Debesijos naudojimo politika – SVV

P27S Debesijos naudojimo politika nustato išsamius, tačiau praktiškus reikalavimus debesijos paslaugų valdymui mažų ir vidutinių įmonių (SVV) aplinkoje. Atsižvelgiant į tai, kad SVV dažnai neturi pilno masto IT padalinių, ši politika sukurta su aiškiomis ir supaprastintomis atsakomybėmis, pavyzdžiui, pagrindinius sprendimus priskiriant generaliniam vadovui ir IT paslaugų teikėjui arba techninei pagalbai, o ne specializuotiems CISO ar saugumo operacijų centro (SOC) vaidmenims, kartu užtikrinant tvirtą suderinamumą su ISO/IEC 27001:2022, GDPR, NIS2 ir DORA sistemomis. Politika taikoma visoms debesija pagrįstoms paslaugoms, tiek nemokamoms, tiek mokamoms, apimant įprastas verslo taikomąsias programas, tokias kaip dokumentų bendrinimo platformos, SaaS įrankiai, vaizdo konferencijos, el. paštas, atsarginės kopijos ir klientų platformos. Visi, kurie pasiekia įmonės duomenis, net ir per mobilųjį telefoną ar planšetę, privalo laikytis šių taisyklių, kurios reikalauja išankstinio visų debesijos paslaugų patvirtinimo ir visiškai draudžia asmeninių debesijos paskyrų naudojimą verslo duomenims, taip mažinant „šešėlinės IT“ rizikas. Turi būti palaikomas aiškiai apibrėžtas debesijos paslaugų registras, kad būtų galima sekti kiekvieną autorizuotą platformą, atsakingą asmenį, duomenų saugojimo vietą, prieigos teises ir palaikymo informaciją. Saugumo kontrolės priemonės yra privalomos: visos debesijos platformos turi užtikrinti kelių veiksnių autentifikavimą (MFA) naudotojams ir administratoriams; naudoti stiprius, sudėtingus slaptažodžius; teikti veiklos registravimą žurnaluose ir prieigos apribojimus (pvz., leidžiamuosius sąrašus pagal IP, jei tai įmanoma); ir reguliariai peržiūrėti bendrinamą turinį. Bet koks pažeidimas, pavyzdžiui, pamirštas naudotojo išjungimas arba viešas konfidencialių duomenų bendrinimas, klasifikuojamas kaip informacijos saugumo incidentas ir jam taikomi koreguojamieji veiksmai, įskaitant prieigos teisių atšaukimą, naudotojo permokymą arba, jei būtina, teisinį reagavimą. Politika nustato griežtus reikalavimus duomenų saugojimo politikai ir atsarginėms kopijoms, nurodydama, kad kritiniai verslui arba reglamentuojami duomenys turi būti reguliariai kopijuojami, saugomi taip, kad būtų įvykdytos teisinės prievolės ar klientų įsipareigojimai, o duomenų eksportavimo galimybė iš debesijos platformų turi būti patvirtinta, siekiant išvengti tiekėjo priklausomybės. Mokamų debesijos paslaugų sutartyse turi būti apibrėžta duomenų apsauga, pranešimai apie pažeidimus, duomenų nuosavybė ir apibrėžtas eskalavimas. Atitiktis stebima atliekant bent du kartus per metus patikras dėl prieigos, slaptažodžių ir administratoriaus būsenos, o visos politikos išimtys turi būti formaliai pagrįstos ir patvirtintos generalinio vadovo, nustatant kompensacines kontrolės priemones ir terminus trūkumams pašalinti. Peržiūra ir nuolatinis tobulinimas yra integruoti: politika reikalauja kasmetinės peržiūros, taip pat atnaujinimų po incidentų, įdiegus naujas platformas arba pasikeitus reglamentavimo reikalavimams. Archyvuoti įrašai saugomi saugiai pagal duomenų saugojimo politiką, užtikrinant, kad visa debesijos veikla būtų audituojama vidaus ir išorės (įskaitant ISO) reikalavimams. Dėl aiškios taikymo srities ši politika suteikia SVV tvirtą, bet valdomą struktūrą debesijos naudojimo valdysenai, užtikrinant atitiktį reglamentavimo reikalavimams, rizikos valdymą ir veiklos tęstinumą.