Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix ČSSI/VŠE: Jak pomáhat českým firmám a institucím při přechodu do cloudu? 12. Dec 2013
Zdeněk Jiříček Strategic Advisor – External Consultant
Ekonomická výhoda cloudu „Cloud Economics“ - Dokument pro IT ne-profesionály, Studie Univerzity Milán / Benátky, Prof. Federico Etro Škálovatelnost a náklady na transakci
Východisko: právní aspekty cloudu v ČR 1. 2. 3. 4. •
Bezpečnostní politika systému v „cloudu“ Ochrana osobních údajů a jejich předávání do zahraničí Smluvní vztah Správce – Provozovatel / Zpracovatel Veřejné zakázky – způsob kontrahování (mimo rámec) Zák. 365/2000 Sb. o ISVS
•
Návrh zákona o kybernet. bezpečnosti
•
Kritická informační infrastruktura + Významné IS, na bázi ISO 27001 + COBIT
Zák. 101/2000 Sb. o ochraně osobních údajů (OÚ)
•
§5b: "zajištění důvěrnosti, integrity a dostupnosti informací“ (odp. ISO 27001) Vyhl. 529/2006 - §10-12 požadavky na řízení bezpečnosti ISVS, bezp. politika, směrnice...
§6-smlouvy, §13-povinnosti stran, §27-předání do zahraničí, §37-kontroly Vyjádření k předávání OÚ do cloudu - věstník ÚOOÚ částka 65 z 07/2013
Smlouva o zpracování dat (vč. osobních údajů)
Role stran, rozsah, účel, trvání služby, SLA Zajistit „odpovídající úroveň ochrany OÚ při přenosu do zahraničí“
Jak uchopit soulad ze strany vendora? Standardy a certifikace zabezpečení cloudových služeb:
Ochrana soukromí
Smlouva o zpracování dat: obsah a záruky
1. Standardy a certifikace zabezpečení
CSA - www.cloudsecurityalliance.org Asociace >120 korporací včetně: • Amazon • eBay • Fujitsu • Google • HP • IBM • Microsoft • Oracle • Symantec • ....a další
CSA Cloud Security Guidance v.3 (2011) 14 domains – Architect., Governance, Operations 1 Cloud Computing Architectural Framework 2: Governance and Enterprise Risk Management 3: Legal Issues: Contracts and Electronic Discovery 4: Compliance and Audit Management 5: Information Management and Data Security 6: Interoperability and Portability 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations 9: Incident Response 10: Application Security 11: Encryption and Key Management 12: Identity, Entitlement, and Access Management 13: Virtualization
14: Security as a Service
Cloud Control Matrix (CCM) v 1.1 Domain
Examples of controls
Compliance
Analýza legislativy, audity, ochrana soukromí
Data Governance
Vlastnictví a kategorizace dat, životní cyklus dat, úniky dat
Facility
Řízení fyz. přístupu, bezp. politiky, správa zdrojů
Human Resources
Bezpečnostní prověrky, zaměst. smlouvy, ukončení poměru
Information Security
IS mgmt program, vynucování politik, konfigurace, řízení přístupu, oddělení rolí, šifrování, patch mgmt, incident mgmt, mobilita
Legal
Smlouvy se subkontraktory, non-disclosure agmts
Operations
Politiky, dokumentace, využití zdrojů, údržba
Risk Management
Hodnocení a akceptance rizik, přístup třetích stran
Release Management
Přechod do produkce, řízení kvality, nepovolený software
Resiliency
Analýza dopadů, zajištění kontinuity, geolokace dat, výpadky zdrojů
Security Architecture
Identita, přístup z klientů, integrita / bezp. dat, vícefaktor. autentizace, bezpečnost Wi-Fi, detekce průniků
Cloud Control Matrix (CCM) v 1.1 (a dále)
CSA STAR – Security, Trust & Assurance Registry https://cloudsecurityalliance.org/star/#_registry
2. Ochrana soukromí
10 hlavních otázek - test vlastnictví dat 1.
Jak bude vlastnictví mých dat smluvně definováno?
2.
Mohu určit, v které lokalitě budou moje data umístěna?
3.
Jak budou moje data zabezpečena (při přenosu, v úložišti)?
4.
Transpar. přístup k datům administrátory a subkontraktory?
5.
Dostanu data kdykoli zpět? Jak dlouho, jakými nástroji?
6.
Skenování/profilování dat pro inzerci nebo marketing?
7.
Ohlašování změn umístění a neoprávněného přístupu?
8.
Jsou všechny smluvní podmínky vymahatelným závazkem?
9.
Dostupnost: SLA bez jednostranných změn? Náhrady?
10.
Zabezpečení dat? Geolokace, frekvence zálohování?
Soukromí v Microsoft Online Services Prohlášení z 4/12/13: silné šifrování přenosů a úložiště dat, Využití technologie „Perfect Forward Secrecy“ Žádné reklamy • Žádné výstupy ze zákaznických dat pro reklamní účely • Žádné skenování emailů a dokumentů za účelem analytických rozborů
Přenositelnost dat • Zákaznická data v Office 365 jsou vlastnictvím zákazníka • Zákazníci mohou kdykoliv svá data vyexportovat, až 90 dní po ukončení smlouvy
Posílení právní ochrany zákazníků • Informování zákazníků v případě požadavku soudního příkazu na vydání dat • Využití všech legálních metod pro umožnění informování zákazníka prohlášení
Prohlášení o zásadách ochrany osobních údajů
3. Smlouva o zpracování dat
Cloud Service Level Agreement (SLA) •
SLA je jádrem smlouvy s poskytovatelem cloud. služeb
•
SLA by mělo pokrývat službu jako celek •
Zastřešit částečné SLA na dílčí služby
Na co se zaměřit: Definice dostupnosti vs. nedostupnosti služby Výpočet nedostupnosti: např. měsíčně: SLA 99,9% => max. 43 minut Kreditace za nedostupnost: jak je stanoven výpočet kreditu? Možná omezení a výjimky! Možnosti ochrany proti útokům DoS / DDoS
On-line email – průměrná doba doručení zprávy (např. 95% zpráv <1 min) Dostupnost dílčích služeb (VM‘s, úložiště, DB, virtuální síť, admin portal)...
Standardní smluvní doložky •
Volný pohyb osobních údajů v rámci EU bez omezení
•
Zák. 101/2000 Sb. - §27 odst. (1); princip „digitální jednotný trh“
Pro krajní případ předání mimo EU Řešení technických problémů i „dílčími zpracovateli“ Záloha v krajním případě výpadku služeb v EU „Dostatečná ochranná opatření“ rozhodnutím EK 2010/87/EU
•
Viz web ÚOOÚ:
„Rozhodnutí Komise, týkajících se standardních smluvních doložek znamenají, že v případě smluvního zajištění mezi tuzemským subjektem poskytujícím osobní údaje do zahraničí a zahraničním „dovozcem“ těchto dat, při kterém bude součástí smlouvy standardní smluvní doložka zcela odpovídající příslušnému rozhodnutí Komise, není třeba Úřad o povolení žádat“. http://uoou.cz/uoou.aspx?menu=41&submenu=44
Shrnutí: Iniciativa „Kodex 5C“ –
Czech Cloud Computing Compliance Code Návrh samoregulace v odvětví veřejného cloudu
Děkuji za pozornost! Zdeněk Jiříček
[email protected]
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
