Политика за използване на облачни услуги

Политиката за използване на облачни услуги (P27) предоставя единен, задължителен стандарт за приемане, управление и управление на услуги за облачни изчисления, обхващащ модели Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) и Software-as-a-Service (SaaS). Целта ѝ е да гарантира, че цялото използване на облачни платформи от организацията е сигурно, съответства на приложимите регулации и подпомага оперативната ефективност и иновациите, като същевременно защитава поверителността, цялостността и наличността на информационните активи. Обхватът на политиката е всеобхватен и се прилага за всички служители, изпълнители, доставчици от трети страни и консултанти, ангажирани с каквото и да е предоставяне, конфигуриране, администриране или използване на облачни услуги. Това включва внедрявания в публични, частни, хибридни и общностни облаци, обхваща всички нива на класификация на данните и изрично включва както вътрешни, така и хоствани от доставчик среди, както и предотвратяване на shadow IT и използване на лични облачни услуги за бизнес цели. Ключовите цели на политиката включват: дефиниране на ясни насоки и базови изисквания за приемане на облачни услуги, минимизиране на оперативните и регулаторните рискове (като неправилни конфигурации, нарушение на сигурността на данните и неоторизиран достъп) и налагане на надеждни контроли за сигурност и защита на личните данни чрез договорни изисквания, непрекъсната оценка и права на одит за всички доставчици на облачни услуги. Политиката изисква централно поддържане на регистър на облачните услуги, под надзора на директор по информационна сигурност (CISO), който каталогизира одобрени доставчици, типове услуги, рискови оценки, бизнес собственици и договорни атрибути, подпомагайки управление на жизнения цикъл на достъпа и непрекъснат мониторинг на съответствието. Ролите и отговорностите са прецизно определени, като управленските и надзорните функции се разпределят между висше ръководство, директор по информационна сигурност (CISO), архитект по сигурността на облака, ИТ операции, набавяне, правни въпроси и съответствие, собственици на информационни активи и крайни потребители. Политиката налага строги технически и процедурни контроли: управление на достъпа, базирано на идентичност (с задължителен ролеви контрол на достъпа (RBAC) и многофакторно удостоверяване (MFA) за административни акаунти), базови конфигурации за сигурност, шифроване (с използване на стандарти, одобрени от NIST), изисквания за логове и интеграция на облачни услуги със системи Security Information and Event Management (SIEM). Договорите с доставчици на облачни услуги трябва да адресират права на одит, уведомяване при нарушение, връщане/изтриване на данни и непрекъснат мониторинг на съответствието. Данни могат да бъдат прехвърляни в облака само след класификация на данните, а трансграничните трансфери трябва да са в съответствие с установени регулации като GDPR. Управлението на риска е централно: всякакви отклонения изискват документирани изключения, подробни планове за третиране на риска, одобрение от директор по информационна сигурност (CISO) или архитект по сигурността на облака и многостепенен преглед за сценарии с висок риск. Текущото управление се прилага чрез редовен непрекъснат мониторинг на съответствието, интеграция с реагиране при инциденти (ескалирано чрез Политика за реагиране при инциденти), годишни прегледи и междинни актуализации, обусловени от резултати от инциденти, миграции или регулаторни промени. Нарушения на разпоредбите на политиката, като използване на неоторизирани облачни акаунти или пренебрегване на изисквани контроли, водят до набор от последици — от обучение до правни действия или прекратяване. Политиката за използване на облачни услуги е свързана с политики за информационна сигурност, управление на промените, класификация на данни, криптографски контроли, Политика за регистриране и мониторинг, реагиране при инциденти и одит, като допълнително укрепва ролята си на авторитетна основа за управление на облака.