Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix ČSSI/VŠE: Jak pomáhat českým firmám a institucím při přechodu do cloudu? 12. Dec 2013 Zdeněk Jiříček Strategic Advisor External Consultant
Ekonomická výhoda cloudu Cloud Economics - Dokument pro IT ne-profesionály, Studie Univerzity Milán / Benátky, Prof. Federico Etro Škálovatelnost a náklady na transakci
Východisko: právní aspekty cloudu v ČR 1. Bezpečnostní politika systému v cloudu 2. Ochrana osobních údajů a jejich předávání do zahraničí 3. Smluvní vztah Správce Provozovatel / Zpracovatel 4. Veřejné zakázky způsob kontrahování (mimo rámec) Zák. 365/2000 Sb. o ISVS 5b: "zajištění důvěrnosti, integrity a dostupnosti informací (odp. ISO 27001) Vyhl. 529/2006-10-12 požadavky na řízení bezpečnosti ISVS, bezp. politika, směrnice... Návrh zákona o kybernet. bezpečnosti Kritická informační infrastruktura + Významné IS, na bázi ISO 27001 + COBIT Zák. 101/2000 Sb. o ochraně osobních údajů (OÚ) 6-smlouvy, 13-povinnosti stran, 27-předání do zahraničí, 37-kontroly Vyjádření k předávání OÚ do cloudu - věstník ÚOOÚ částka 65 z 07/2013 Smlouva o zpracování dat (vč. osobních údajů) Role stran, rozsah, účel, trvání služby, SLA Zajistit odpovídající úroveň ochrany OÚ při přenosu do zahraničí
Jak uchopit soulad ze strany vendora? Standardy a certifikace zabezpečení cloudových služeb: Ochrana soukromí Smlouva o zpracování dat: obsah a záruky
1. Standardy a certifikace zabezpečení
CSA - www.cloudsecurityalliance.org Asociace >120 korporací včetně: Amazon ebay Fujitsu Google HP IBM Microsoft Oracle Symantec...a další
CSA Cloud Security Guidance v.3 (2011) 14 domains Architect., Governance, Operations 1 Cloud Computing Architectural Framework 2: Governance and Enterprise Risk Management 3: Legal Issues: Contracts and Electronic Discovery 4: Compliance and Audit Management 5: Information Management and Data Security 6: Interoperability and Portability 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations 9: Incident Response 10: Application Security 11: Encryption and Key Management 12: Identity, Entitlement, and Access Management 13: Virtualization 14: Security as a Service
Cloud Control Matrix (CCM) v 1.1 Domain Examples of controls Compliance Data Governance Facility Human Resources Information Security Legal Operations Risk Management Release Management Resiliency Security Architecture Analýza legislativy, audity, ochrana soukromí Vlastnictví a kategorizace dat, životní cyklus dat, úniky dat Řízení fyz. přístupu, bezp. politiky, správa zdrojů Bezpečnostní prověrky, zaměst. smlouvy, ukončení poměru IS mgmt program, vynucování politik, konfigurace, řízení přístupu, oddělení rolí, šifrování, patch mgmt, incident mgmt, mobilita Smlouvy se subkontraktory, non-disclosure agmts Politiky, dokumentace, využití zdrojů, údržba Hodnocení a akceptance rizik, přístup třetích stran Přechod do produkce, řízení kvality, nepovolený software Analýza dopadů, zajištění kontinuity, geolokace dat, výpadky zdrojů Identita, přístup z klientů, integrita / bezp. dat, vícefaktor. autentizace, bezpečnost Wi-Fi, detekce průniků
Cloud Control Matrix (CCM) v 1.1 (a dále)
CSA STAR Security, Trust & Assurance Registry https://cloudsecurityalliance.org/star/#_registry
2. Ochrana soukromí
10 hlavních otázek - test vlastnictví dat 1. Jak bude vlastnictví mých dat smluvně definováno? 2. Mohu určit, v které lokalitě budou moje data umístěna? 3. Jak budou moje data zabezpečena (při přenosu, v úložišti)? 4. Transpar. přístup k datům administrátory a subkontraktory? 5. Dostanu data kdykoli zpět? Jak dlouho, jakými nástroji? 6. Skenování/profilování dat pro inzerci nebo marketing? 7. Ohlašování změn umístění a neoprávněného přístupu? 8. Jsou všechny smluvní podmínky vymahatelným závazkem? 9. Dostupnost: SLA bez jednostranných změn? Náhrady? 10. Zabezpečení dat? Geolokace, frekvence zálohování?
Soukromí v Microsoft Online Services Prohlášení z 4/12/13: silné šifrování přenosů a úložiště dat, Využití technologie Perfect Forward Secrecy Žádné reklamy Žádné výstupy ze zákaznických dat pro reklamní účely Žádné skenování emailů a dokumentů za účelem analytických rozborů Přenositelnost dat Zákaznická data v Office 365 jsou vlastnictvím zákazníka Zákazníci mohou kdykoliv svá data vyexportovat, až 90 dní po ukončení smlouvy Posílení právní ochrany zákazníků Informování zákazníků v případě požadavku soudního příkazu na vydání dat Využití všech legálních metod pro umožnění informování zákazníka prohlášení Prohlášení o zásadách ochrany osobních údajů
3. Smlouva o zpracování dat
Cloud Service Level Agreement (SLA) SLA je jádrem smlouvy s poskytovatelem cloud. služeb SLA by mělo pokrývat službu jako celek Zastřešit částečné SLA na dílčí služby Na co se zaměřit: Definice dostupnosti vs. nedostupnosti služby Výpočet nedostupnosti: např. měsíčně: SLA 99,9% => max. 43 minut Kreditace za nedostupnost: jak je stanoven výpočet kreditu? Možná omezení a výjimky! Možnosti ochrany proti útokům DoS / DDoS On-line email průměrná doba doručení zprávy (např. 95% zpráv <1 min) Dostupnost dílčích služeb (VM s, úložiště, DB, virtuální síť, admin portal)...
Standardní smluvní doložky Volný pohyb osobních údajů v rámci EU bez omezení Zák. 101/2000 Sb. - 27 odst. (1); princip digitální jednotný trh Pro krajní případ předání mimo EU Řešení technických problémů i dílčími zpracovateli Záloha v krajním případě výpadku služeb v EU Dostatečná ochranná opatření rozhodnutím EK 2010/87/EU Viz web ÚOOÚ: Rozhodnutí Komise, týkajících se standardních smluvních doložek znamenají, že v případě smluvního zajištění mezi tuzemským subjektem poskytujícím osobní údaje do zahraničí a zahraničním dovozcem těchto dat, při kterém bude součástí smlouvy standardní smluvní doložka zcela odpovídající příslušnému rozhodnutí Komise, není třeba Úřad o povolení žádat. http://uoou.cz/uoou.aspx?menu=41&submenu=44
Shrnutí: Iniciativa Kodex 5C Czech Cloud Computing Compliance Code Návrh samoregulace v odvětví veřejného cloudu
Děkuji za pozornost! Zdeněk Jiříček v-zdenji@microsoft.com 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.