Mākoņpakalpojumu izmantošanas politika

Mākoņpakalpojumu izmantošanas politika (P27) nodrošina vienotu, obligātu standartu mākoņskaitļošanas pakalpojumu ieviešanai un pārvaldībai, aptverot Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) un Software-as-a-Service (SaaS) modeļus. Tās mērķis ir nodrošināt, ka visa organizācijas mākoņplatformu izmantošana ir droša, atbilst attiecīgajām normatīvajām prasībām un atbalsta operatīvo efektivitāti un inovācijas, vienlaikus aizsargājot informācijas aktīvu konfidencialitāti, integritāti un pieejamību. Politikas darbības joma ir visaptveroša, attiecināma uz visiem darbiniekiem, līgumslēdzējiem, trešo pušu piegādātājiem un konsultantiem, kas iesaistīti jebkādā mākoņpakalpojumu piešķiršanā, konfigurēšanā, administrēšanā vai izmantošanā. Tā aptver publiskos, privātos, hibrīdos un kopienas mākoņa izvietojumus, ietver visas datu klasifikācijas kategorijas un skaidri attiecas gan uz iekšējām, gan piegādātāja izvietotām vidēm, kā arī uz shadow IT novēršanu un personīgo mākoņpakalpojumu izmantošanu biznesa vajadzībām. Politikas galvenie mērķi ietver: skaidru vadlīniju un bāzlīniju definēšanu mākoņpakalpojumu ieviešanai, operatīvo un regulatīvo risku (piemēram, nepareizu konfigurāciju, datu aizsardzības pārkāpumu un nesankcionētas piekļuves) mazināšanu, kā arī stingru drošības un privātuma kontroles pasākumu noteikšanu, izmantojot līgumsaistības, nepārtrauktu novērtēšanu un audita tiesības visiem mākoņpakalpojumu sniedzējiem. Politika paredz centralizētu mākoņpakalpojumu reģistra uzturēšanu galvenā informācijas drošības vadītāja (CISO) uzraudzībā, kurā tiek uzskaitīti apstiprinātie piegādātāji, pakalpojumu veidi, riska vērtējumi, biznesa īpašnieki un līgumu atribūti, atbalstot stingru piekļuves dzīves cikla pārvaldību un nepārtrauktu atbilstības uzraudzību. Lomas un pienākumi ir precīzi noteikti, piešķirot pārvaldības un uzraudzības funkcijas izpildvadībai, galvenajam informācijas drošības vadītājam (CISO), mākoņdrošības arhitektam, IT operācijām, iepirkumam, juridiskajām lietām un atbilstībai, datu īpašniekiem un gala lietotājiem. Politika nosaka stingrus tehniskos un procesuālos kontroles pasākumus: identitātes un piekļuves pārvaldību (ar obligātu lomu balstītu piekļuves kontroli un daudzfaktoru autentifikāciju (MFA) administratīvajiem kontiem), pamatlīmeņa drošības konfigurācijas, šifrēšanu (izmantojot NIST apstiprinātus standartus), audita žurnālu veidošanas prasības un mākoņpakalpojumu integrāciju ar Security Information and Event Management (SIEM) sistēmām. Līgumos ar mākoņpakalpojumu sniedzējiem jāparedz audita tiesības, pārkāpumu paziņošana, datu atgriešana/dzēšana un atbilstības uzraudzība. Datus drīkst pārsūtīt uz mākoni tikai pēc datu klasifikācijas, un pārrobežu pārsūtīšanai jāatbilst noteiktajām prasībām, piemēram, GDPR. Riska pārvaldība ir centrāla: jebkādas novirzes prasa dokumentētus izņēmumus, detalizētus riska apstrādes plānus, apstiprinājumu no galvenā informācijas drošības vadītāja (CISO) vai mākoņdrošības arhitekta, kā arī daudzlīmeņu pārskatīšanu augsta riska scenārijiem. Pastāvīga pārvaldība tiek nodrošināta ar regulāru nepārtrauktu atbilstības uzraudzību, integrāciju ar reaģēšanu uz incidentiem (eskalējot saskaņā ar Incidentu reaģēšanas politiku (P30)), ikgadējām pārskatīšanām un starpposma atjauninājumiem, ko nosaka incidentu rezultāti, migrācijas vai normatīvo prasību izmaiņas. Politikas noteikumu pārkāpumi, piemēram, nesankcionētu mākoņpakalpojumu kontu izmantošana vai obligāto kontroles pasākumu neievērošana, izraisa seku spektru — no apmācības līdz tiesvedībai vai darba attiecību izbeigšanai. Mākoņpakalpojumu izmantošanas politika ir sasaistīta ar saistītajām politikām par informācijas drošību, izmaiņu pārvaldību, datu klasifikāciju, kriptogrāfiju, žurnālfiksēšanas un uzraudzības politiku, reaģēšanu uz incidentiem un auditu un atbilstību, tādējādi vēl vairāk nostiprinot tās lomu kā autoritatīvu mākoņpārvaldības pamatu.