они сопоставлены с необходимыми правовыми и политическими рамками для обеспечения соблюдения гарантий. Этот стандарт также разработан глобальным ИТ-сообществом. В результате он хорошо подходит для компаний, занимающихся облачными вычислениями, виртуализацией, аутсорсингом, работой на дому и т. д.

Как проводить аудит средств контроля CIS

Когда подтверждение соответствия передается в Центр интернет-безопасности (CIS), он оценивает доказательства и подтверждающие документы. На его основании выдается сертификат соответствия.

Основы кибербезопасности

Cyber Essentials — это государственная программа Великобритании, направленная на повышение вашей кибербезопасности. Эта программа предлагает два уровня сертификации: Cyber Essentials и Cyber Essential Plus. Первая сертификация посвящена основам кибербезопасности и помогает предотвратить некоторые из наиболее распространенных атак. Вторая, Cyber Essentials Plus, представляет собой расширенную программу сертификации, которая также включает соблюдение технических средств контроля.

Как проводить аудит для Cyber Essentials

Каждый сертификат Cyber Essentials действителен в течение 12 месяцев и подлежит продлению. При подаче заявки в первый раз или продлении сотрудник, представляющий вашу компанию, должен заполнить онлайн-анкету для самооценки. Член правления должен подписать ответы. Квалифицированный оценщик также проверит поставщика информации. Если все в порядке, Консорциум обеспечения информации для малых и средних предприятий (IASME) выдает сертификат.

ACSC Эфирная восьмерка

ACSC Essential Eight — это модель зрелости, которая помогает вашей компании внедрить Основная восьмерка принципы кибербезопасности поэтапно. Эти 8 принципов относятся к следующим областям:

1. Управление приложениями
2. Исправление приложений
3. Параметры макроса Microsoft Office
4. Повышение безопасности пользовательских приложений
5. Ограничение административных привилегий
6. Многофакторная аутентификация
7. Резервные копии
8. Исправление операционных систем

Как проводить аудит для ACSC Essential Eight

Организации должны предоставить подтверждение соответствия в Австралийский центр кибербезопасности (ACSC). На основании этого выдается сертификат соответствия.

Таким образом, вы всегда можете найти некоторые стандарты облачной безопасности для повышения общей безопасности вашей инфраструктуры. Что еще более важно, они укрепляют доверие и репутацию вашей компании в сознании ваших клиентов и партнеров. Несомненно, это может привести к большему количеству возможностей для бизнеса. Тем не менее, внедрение всех этих стандартов может быть ненужным и даже излишним. Вот почему я расскажу о выборе подходящих стандартов для вашей организации.

Как выбрать стандарт для вашей организации?

С таким количеством стандартов облачной безопасности трудно выбрать один из них. Некоторые аспекты, которые следует учитывать:

• Характер операций
• Расположение вашего бизнеса
• Популярность стандартов среди ваших клиентов и партнеров
• Текущее состояние безопасности

В общем, выбирайте ISO 27001, SOC 2 и CIS Controls, если вы обрабатываете конфиденциальные данные. Выберите PCI DSS, если вы планируете хранить данные кредитных карт ваших клиентов.

Помимо этого, вы должны соблюдать GDPR, если вы ведете бизнес в ЕС. Точно так же, если вы работаете с конфиденциальными данными пациентов, HIPAA является для вас обязательным. Если вы обслуживаете федеральные правительства, вы также должны следовать FedRAMP.

В общем, начните с обязательных требований, необходимых в вашей стране операций. Посмотрите, найдете ли вы что-нибудь еще обязательное в зависимости от типа выполняемой вами работы и типа предприятий/лиц, которым вы обслуживаете. После выполнения всех этих требований проведите аудит, чтобы увидеть, есть ли у вас какие-либо пробелы, которые могут быть заполнены соответствующими стандартами облачной безопасности. Создайте свои стандарты облачной безопасности на основе этого аудита.

Прежде чем мы закончим, вот краткий обзор того, что мы уже обсуждали:

Последние мысли

В заключение следует отметить, что стандарты облачной безопасности необходимы для вашей организации. Они обеспечивают массу преимуществ, таких как повышенное доверие, доступ к большему количеству возможностей и т. д. Вы найдете множество стандартов и фреймворков, которые предлагают эти преимущества, и я объяснил некоторые из основных стандартов. Однако следовать всем им нецелесообразно. Вот почему вы должны принять решение, основываясь на том, что является обязательным в вашей сфере деятельности, а затем на том, что требуется для вашего характера операций. Наконец, посмотрите, требуются ли вашим клиентам какие-либо конкретные стандарты, и соответствующим образом добавьте их в свой список.

Есть еще вопросы о стандартах облачной безопасности? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Какие стандарты актуальны для облачной безопасности?

Некоторыми соответствующими стандартами являются ISO, SOC 2, PCI DSS, FedRAMP, HIPAA, GDPR, CIS Controls, Cyber Essentials и т. д. Вы должны начать с обязательных. Затем перейдите к стандартам, которые помогут вам наилучшим образом использовать облачную безопасность для вашего бизнеса.

Нужны ли мне элементы управления облачной безопасностью?

Да, стандарты и элементы управления облачной безопасностью обеспечивают массу преимуществ для вашей компании. Они помогают обеспечить соблюдение обязательных законов и нормативных актов в вашей стране, а соблюдение этих стандартов повышает общую кибербезопасность. Ваша компания также завоюет доверие ваших клиентов.

Что такое стандарты облачной безопасности?

Стандарты облачной безопасности — это сертификаты и фреймворки. Эти стандарты включают процессы, политики, инструменты, правила, конфигурации и платформы для повышения кибербезопасности вашей компании. В процессе это также повышает доверие и репутацию в глазах ваших клиентов.

Что такое соответствие требованиям облачной безопасности?

Как следует из названия, соответствие безопасности облачных вычислений — это шаги, которые компания предпринимает для соблюдения определенных стандартов и структур безопасности облачных вычислений. Это соответствие должно соответствовать вашим местным законам и тому, что влечет за собой ваша отрасль. Это также предоставляет дополнительные преимущества для вашей компании в виде улучшенной безопасности, конфиденциальности, новых возможностей для бизнеса и многого другого.

Кто отвечает за соблюдение требований безопасности в облаке?

Облачная безопасность — это общая ответственность между компанией, которая использует облачные приложения/платформы, и поставщиком облачных услуг. С точки зрения клиента и регулятора обе стороны должны придерживаться набора политик, повышающих кибербезопасность. Тем не менее, провайдеры и компании должны решить, какие аспекты входят в их компетенцию.