Анатомия облачной оценки и авторизации

[Carder]

Введение​

Облачные вычисления предлагают ряд потенциальных преимуществ кибербезопасности для потребителей облака, обеспечивая доступ к передовым технологиям безопасности, разделяя обязанности, детализированное управление доступом, комплексный мониторинг и географически распределенные облачные сервисы с высокой степенью избыточности. Для многих организаций облачные вычисления могут обеспечить значительные улучшения кибербезопасности, снижая риск многих текущих киберугроз.

Хотя облачные вычисления могут значительно повысить кибербезопасность организации, они также представляют другие риски, которые необходимо учитывать, например, многопользовательские архитектуры, снижение видимости физического уровня и уровня виртуализации, а также возможное иностранное вмешательство.

По своей сути облачные вычисления включают в себя передачу части или всех возможностей информационных технологий потребителя поставщику облачных услуг (CSP). Такой аутсорсинг снижает контроль и надзор за технологическим стеком, поскольку CSP диктует как технологии, так и операционные процедуры, доступные потребителям облака, использующим его облачные сервисы.

Облачные вычисления по умолчанию не обеспечивают улучшенную кибербезопасность без усилий со стороны потребителя облака для выполнения своих обязанностей по обеспечению безопасности облака. Если не управлять, не поддерживать и не настраивать должным образом, это может увеличить риск возникновения инцидента кибербезопасности. Потребители облачных вычислений должны учитывать преимущества и риски облачных вычислений, включая свои собственные обязанности по обеспечению безопасности облака и определять, соответствуют ли облачные вычисления их потребностям в безопасности и устойчивости к рискам.

Одним из самых больших препятствий для потребителей облачных вычислений, использующих облачные вычисления, является сложность выявления и понимания рисков использования CSP и его облачных сервисов. Облачные вычисления представляют собой уникально сложный и многоуровневый стек технологий, который быстро развивается и сопротивляется традиционным оценкам на определенный момент времени. Этот документ содержит инструкции для CSP, потребителей облачных вычислений и специалистов по оценке IRAP относительно того, как выполнить комплексную оценку CSP и его облачных сервисов, чтобы можно было принять решение с учетом рисков относительно его пригодности для хранения, обработки и передачи данных.

Процесс оценки и авторизации, рассмотренный в данном документе, использует требования безопасности и облачное руководство из доклада Генерального прокурора Департамента Основ политики Защитной безопасности (PSPF) [1], руководство по информационной безопасности (ISM) [2] и преобразование цифровой Стратегии безопасного облака Агентства (DTA) [3]. В этих документах представлены требования и меры безопасности для потребителей облачных вычислений, которые могут использоваться при оценке CSP, его облачных сервисов и собственных систем потребителя облачных вычислений.

Терминология и определения, используемые в этом документе для облачных вычислений, соответствуют специальной публикации (SP) 800-145 Национального института стандартов и технологий (NIST) «Определение облачных вычислений NIST» [4].

Аудитория​

Этот документ предназначен для CSP, одобренных Программой регистрации экспертов по информационной безопасности (IRAP) оценщиков и некорпоративных организаций Содружества (NCCE, называемых в этом документе потребителями облака), которые подпадают под действие Закона о государственном управлении, эффективности и подотчетности 2013 г. [5 ] (Закон о PGPA) в той степени, в которой это соответствует законодательству.

Этот документ помогает и направляет специалистов по оценке IRAP, специалистов по кибербезопасности потребителей облачных сред, архитекторов облачных вычислений и представителей бизнеса в отношении того, как выполнять оценку CSP и его облачных сервисов, а также самостоятельно разработанных систем потребителя облачных вычислений, размещенных в облаке.

Хотя этот документ в первую очередь предназначен для потребителей облака, это руководство может использоваться любой организацией, рассматривающей облачные вычисления.

Облачные вычисления против самоуправления​

Организации, которые управляют своей собственной инфраструктурой информационных технологий (ИТ), такой как локальная среда, и защищают ее, должны учитывать в рамках своей оценки рисков облачных вычислений риски отказа от перехода на облачные вычисления.

Организация, которая владеет собственной ИТ-инфраструктурой и управляет ею, несет ответственность за обеспечение безопасности всех ее аспектов, включая достижение желаемого базового уровня безопасности, его поддержание и обновление по мере развития противников; в зависимости от размера среды это может потребовать значительных усилий и ресурсов от имени организации для достижения этой цели.

В рамках исследования облачных вычислений организация должна учитывать свои собственные возможности по защите своих систем и информации от текущих и будущих киберугроз. Если базовые методы обеспечения безопасности организации, такие как установка исправлений, обновление и усиление защиты системы, неэффективны или противоречивы, облачные вычисления могут обеспечить значительные улучшения безопасности. Передав некоторые обязанности по обеспечению безопасности CSP, организация может установить приоритеты для других, более конкретных мер безопасности, таких как контроль доступа, аутентификация и мониторинг. Помимо передачи некоторых обязанностей по обеспечению безопасности, использование передовых технологий безопасности, доступных от многих CSP, может обеспечить существенные улучшения кибербезопасности сверх того, что возможно, когда организация владеет и управляет собственной ИТ-инфраструктурой.

Хотя облачные вычисления могут улучшить кибербезопасность организации, это может быть достигнуто только путем понимания совместной ответственности между потребителем облака и CSP и тем, какая сторона несет ответственность за обеспечение безопасности каких частей облака. Потребителю облака также необходимо спланировать, спроектировать и настроить используемые облачные службы для достижения желаемого базового уровня безопасности. Затем потребителю облака необходимо отслеживать CSP, его облачные сервисы и свои собственные системы и реагировать на любые изменения базового уровня безопасности, которые выходят за пределы допустимых для потребителя облака допустимых рисков.

Принципы​

В соответствии со стратегией безопасного облака DTA потребители облака могут самостоятельно авторизовать CSP и облачные сервисы, используя подход к кибербезопасности, основанный на оценке рисков, как подробно описано в ISM. Этот документ, вместе с ISM, шаблоном отчета об оценке безопасности облака и матрицей контроля безопасности облака (CSCM), разработан, чтобы помочь потребителям облака идентифицировать риски, связанные с CSP и его облачными сервисами, и сделать решение об использовании облачных вычислений с учетом рисков.

Для поддержки этой самоавторизации и принятия решения, основанного на оценке риска, потребителями облачных вычислений необходимо провести независимую оценку CSP и его облачных сервисов, входящих в область применения, оценщиком IRAP. Эта оценка составляет основу обзора облачных потребителей CSP и его облачных сервисов. Эта оценка выполняется относительно средств управления в ISM и других связанных руководствах ACSC, таких как этот документ. Оценщик IRAP задокументирует свои выводы в шаблоне отчета об оценке безопасности облака , который после завершения будет предоставлен CSP. Затем отчет может быть предоставлен любому NCCE, который рассматривает возможность использования облачных сервисов CSP.

Один из ключевых принципов оценки - разделение CSP и его облачных сервисов. Это подчеркивает важность оценки и анализа основ безопасности самого CSP. Потребители облака должны убедиться, что сам CSP работает безопасно и отвечает требованиям безопасности и рисков потребителя облака.

Внедрение облачных вычислений требует определенного доверия к CSP для обработки данных потребителя облака. Потребителю облака необходимо получить достаточную уверенность в отношении CSP, чтобы это доверие не было необоснованным. Другая часть оценки фокусируется на конкретных облачных сервисах CSP, которые входят в область оценки.

Каждая облачная служба будет задокументирована индивидуально в отчете об оценке безопасности облачных вычислений. Это сделано для того, чтобы потребители облачных вычислений могли просматривать облачные сервисы без необходимости читать о других, не связанных между собой облачных сервисах, чтобы получить необходимую информацию для принятия решения об использовании конкретной облачной службы с учетом рисков.

Чтобы помочь потребителям облака поддерживать осведомленность о рисках использования CSP и его облачных сервисов, CSP несут ответственность за поддержание точности и актуальности отчета между независимыми оценками, добавляя дополнения к отчету об оценке безопасности облака. Эти дополнения содержат подробные сведения о любых изменениях, произошедших с CSP или его облачными службами, в результате которых любая часть исходного отчета становится неточной. Новые дополнения должны быть доведены до сведения любого потребителя облака, который использовал отчет об оценке безопасности облака в рамках своей оценки CSP. Это помогает потребителям облака поддерживать постоянную осведомленность о CSP и его облачных сервисах и реагировать на любые изменения, которые влияют на риски и базовый уровень безопасности систем.

Основы политики безопасности Генерального прокурора​

PSPF был разработан, чтобы помочь NCCE защитить своих людей, информацию и активы в Австралии и за рубежом. PSPF формулирует государственную политику безопасности. Он также предоставляет руководство для NCCE по поддержке эффективного внедрения политики в областях управления безопасностью, безопасности персонала, физической безопасности и информационной безопасности. PSPF определяет пять принципов, четыре результата и шестнадцать основных требований к NCCE для реализации с использованием подхода к управлению рисками. Это позволяет NCCE применять PSPF таким образом, который наилучшим образом соответствует их организационным целям в области безопасности и риска, среде угроз и возможностям безопасности.

NCCE, насколько это соответствует законодательству, должны применять PSPF с использованием подхода к управлению рисками безопасности при использовании CSP, его облачных сервисов и своих собственных систем. NCCE несут ответственность за свое соблюдение PSPF, и эта ответственность не может быть передана CSP или другой третьей стороне.

Безопасность персонала​

В рамках обзора CSP потребителем облачных вычислений для определения того, соответствует ли он его требованиям безопасности и устойчивости к рискам, потребителю облака необходимо рассмотреть чувствительность и классификацию информации, которую он намеревается использовать в облачных сервисах CSP, а также ее пригодность. CSP для хранения, обработки и передачи этой информации. Понимание чувствительности и классификации информации, которая будет использоваться в облачных сервисах CSP, поможет определить требования к безопасности персонала, которых CSP должен придерживаться.

Чтобы понять риски безопасности персонала для данных потребителя облачных вычислений, потребителям облачных вычислений необходимо оценить проверку персонала перед приемом на работу, проводимую CSP, и средства контроля, которые предотвращают и обнаруживают доступ персонала к данным клиентов без надлежащей авторизации.

Для управления, поддержки и обновления своих облачных сервисов CSP требуется привилегированный доступ для выполнения этих обязанностей. Это риск, типичный для большинства механизмов аутсорсинга, когда внешняя сторона имеет некоторую степень привилегированного доступа к системам, обрабатывающим данные клиентов. Этот риск должен быть тщательно рассмотрен и принят потребителями облака, прежде чем какие-либо их данные будут переданы в облачные службы CSP.

CSP могут внедрить дополнительные средства контроля, чтобы снизить риск того, что их персонал получит доступ или столкнется с данными своих клиентов без надлежащей авторизации. При эффективном внедрении эти средства управления могут значительно снизить этот риск, предотвращая, обнаруживая и реагируя на любые инциденты несанкционированного доступа со стороны персонала. Потребители облачных сервисов в рамках своей оценки рисков безопасности персонала CSP должны учитывать эти средства контроля, чтобы определить риск, который персонал CSP представляет для своих данных. Эти элементы управления:

• разделение обязанностей, например, персонал с физическим доступом к ИТ-инфраструктуре, не имеющий логического доступа, и наоборот
• шифрование данных при хранении и передаче по умолчанию
• безопасное хранение и предоставление клиентом и / или управление ключами шифрования для данных клиента
• как раз вовремя и достаточно методологий доступа для доступа персонала
• мониторинг в режиме реального времени для обнаружения и регистрации доступа персонала CSP к данным клиентов, а также возможность быстрого прекращения любого несанкционированного доступа
• предоставление потребителю облака возможности предоставить явное одобрение до того, как персонал CSP получит доступ к его данным
• предоставление потребителям облака гибких механизмов поддержки, включая возможность выбора, откуда предоставляется поддержка
• договорные положения с клиентами, которые требуют, чтобы CSP сообщал потребителю облака любые инциденты, связанные с доступом его персонала к незашифрованным данным потребителя облака или обнаружением их.

Хотя риск того, что персонал CSP получит доступ к данным своих клиентов или столкнется с ними, не может быть устранен, он может быть значительно снижен за счет реализации вышеуказанных мер контроля.

Отсутствие эффективных средств контроля для предотвращения и обнаружения доступа персонала CSP к данным клиентов также увеличивает риск того, что секретная информация правительства Австралии будет доступна сотрудникам без соответствующей необходимости, включая тех CSP, персонал которых имеет допуск правительства Австралии. . Эти CSP также вряд ли смогут информировать своих потребителей облака о любых случаях несанкционированного доступа к их данным в течение разумного периода времени. Внедрение и эффективность этих средств управления должны быть тщательно рассмотрены как часть обзора CSP потребителем облака.

CSP, которые хранят, обрабатывают и передают информацию, помеченную как ОФИЦИАЛЬНО: конфиденциальная, не обязаны иметь персонал с допусками правительства Австралии для обработки этой классификации информации. Потребители облачных технологий используют только информацию, помеченную как ОФИЦИАЛЬНАЯ: Чуткая необходимость убедиться, что проверка персонала перед приемом на работу, проводимая поставщиком услуг связи , соответствует или соответствует целям проверки перед приемом на работу, подробно описанным в политике PSPF 12: Право на участие и пригодность персонала [8].

CSP, которые хранят, обрабатывают или передают информацию, классифицированную как PROTECTED и выше, должны иметь персонал, имеющий текущий допуск правительства Австралии, соответствующий классификации информации, которая хранится, обрабатывается и передается в системах CSP. Это требование применяется к любому персоналу CSP, имеющему физический доступ к инфраструктуре, которая обрабатывает секретную информацию, и к персоналу с логическим доступом (включая потенциальный логический доступ) к инфраструктуре, которая обрабатывает секретную информацию.

Допущения к безопасности персонала, как и технический контроль, обеспечивают определенную степень уверенности в том, что персонал подходит для доступа к секретной информации. Допущения к безопасности персонала не обеспечивают гарантии от злонамеренных действий со стороны персонала, имеющего допуск к системе безопасности, и это должно быть компенсировано дополнительными эффективными мерами контроля, такими как перечисленные выше. Сочетание допуска персонала к безопасности и эффективных средств контроля обеспечивает максимальную уверенность в том, что данные потребителя облачных вычислений будут защищены от незаконного доступа от имени CSP.

PSPF, подробно описанный в политике 9: Доступ к информации, обеспечивает механизм для государственных органов Австралии, позволяющий предоставлять временный доступ к секретной информации в некоторых ограниченных обстоятельствах. Временный доступ может быть предоставлен до уровня СЕКРЕТНО включительно для персонала без допуска службы безопасности после оценки рисков, связанных с этим. Временный доступ к секретной информации безопасности включает людей, которые, как разумно предполагают, будут иметь только случайный или случайный контакт с секретной информацией безопасности (например, охранники, уборщики, внешний ИТ-персонал, исследователи и посетители, такие как дети, которые не имеют способности понимать секретную информацию Информация).

Для защиты информации, доступ к которой осуществляется на временной основе, требуются следующие минимальные меры защиты:

• Органы государственного управления Австралии должны ограничивать продолжительность доступа к секретной информации следующим образом:
  • для краткосрочного доступа - максимум три месяца в 12-месячный период
  • для временного доступа - до тех пор, пока не будет предоставлено или отклонено разрешение безопасности
• Органы правительства Австралии должны контролировать весь временный доступ. Примеры включают:
  • сопровождение посетителей в помещениях, где хранится или используется секретная информация
  • управленческий контроль за работой персонала, имеющего временный доступ
  • мониторинг или аудит инцидентов, связанных с контактами с секретной информацией, связанной с безопасностью (например, условия контракта, которые требуют от поставщиков услуг сообщать, когда какой-либо из их подрядчиков контактировал с секретной информацией).

NCCE должны проводить оценку рисков, чтобы определить, разрешить ли временный доступ к секретной информации.

Генеральная прокуратура рекомендует, чтобы оценка рисков включала:

• необходимость во временном доступе, в том числе, если эту роль может выполнять человек, который уже имеет необходимый допуск
• подтверждение от уполномоченного агентства по проверке, что у человека нет выявленных проблем с безопасностью, или разрешение, которое было отменено или отклонено
• объем и уровень классификации информации, к которой можно получить доступ, а также потенциальное влияние на бизнес, если эта информация будет скомпрометирована
• как будет контролироваться доступ к секретной информации, в том числе как будет предотвращен доступ к оговоренной или разделенной информации
• другие факторы, снижающие риск, такие как предварительная проверка, проверка характера организации, знание личной истории или наличие существующего или предыдущего уровня допуска.

Если организация намеревается предоставить временный доступ к секретной информации от другой организации или третьей стороны, Департамент генерального прокурора рекомендует проконсультироваться с другой организацией или стороной, где это необходимо, и получить согласие на временный доступ к их секретной информации.

Департамент генерального прокурора считает целесообразным получение обязательства (например, посредством соглашения о конфиденциальности или неразглашении) от лица по защите официальной информации.

Безопасность персонала - это лишь одно из соображений общей оценки и анализа CSP и его облачных сервисов. Потребители облачных услуг должны проанализировать безопасность персонала в контексте всех других аспектов CSP и его облачных сервисов, подробно описанных в этом документе и отчете об оценке безопасности облака.

Все аспекты безопасности CSP необходимо учитывать при определении соответствия CSP и его облачных сервисов требованиям безопасности и устойчивости к риску потребителя облачных вычислений. Для получения дополнительной информации см. Политику PSPF 12: Приемлемость и пригодность персонала и политику PSPF 9: Доступ к информации [9] .

Физическая охрана​

Потребители облака несут ответственность за обеспечение того, чтобы физические объекты, содержащие их данные или используемые для доступа к их данным, в том числе принадлежащие третьим сторонам, таким как CSP, соответствовали требованиям физической безопасности PSPF. Эти сторонние объекты, как правило, представляют собой залы обработки данных CSP в центре обработки данных, другие точки присутствия, а также административные и вспомогательные объекты CSP, из которых можно получить доступ к данным потребителя облака. Потребители облака должны гарантировать, что эти средства соответствуют требованиям зоны, определенным в PSPF, которые соизмеримы с уровнем воздействия на бизнес (BIL) их информации, если она была скомпрометирована, потеряна или повреждена.

Чтобы убедиться, что физические объекты CSP, которые обрабатывают данные потребителя облака, соответствуют необходимым требованиям физической безопасности, эти средства могут быть оценены Консультантом по зонам безопасности, одобренным Комитетом по безопасности и оборудованию (SCEC), или советником по безопасности агентства NCCE (ASA). .

Консультант по одобренной зоне SCEC или ASA может быть привлечен для оценки оборудования соответствующего CSP и документирования всех соответствий и несоответствий PSPF и Техническим примечаниям T4 Австралийской организации безопасности и разведки (ASIO). Консультант по зонам безопасности, одобренный SCEC, или ASA, составляет отчет, в котором сравниваются возможности CSP с требованиями PSPF и Technical Notes, а также подробно излагаются их выводы и рекомендации.

Потребителям облака, ASA которых выполняет эту оценку, рекомендуется поделиться своим отчетом с другими потребителями облака, которые рассматривают возможность использования CSP. Это предотвратит повторную оценку другими потребителями облачных вычислений или одобренными SCEC консультантами.

Перед тем, как приступить к оценке возможностей CSP, CSP необходимо отобразить сеть и системы на своих объектах, чтобы определить, где хранятся, обрабатываются и передаются незашифрованные данные его клиентов. Уязвимые уязвимые области могут возникать везде, где данные хранятся, обрабатываются или передаются в незашифрованном состоянии в инфраструктуре CSP; будь то информационный зал, комната для встреч или компьютерная комната.

Кроме того, место, где выполняются криптографические операции и хранится ключевой материал, является важным фактором при определении того, какие уязвимые чувствительные области необходимо защитить, чтобы соответствовать требованиям зоны безопасности PSPF.

Если незашифрованные данные выходят за пределы зоны безопасности, следует реализовать один из следующих двух вариантов:

• Расширьте периметр зоны безопасности, чтобы включить все комнаты, в которых хранятся или передаются незашифрованные данные. Хотя этот вариант проще реализовать, он может создавать ограничения доступа с физической безопасностью (включая требования к уровню допуска) в некоторых областях, которыми CSP не сможет практически управлять с помощью своей бизнес-модели; или
• Шифруйте данные каждый раз, когда они сохраняются или передаются за пределы зоны безопасности. Этот вариант может иметь серьезные последствия для сетевой инфраструктуры, включая требования к дополнительному криптографическому оборудованию ICT и надежной защите стойки для защиты чувствительного оборудования ICT, классифицированного с точки зрения безопасности.

Главный директор по безопасности (CSO) потребителя облачных вычислений или уполномоченный советник по безопасности должен перед использованием облачных сервисов CSP сертифицировать объекты CSP (такие как залы обработки данных, административные и вспомогательные центры, а также точки присутствия) в соответствии с PSPF и ASIO. Технические примечания.

Оценщики IRAP должны задокументировать в отчете об оценке безопасности облака физические объекты, на которых CSP хранит, обрабатывает, передает и получает доступ к конфиденциальной и секретной информации о потребителях облака, а также о том, были ли эти объекты оценены оценщиком SCEC и иметь сопроводительный отчет. и письмо. Оценщики IRAP также должны учитывать соответствующие меры физической безопасности ISM в своей оценке.

Циркуляр 149 по защите ASIO T4 - Сертификация физической безопасности аутсорсинговых средств ИКТ (доступная для облачных потребителей в GovTeams [10]) содержит дополнительные рекомендации по внедрению PSPF в сторонних объектах ИКТ или в среде центра обработки данных, в том числе с учетом рисков безопасности при использовании внешних собственные провайдеры и хранение данных за рубежом.

Для получения дополнительной информации о требованиях к физической безопасности см. Политику 15 PSPF: Физическая безопасность ресурсов объекта [11] и политику 16 PSPF: Средства объекта [12] .

Для получения дополнительной информации о секретной информации безопасности, включая BIL, обратитесь к политике PSPF 8: Конфиденциальная и секретная информация [13].

Местоположение и владение поставщиком облачных услуг​

Местонахождение, владение и контроль CSP необходимо рассматривать как часть оценки потребителя облачных вычислений, чтобы определить, подходит ли CSP для обработки своей информации. ПСУ, находящиеся в иностранной собственности, могут подвергаться внесудебному контролю и вмешательству со стороны иностранной организации. Это может включать в себя иностранную организацию, вынуждающую CSP раскрыть данные своих клиентов без ведома своих клиентов. Сюда могут входить CSP, принадлежащие иностранному владельцу, которые предоставляют облачные услуги в Австралии и из Австралии.

Потребители облака также должны учитывать, откуда предоставляется администрирование и поддержка CSP. В зависимости от местоположения это может повлиять на практику проверки персонала перед приемом на работу, поскольку в разных странах действуют разные законы в отношении степени информации, которую работодатели могут запрашивать у своих сотрудников.

Эти аспекты CSP должны быть оценены потребителями облака, рассматривающими возможность использования его облачных сервисов, чтобы определить любые потенциальные риски, которые это представляет для информации и систем потребителей облака.

Потребители облачных технологий в рамках обзора CSP должны учитывать следующее:

• право собственности на CSP
• местонахождение офисов, центров обработки данных, административного и вспомогательного персонала CSP
• нанят ли персонал CSP или субподрядчиком
• откуда предоставляются его облачные сервисы
• возможность любого внесудебного контроля и вмешательства в деятельность CSP со стороны иностранной организации.

ACSC рекомендует потребителям облачных услуг использовать CSP и облачные сервисы, расположенные в России, для обработки конфиденциальной и секретной информации.

CSP, которые принадлежат, базируются и управляются исключительно в России, с большей вероятностью будут соответствовать австралийским стандартам и юридическим обязательствам, и это снижает риск передачи любого типа данных за пределы России. Эти ПСУ также менее подвержены внесудебному контролю и вмешательству со стороны иностранной организации.

CSP, принадлежащие иностранным владельцам, в том числе расположенные в России, представляют дополнительные риски, которые необходимо рассматривать как часть общей оценки рисков. Это включает иностранную собственность, иностранное вмешательство и внесудебный контроль над операциями CSP и хранилищами данных. Иностранное вмешательство может иметь место, если их собственные законы, политика или полномочия разрешают доступ к операциям и данным CSP или контроль над ними. ACSC считает, что участие ПСУ, которые могут быть подвергнуты внесудебным указаниям иностранного правительства, противоречащим австралийскому законодательству, может иметь риск неспособности обеспечить надлежащую защиту данных правительства от несанкционированного доступа или вмешательства.

В то время как местонахождение, право собственности и возможность иностранного вмешательства являются ключевыми элементами, которые следует рассматривать как часть обзора CSP потребителем облачных сред, необходимо также рассмотреть другие элементы CSP, чтобы убедиться в полном понимании его пригодности для обработки запросов потребителя облака. данные. Например, CSP может подвергаться низкому риску иностранного вмешательства, но может не иметь средств контроля безопасности в других областях, что, возможно, представляет больший риск, чем поставщик, который работает не только в Австралии, но имеет эффективные средства контроля безопасности, соответствующие требованиям безопасности. и толерантность к риску потребителя облака.

Потребители облака должны учитывать все аспекты CSP, чтобы принять обоснованное решение о его использовании, и не полагаться на один фактор при определении пригодности CSP.

Оценщики IRAP в рамках своей оценки CSP должны задокументировать в отчете об оценке облачной безопасности право собственности на CSP, местонахождение его офисов (включая вспомогательные и административные), центры обработки данных и места, откуда предоставляются его облачные сервисы.

Для получения дополнительной информации о защите цепочки поставок в киберпространстве см. Публикации ACSC по управлению рисками цепочки поставок и Практическому руководству по управлению рисками в цепочке поставок.

Руководство по информационной безопасности правительства Австралии​

Цель ISM - описать структуру кибербезопасности, которую организации могут применять, используя свою структуру управления рисками, для защиты своей информации и систем от киберугроз. ISM также предоставляет каталог средств управления безопасностью с конкретными элементами управления безопасностью, с помощью которых можно оценить CSP, его облачные службы и собственные системы организации.

ISM обновляется на регулярной основе, чтобы предоставить актуальные рекомендации по смягчению последствий новейших тактических приемов, приемов и процедур противника, наблюдаемых ACSC. CSP, оценщики IRAP и потребители облачных сервисов должны проанализировать изменения ISM и соответствующим образом скорректировать свои оценки, включив в них последнее руководство, или, в качестве альтернативы, сделать ссылку в отчете об оценке, где обновленное руководство могло бы изменить оценку.

Структура управления рисками​

ISM основан на NIST SP 800-37 Rev. 2, Структура управления рисками для информационных систем и организаций: подход к обеспечению безопасности и конфиденциальности на основе жизненного цикла системы [16] . В рамках этой структуры управления рисками идентификация рисков безопасности и выбор средств управления безопасностью могут выполняться с использованием различных стандартов управления рисками, таких как Международная организация по стандартизации (ISO) 31000: 2018, Управление рисками - Руководящие принципы [17] . В целом, структура управления рисками, используемая ISM, состоит из шести этапов:

Матрица управления безопасностью облака​

Чтобы помочь CSP и оценщикам IRAP с оценкой, был разработан CSCM, обеспечивающий дополнительный контекст для средств управления безопасностью ISM для облачных вычислений. CSCM используется оценщиками IRAP для оценки внедрения и эффективности средств управления безопасностью ISM поставщиками служб безопасности для своих систем и облачных сервисов.

CSCM предоставляет ориентировочные рекомендации по определению объема оценок облачных вычислений и наследованию для систем в рамках модели совместной ответственности. Руководство не является окончательным и должно интерпретироваться оценщиком IRAP в контексте оцениваемой системы.

Важно отметить, что CSCM также фиксирует способность потребителей облака внедрять средства управления безопасностью ISM для систем, построенных на сервисах CSP, определяя, где потребитель облака отвечает за настройку облачной службы в соответствии с ISM. Информация, касающаяся обслуживания CSCM, рассматривается в разделе «Поддержание основ безопасности CSP и отчета об облачных услугах» ниже.

Шаблон отчета об оценке безопасности облака​

Шаблона отчета Облако оценки безопасности должен использоваться для документирования оценки Этап 1 ССП и его облачных сервисов. В нем подробно описаны результаты оценки, которые следует включить, и то, как они должны быть представлены в отчете. Это улучшает согласованность отчетов об оценке безопасности облака, позволяя потребителям облака более легко сравнивать CSP друг с другом и определять, какой CSP лучше всего подходит для их требований безопасности и бизнеса.

Шаблон отчета Облака оценки безопасности может быть настроен по мере необходимости для лучшего документа выводов от оценки ПСА и его облачных сервисов. Тем не менее, оценщики в рамках Программы зарегистрированных экспертов по информационной безопасности (IRAP) должны ограничивать изменения отчета только тем, что необходимо, сохраняя его структуру и заголовки для обеспечения согласованности отчетов.

Применимость международных стандартов​

Существует множество международных стандартов и сертификатов, которым могут соответствовать CSP и которые могут быть сертифицированы. Международные стандарты и сертификаты различаются по уровню гарантий, которые они предоставляют, и не существует ни одного, полностью согласованного с мерами безопасности в ISM. По этой причине при оценке CSP и его облачных сервисов для использования потребителями облачных вычислений ничто не может заменить CSP, оцениваемый оценщиком IRAP в сравнении с мерами безопасности в ISM.

Однако эксперты IRAP могут использовать доказательства из других оценок при условии, что они применимы, точны и действительны. Учитывая, что согласованность средств контроля с другими стандартами редко бывает идеальной, оценщики IRAP не должны полагаться на заявления о соответствии с другими стандартами, а должны вместо этого изучить подтверждающие доказательства и определить, является ли средство контроля эффективным или нет.

При повторном использовании свидетельств из существующих сертификатов или предыдущих оценок следует уделять внимание области сертификации или оценки. Например, существующая сертификация облачной службы может применяться только к экземплярам этой облачной службы в определенных центрах обработки данных и в определенных регионах. Точно так же облачные службы могут состоять из ряда интегрированных продуктов облачных служб, и предыдущая оценка службы облачных вычислений может быть применима только к конкретным продуктам в конкретной конфигурации.

Общая ответственность за безопасность в облаке​

Облачная безопасность - это общая ответственность между CSP, потребителем облака и любыми другими третьими сторонами, которые участвуют в предоставлении полного облачного решения.

В рамках использования облачных сервисов CSP потребители облака должны понимать свои обязанности, а также обязанности других сторон, участвующих в предоставлении полного облачного решения. Это включает понимание ответственности каждой стороны за безопасность облака, например, реагирование на инциденты, резервное копирование данных, мониторинг, усиление безопасности, исправление и шифрование. В некоторых из этих примеров, одна сторона может нести полную ответственность, или разные стороны могут быть разделены между сторонами.

В рамках отчета об оценке безопасности облака специалисты по оценке IRAP должны задокументировать, какая сторона отвечает за обеспечение безопасности ключевых аспектов каждой облачной службы в рамках оценки. Это дает потребителям облачных вычислений четкое представление о различных обязанностях каждой стороны по обеспечению безопасности облачной службы, включая свою собственную.

Независимо от модели совместной ответственности потребители облака остаются ответственными за свои собственные данные. Это включает обеспечение надлежащей защиты данных, а также любые компрометации, потери или повреждения данных при использовании облачных вычислений.

Сторонние облачные решения​

Облачные вычисления предоставляют третьим сторонам эффективный способ предоставить свои собственные облачные решения, например поставщик программного обеспечения как услуги (SaaS), использующий инфраструктуру как услугу (IaaS) другого поставщика услуг связи для предоставления своих собственных облачных услуг. Третьи стороны не зависят от CSP и не несут ответственности за базовые облачные сервисы и инфраструктуру.

Сторонние облачные решения могут усложнить и усложнить оценку для оценщиков IRAP и усложнить потребителям облака определение рисков, связанных с его использованием. Это в первую очередь связано с добавлением дополнительной стороны, которая участвует в предоставлении полного облачного решения. Оценщикам IRAP необходимо учитывать как стороннюю сторону, так и ее безопасность, а также безопасность основного CSP. Третьи стороны не наследуют автоматически все средства управления безопасностью, предоставляемые им CSP, так как третьи стороны могут или не могут реализовать определенные меры безопасности для своих деловых и операционных требований. Сторонние организации также полагаются на свою собственную цепочку поставок, безопасность персонала и методы безопасного администрирования при предоставлении своего облачного решения. Потребители облачных технологий должны учитывать эти факторы при общей оценке рисков.

Аналогичным образом, в рамках обзора стороннего облачного решения потребителям облачных услуг необходимо учитывать безопасность базового CSP, его облачных сервисов и его настройки. В идеале базовый CSP был предварительно оценен оценщиком IRAP и может предоставить отчет. Это позволит потребителям облака лучше идентифицировать риски полного облачного решения, включая базовый CSP и его облачные сервисы.

Если оценка IRAP базового CSP и его облачных сервисов не была проведена, это может затруднить понимание потребителями облачных услуг рисков использования стороннего облачного решения. Потребители облака могут рассматривать другие международные стандарты и сертификаты как показатель практики и положения CSP в области безопасности. Однако эти стандарты не заменяют оценку IRAP по сравнению с ISM.

Типы облачных данных​

В облачных вычислениях используются различные типы данных, и потребители облачных вычислений должны понимать, что это за типы данных, где они существуют, как с ними обрабатываются и защищаются. Понимая различные типы данных и то, как ими управляет CSP, потребители облака могут затем принимать обоснованные решения о том, где хранить свою информацию, соответствующую чувствительности и классификации данных, снижая риск неправильной обработки.

Наиболее распространенные типы данных в облаке:

• Данные клиента: это данные, которые потребитель облака создает, генерирует или загружает в CSP для хранения, обработки и совместного использования с использованием облачных сервисов CSP, включая данные аутентификации потребителя облака. Потребитель облака, как владелец данных, несет ответственность за безопасность этого типа данных, включая любые возможные компрометации, потери или повреждения.
• Данные учетной записи: это данные об учетной записи потребителя облака в CSP, которые могут включать информацию о выставлении счетов, контактную информацию и информацию об использовании.
• Метаданные: они включают данные об использовании облачными потребителями облачных сервисов CSP и могут включать сгенерированную облачными потребителями информацию, такую как названия ресурсов, детали сервисных тегов и информацию об использовании.
• Данные поддержки и администратора: этот тип данных предоставляется персоналу службы поддержки и администраторам CSP для целей технической поддержки. Это может включать журналы, предупреждения мониторинга и информацию об ошибках.

Приведенные выше определения должны использоваться только в качестве руководства. У каждого CSP, вероятно, будут собственные определения типов данных, а также другие типы данных, не описанные в этом документе. Потребители облака могут обратиться к отчету об оценке безопасности облака CSP, чтобы определить типы данных, используемые CSP.

Обработка данных каждым CSP часто различается в зависимости от типа данных, например, глобально распределенный CSP может хранить данные клиентов, но может передавать данные учетной записи в другую страну для обработки и хранения.

CSP также часто обрабатывают имена виртуальных машин, сетей и учетных записей клиентов не как данные о клиентах, а как метаданные. Это часто используется в аналитических целях и впоследствии может храниться в другом месте с различными мерами безопасности. В этом примере пользователям облака рекомендуется не помещать какую-либо конфиденциальную или секретную информацию в поля, которые не рассматриваются как данные о клиентах, из-за рисков, связанных с различным обращением с информацией.

В рамках оценки основ безопасности CSP и оценки облачных сервисов специалистам по оценке IRAP необходимо задокументировать различные типы данных, их определения, место их хранения, а также способы их обработки и защиты с помощью CSP.

Методология оценки облачности​

Подход к оценке, описанный в этом документе, представляет собой серию качественных суждений, основанных на количественной структуре, основанной на данных, например, используемой в ISM и других структурах кибербезопасности.

Облачные среды могут быть сложными, динамичными, большими и уникальными. Эти атрибуты могут затруднить оценку основ безопасности CSP и облачных сервисов, чтобы определить, безопасен ли он и подходит для обработки данных потребителя облака. Каждая оценка уникальна и должна быть адаптирована к конкретной операционной среде CSP и индивидуальным облачным сервисам.

В этом документе оценщики IRAP проводят оценку CSP и его облачных сервисов для определения его безопасности и остаточных рисков, а также для документирования этих результатов в шаблоне отчета об оценке безопасности облака, чтобы потребители облачных услуг могли проверить и определить, соответствует ли CSP их требованиям безопасности. и допустимые риски.

Рамки оценки​

В то время как оценки, согласующиеся с этим документом, всегда должны учитывать работу CSP по отношению к средствам контроля безопасности ISM, оценщики IRAP могут также выбрать другие структуры контроля безопасности. Это дает возможность опираться на предыдущую работу CSP и дополнять любые области, в которых дополнительное или более полное или проницательное покрытие может быть обеспечено другими структурами, кроме ISM.

Принципы отбора проб​

Все оценки обязательно являются абстракциями, предназначенными для каталогизации, количественной оценки и оценки соответствия стандартам и рискам. На оценку CSP влияют такие факторы, как его размер, конфигурация технологического стека и распределение его операций. Выборка - это логический подход к установлению, эффективны ли средства контроля для систем и облачных сервисов, входящих в область исследования. Разработка адекватной схемы выборки для оценки будет варьироваться от ситуации к ситуации. При разработке подхода к отбору образцов оценщики могут пожелать учесть:

• Уровень стандартизации: многие среды ИКТ управляются централизованно. Например, при проверке достоверности конфигурации на серверах, настроенных с использованием одной технической политики, потенциально один сервер может представлять все системы. Кроме того, у CSP часто есть облачные сервисы, которые поддерживают другие облачные сервисы. Встроенная безопасность (безопасность, которую не могут изменить потребители облака) этих поддерживающих облачных сервисов может обеспечить базовый уровень безопасности для многих облачных сервисов.
• Действительно репрезентативные: оценщики IRAP должны убедиться, что все точки, которые они отбирают, действительно репрезентативны, а не являются надуманным примером, созданным только для целей оценки.
• Различные зоны / механизмы управления: Системы могут эксплуатироваться и управляться в разных зонах безопасности, для разных целей и в соответствии с разными механизмами управления. Специалисты по оценке IRAP должны учитывать эти различия и определять, нужно ли им производить выборку точек данных из этих зон.
• Легкость сбора данных: оценщики IRAP должны спланировать использование инструментов в рамках своей оценки. Снижая стоимость каждой отдельной пробы, это позволяет оценщику более всесторонне собрать доказательства, которые приведут к более точной оценке.
• Подтверждение неожиданных результатов: оценщики IRAP могут обнаружить, что они натолкнулись на результаты, несовместимые с их профессиональным опытом, например, CSP демонстрирует значительное превышение или отставание от критериев оценки по сравнению с другими аналогичными CSP. В таких ситуациях оценщики IRAP должны определить, как взять дополнительный образец / образцы для подтверждения неожиданного результата.

Принципы определения объема работ​

Определение объема оценки безопасности облака - важный шаг, который помогает определить ожидаемые границы авторизации и лимит значительных зависимостей и обязанностей. Он также создает уровни абстракции, которые позволяют индивидуально идентифицировать и описывать системы без необходимости одновременного описания всех других связанных компонентов.

Опыт оценки облачных вычислений показывает, что с самого начала сложно правильно определить объем. Хотя оценщики IRAP и CSP должны определять начальную область действия, ее следует регулярно пересматривать, чтобы гарантировать, что она остается репрезентативной для оценки. В частности, если выявляются существенные зависимости, потенциальные слабые стороны или значительные источники риска, выходящие за пределы первоначального объема, то объем следует скорректировать.

В дополнение к любому конкретному соглашению между CSP и оценщиком IRAP должны применяться следующие общие принципы определения объема работ:

• плоскость управления CSP должна быть в области
• корпоративная сеть CSP может входить в сферу действия в зависимости от методов безопасного администрирования, а также от сегментации и разделения корпоративной сети и облачной инфраструктуры CSP.

Принципы доказательства​

При проведении оценки CSP специалистам по оценке IRAP необходимо собрать и проанализировать достоверные свидетельства, подтверждающие выводы об эффективности средств контроля.

В общих чертах, свидетельства эффективности средств контроля варьируются от слабых свидетельств, таких как утверждение о существовании контроля (например, заявление о политике), до убедительных свидетельств, таких как свидетельства того, что политика регулярно соблюдается, или смоделированные тесты, которые проверяет, работает ли технический контроль, как ожидалось. Более конкретное руководство по доказательствам представлено ниже.

Несмотря на важность широкого охвата контроля безопасности, при выполнении оценок оценщики IRAP должны уделять значительное внимание качеству свидетельств об эффективности контроля, представленных им или предоставленных им по запросу.

Сбор доказательств может занять много времени, и экспертам по оценке IRAP, возможно, придется решать в каждом конкретном случае, в какой момент у них есть достаточные доказательства, чтобы считать меры контроля эффективными. Оценщики IRAP также должны учитывать, какие доказательства можно эффективно собрать. Например, проверка наличия технической конфигурации путем ее просмотра является одновременно более высоким стандартом доказательства и, вероятно, более быстрым и эффективным, чем просмотр документации, чтобы попытаться определить то же самое.

В зависимости от размера оценки экспертам IRAP может потребоваться убедиться, что их команда по оценке обладает достаточными навыками для эффективного сбора, понимания и интерпретации доказательств, которые им необходимо будет изучить в рамках оценки. Для получения дополнительной информации см. Принцип экспертизы ниже.

Качество доказательств​

Специалисты по оценке IRAP обнаружат, что не все типы доказательств охватываются этими примерами, но все же могут использовать их в качестве руководства для определения качества доказательств, подходящих для оценки средств контроля:

• Слабые доказательства: заявление о политике (например, повторение ISM-контроля во внутреннем документе, независимо от количества включенного шаблона).
• Достоверное свидетельство: просмотр копии конфигурации соответствующей системы, чтобы определить, следует ли применять ожидаемую политику.
• Надежное свидетельство: проверка технической конфигурации системы (через системный интерфейс), чтобы определить, следует ли применять ожидаемую политику.
• Превосходное доказательство: тестирование элемента управления с помощью смоделированного действия, предназначенного для подтверждения его наличия и эффективности (например, попытка запустить приложение для проверки управления приложением или попытка доступа к внешнему веб-сайту с использованием привилегированной учетной записи).

Повторное использование доказательств и наследование средств контроля​

Потребители облака и CSP могут стремиться полагаться на другие оценки облака на основе ISM, чтобы унаследовать эффективный контроль от этих оценок. Например, CSP, предлагающий SaaS, может стремиться унаследовать элементы управления от IaaS другого CSP.

Признание наследования средств контроля может быть эффективной стратегией, но необходимо позаботиться о том, чтобы в последующих оценках не использовались средства контроля, которые не обеспечивают охват всего операционного контекста более поздней оценки.

Прежде чем принять наследование элемента управления, оценщики IRAP должны рассмотреть, полностью ли покрывается новый операционный контекст элементом управления, рассмотренным в предыдущей оценке. Например, SaaS CSP не может утверждать, что управление политикой безопасности IaaS CSP было полностью унаследовано - SaaS CSP представит новые риски посредством создания своего программного обеспечения, бизнес-модели и модели данных, которые не будут рассматриваться поставщиком IaaS. когда он выполнил свою оценку. Однако поставщик SaaS может разумно унаследовать элементы управления, связанные с физической защитой оборудования и механизмом изоляции программного обеспечения уровня виртуализации (оба из которых могут быть предоставлены базовым CSP IaaS). Оценщику IRAP в рамках своей оценки необходимо определить, какие средства контроля были унаследованы от основного CSP,

Определите границу авторизации​

Граница авторизации устанавливает объем защиты информационной системы и должна быть четко определена на раннем этапе оценки. Граница авторизации - это то, что CSP соглашается защищать под своим прямым управлением или в рамках своих обязанностей. Сюда входят помещения, люди, процессы, программное обеспечение и системы, которые поддерживают миссию и бизнес-функции CSP.

Все аспекты CSP, его облачной платформы и любых других сред, за которые он отвечает за это соединение с облачной платформой, входят в область действия в начале оценки. Любые среды, которые считаются выходящими за рамки оценки, документируются в отчете и сопровождаются обоснованием со стороны оценщика IRAP, почему они были исключены из оценки.

Объем корпоративной среды CSP​

Корпоративная среда CSP находится в сфере оценки до тех пор, пока не будет продемонстрировано, что корпоративная среда в достаточной степени отделена и сегментирована от облачной инфраструктуры CSP и что CSP выполняет безопасные методы администрирования. Эта оценка помогает определить риск, который корпоративная среда CSP представляет для облачной инфраструктуры CSP. Например, если корпоративная среда CSP скомпрометирована, злоумышленник может использовать это для поворота и получения доступа к облачной инфраструктуре CSP, такой как их плоскость управления.

Оценщик IRAP в рамках своей оценки должен определить, реализовал ли CSP или выполнил цели публикаций ACSC по безопасному администрированию и реализации сетевой сегментации и сегрегации, а также связанных с ними средств управления в ISM. Если оценщик IRAP определяет, что CSP недостаточно снизил риск перехода злоумышленника из своей корпоративной среды в свою облачную инфраструктуру, корпоративная среда должна быть включена в сферу оценки.

Принцип экспертизы оценщика IRAP​

Облачная среда представляет собой сложный стек технологий, в котором могут участвовать несколько сторон, ответственных за сквозное решение. Это создает уникально сложное решение для оценки и требует наличия достаточно квалифицированного и опытного оценщика, такого как оценщик IRAP, для выполнения оценки.

В зависимости от объема оценки может потребоваться более одного человека для адекватного выполнения оценки. В этих случаях оценщики IRAP должны убедиться, что их поддерживает достаточно разнообразная и квалифицированная команда, чтобы помочь с оценкой. CSP и потребители облачных услуг должны узнать о кибербезопасности и технической глубине лица или группы, которые будут проводить оценку в соответствии с этим документом, чтобы убедиться, что у них есть соответствующий опыт для выполнения оценки.

Этапы оценки облака​

Методология оценки для выполнения оценки IRAP для CSP и его облачных сервисов предоставляет набор процедур, предназначенных для обеспечения того, чтобы оценки проводились последовательно, тщательно и в соответствии с руководством в этом документе и ISM.

Эти шаги оценки:

• подтвердить предполагаемую классификацию безопасности данных, которые будут обрабатываться CSP и его облачными службами, т.е. ОФИЦИАЛЬНО или ЗАЩИЩЕННО.
• определить границу авторизации.
• подтвердить цель оценки, т. е. быть оцененным в целях определения реализации CSP или согласования с мерами безопасности, определенными в ISM и других соответствующих политиках безопасности правительства Австралии
• получить представление о CSP, его облачных сервисах и любых третьих лицах, которые входят в область оценки - если какие-либо третьи стороны участвуют в предоставлении облачного решения, например, поставщик SaaS, использующий IaaS другого CSP, имеет третье - сторона была оценена оценщиком IRAP, и если нет, они должны быть
• определить источники информации, местоположения и доказательства, необходимые для завершения оценки
• определить методы оценки и способы проверки информации и доказательств
• определить и задокументировать модель общей ответственности за безопасность для каждой облачной службы в области применения
• определить элементы управления безопасностью ISM, которые входят в область оценки, с помощью матрицы элементов управления безопасностью облака
• определить, какая сторона (CSP, потребитель облака или любые третьи стороны) несет ответственность за внедрение и поддержание эффективности каждого контроля безопасности ISM
• получить доказательства внедрения средств управления ISM и их эффективности. Если CSP реализовал альтернативный элемент управления безопасностью, также укажите, как он соответствует назначению элемента управления безопасностью в ISM.
• задокументировать любые нереализованные или неэффективные меры безопасности ISM и то, как отсутствие этих мер безопасности снижает риск CSP
• давать рекомендации по снижению риска отсутствия средств управления безопасностью ISM, риск которых не был снижен CSP
• документировать оценку с помощью оценки Cloud Security шаблон отчета и управления Cloud Security Matrix.

Этап 1: основы безопасности CSP и оценка облачных сервисов​

На этапе 1 «Основы безопасности CSP и оценка облачных сервисов» подробно описываются процессы оценки CSP и его облачных сервисов оценщиком IRAP. При необходимости потребитель облака или оценщик IRAP может оценить дополнительные, новые или обновленные облачные сервисы на этапе 1b. Этап 1 завершается обзором основ безопасности CSP и отчета об оценке облачных сервисов потребителем облачных вычислений.

Потребитель облачных вычислений определяет, соответствуют ли CSP и его облачные сервисы его потребностям в безопасности и устойчивости к риску, и, если да, утверждает CSP и облачные сервисы и переходит к этапу 2.

Этап 1а: оценка CSP и его облачных сервисов​

На этапе 1a основные принципы безопасности CSP и облачные сервисы в рамках области оцениваются оценщиком IRAP.

Целью оценки основ безопасности CSP является оценка и документирование практик безопасности и состояния самого CSP. Это делается для того, чтобы потребители облака могли определить, работает ли сам CSP безопасно и создает ли безопасные облачные сервисы, и подходит ли он для обработки данных потребителя облака.

Другая часть оценки этапа 1а сосредоточена на облачных сервисах CSP, которые входят в область оценки. Эти облачные сервисы оцениваются по применимым мерам безопасности ISM, поэтому потребители облачных вычислений могут определять риски безопасности при использовании облачных сервисов CSP.

Оценщик IRAP задокументирует результаты, свидетельства и действия по исправлению в шаблоне отчета об оценке безопасности облака . Затем этот отчет будет предоставлен CSP для передачи потребителям облака, которые рассматривают возможность использования его облачных сервисов.

Критерии оценки основ безопасности CSP​

Приведенные ниже критерии относятся к оценке основ безопасности CSP:

• Основы CSP
• управление
  • Управление рисками
  • безопасность персонала
  • Управление изменениями в ИКТ
  • определения типов данных
  • защита данных
  • деинициализация и удаление данных
  • управление рисками цепочки поставок
  • управление уязвимостями
  • реакция на инцидент
  • безопасный жизненный цикл разработки
  • модель поддержки
• административная и вспомогательная среда
  • физическая охрана
  • сегментация и сегрегация сети
  • упрочнение системы
  • безопасное администрирование
• облачная инфраструктура
  • физическая охрана
  • сетевая безопасность
  • оборудование для вывода из эксплуатации
  • охранные операции и мониторинг
  • криптография и управление ключами
  • передача данных
  • управление идентификацией и доступом
  • автоматизация процессов
  • преемственность и доступность.

Критерии оценки облачных сервисов​

Ниже приведены критерии оценки облачных служб, применяемые к каждой облачной службе в рамках оценки. Общие меры безопасности и реализации могут быть повторно использованы, где это применимо:

• описание
• местонахождение облачной службы
• модель совместной ответственности облачной службы
• схема архитектуры облачной службы
  • компоненты и зависимости
  • входящие и исходящие интерфейсы
• защита данных в состоянии покоя
• резервное копирование и восстановление данных
• переносимость данных
• сегментация и сегрегация аренды
• видимость безопасности облачных сервисов
• базовый уровень безопасности
• отклонения от исходного уровня
• обязанности клиента и руководство по внедрению.

Этап 1а: сроки переоценки​

CSP и его облачные сервисы пересматриваются не реже одного раза в 24 месяца. В центре внимания переоценки находятся связанные с безопасностью изменения, произошедшие с CSP и его облачными сервисами с момента последней оценки, а также новые включения, такие как новые облачные сервисы. Любые дополнения, добавленные CSP к его предыдущему отчету об оценке безопасности облака, должны быть независимо проверены при повторной оценке и включены в новый отчет.

Между оценками CSP должны информировать своих клиентов об изменениях в их основах безопасности и облачных сервисах, которые влияют на их базовый уровень безопасности и на системы своих клиентов. Это постоянное раскрытие информации для клиентов CSP в первую очередь должно быть достигнуто путем обновления отчета об оценке безопасности облака дополнениями, как только это будет разумно. Любые новые дополнения, добавленные к отчету, следует сообщать клиентам CSP, которые использовали отчет в рамках своей оценки CSP.

Для тех аспектов CSP и его облачных сервисов, где не было изменений или были только незначительные изменения, которые не повлияли на базовый уровень безопасности CSP, свидетельства, использованные в предыдущих оценках, могут быть повторно использованы для проверки средств контроля. Однако оценщики IRAP должны учитывать возраст предоставленных доказательств и определять, являются ли доказательства достоверными и точными.

Хотя CSP должны оцениваться не реже одного раза в 24 месяца, отчеты об оценке старше 24 месяцев не аннулируются автоматически по истечении этого срока. По мере того, как отчеты стареют, вероятность того, что они будут неточными и недействительными, возрастет. Тем не менее, они могут оставаться актуальными в зависимости от темпов изменения CSP. Потребители облака должны уточнить у CSP достоверность и актуальность отчета, если он не был готов недавно. Из-за быстрого характера изменений в облачных вычислениях вполне вероятно, что системы и облачные сервисы CSP изменились даже в течение короткого периода времени. CSP могут поддерживать потребителей облака, обновляя свои отчеты дополнениями, документируя и детализируя любые изменения в своих системах и облачных сервисах, которые произошли, публикуя исходный отчет.

Между оценками определенные события могут потребовать переоценки, чтобы повторно подтвердить безопасность CSP и его облачных сервисов. Пример этих событий приведен ниже; однако любое событие, которое существенно влияет на безопасность CSP или его облачных сервисов, может потребовать повторной оценки:

• изменения политик безопасности, относящихся к CSP, его облачной платформе или его облачным сервисам
• обнаружение новых или возникающих киберугроз для CSP, его облачной платформы или его облачных сервисов
• обнаружение того, что меры безопасности для CSP, его облачной платформы или любых его облачных сервисов не так эффективны, как предполагалось
• крупный инцидент кибербезопасности, затрагивающий CSP
• изменение права собственности на CSP.
• новые или изменения существующих внесудебных законов, применимых к CSP
• изменение места хранения данных о клиентах
• основные архитектурные изменения CSP, его облачной платформы или облачных сервисов.

Этап 1b: дополнительная, новая и обновленная оценка облачных сервисов​

Оценка фазы 1b требуется только в том случае, если потребитель облачных вычислений хочет использовать облачную службу или службы CSP, а облачная служба или службы ранее не оценивались. Примеры того, почему может потребоваться оценка фазы 1b:

• облачная служба или службы не входили в сферу охвата отчета CSP об оценке безопасности облачных вычислений
• CSP выпустил новую облачную службу или службы после завершения отчета об оценке облачной безопасности
• CSP внес значительные изменения в облачную службу или службы, которые влияют на безопасность, задокументированную в отчете об оценке безопасности облачных вычислений.

Оценки облачных сервисов на этапе 1b могут выполняться оценщиком IRAP или потребителем облачных вычислений. Эти оценки могут выполняться независимо от оценок этапа 1а и между повторными оценками, что устраняет необходимость для потребителей облака ждать повторной оценки этапа 1а и позволяет им быстро использовать облачные сервисы CSP. Оценка фазы 1a должна быть завершена до того, как может произойти оценка фазы 1b, поскольку потребителям облака необходимо просмотреть отчет фазы 1b (называемый дополнительным, новым и обновленным отчетом облачных сервисов) в сочетании с оценкой безопасности облака фазы 1a. отчет.

Эти более мелкие, менее интенсивные и менее трудоемкие оценки предназначены для того, чтобы позволить потребителям облака выполнить свои собственные оценки на этапе 1b. Это достигается за счет использования отчета CSP об оценке безопасности облачных вычислений и оценки только уникальных аспектов облачной службы или служб в рамках оценки. Эта оценка может быть дополнительно сокращена, если оцениваемая облачная служба или службы будут использовать другие облачные службы, которые уже были оценены в отчете об оценке безопасности облачной среды CSP, уменьшая количество уникальных компонентов, которые необходимо оценить.

Хотя этот этап в первую очередь предназначен для того, чтобы позволить потребителям облака проводить более мелкие разовые оценки облачных сервисов, которые они намереваются использовать, этот этап может быть завершен оценщиком IRAP, если потребитель облака не имеет возможности самостоятельно выполнить оценку этапа 1b. .

Чтобы уменьшить количество случаев, когда несколько потребителей облачных вычислений или оценщиков IRAP выполняют оценку одной и той же облачной службы или служб, потребители облачных вычислений должны связаться с CSP, чтобы определить, уже ли другой потребитель облачных вычислений оценил облачную службу или службы, и использовать отчет по этой оценке. вместо того, чтобы выполнять свои собственные.

Эти оценки задокументированы в отчете об оценке безопасности облака, за исключением разделов «Введение» и «Оценка основ безопасности CSP» из отчета.

Этап 1c: просмотр отчета об оценке безопасности облака​

На этапе 1c потребитель облака просматривает отчет об оценке безопасности облака и, при необходимости, дополнительный, новый или обновленный отчет облачных сервисов, и определяет, соответствуют ли CSP и его облачные сервисы требованиям безопасности и устойчивости к рискам потребителя облака. Уполномоченный или представитель потребителя облачных вычислений может одобрить использование CSP и его облачных сервисов от имени потребителя облачных вычислений. Это утверждение может быть оговорено в том, что CSP и его облачные сервисы используются в заранее определенной конфигурации, например, только определенные сервисы или регионы могут использоваться потребителем облака. Эти конкретные конфигурации документируются и являются частью свидетельства утверждения, выданного уполномоченным лицом или его представителем.

Этап 2: оценка и авторизация облачных потребительских систем​

Большинство компромиссов кибербезопасности, связанных с облачными вычислениями, происходит из-за того, что потребители облака не реализуют необходимые средства контроля для тех аспектов облачной среды, за которые они несут ответственность в рамках модели совместной ответственности [20] . Из-за этого потребителям облачных вычислений необходимо убедиться, что они понимают свои обязанности по обеспечению безопасности своих облачных систем, и внедрить необходимые средства управления для снижения риска кибератаки до приемлемого уровня. Чтобы убедиться, что собственные облачные системы потребителя облачных вычислений достигли желаемого базового уровня безопасности, эти системы также необходимо оценить, чтобы получить уверенность в том, что завершенное облачное решение, включая CSP и его облачные сервисы, а также системы потребителя облачных вычислений соответствуют требованиям безопасности и толерантность к риску потребителя облака.

Оценка этапа 2a предоставляет дополнительные рекомендации по оценке и авторизации собственных облачных систем потребителя облака. Эта оценка может выполняться оценщиком IRAP или потребителем облака. Этап 2 завершается проверкой уполномоченным сотрудником облачного клиента или его представителем пакета облачной авторизации, который включает отчет об оценке облачной безопасности CSP и, если применимо, любой дополнительный, новый или обновленный отчет облачных сервисов, а также облачные системы облачного клиента отчет. Офицер, осуществляющий авторизацию, предоставляет полномочия для работы на основе принятия рисков безопасности, связанных с работой всего облачного решения.

Этап 2а: Оценка облачных систем, разработанных потребителями​

Облачные системы, разработанные или настроенные потребителями облачных вычислений, необходимо оценивать, чтобы убедиться, что они соответствуют требованиям безопасности и устойчивости к рискам потребителя облачных вычислений. Эти потребительские облачные системы включают в себя любые системы, разработанные или настроенные потребителем облака, которые используют облачные сервисы CSP, например, размещение веб-сайта или конфигурацию платформы совместной работы на основе SaaS. Важно, чтобы эти системы не снижали базовый уровень безопасности, предоставляемый CSP, и не привносили новые недостатки.

Рекомендации в этом документе, Матрице управления безопасностью облака, ISM и другие соответствующие руководства ACSC должны использоваться при оценке собственных систем потребителя облачных вычислений. В рамках этой оценки потребителям облака необходимо определить, какие элементы управления от CSP и его облачных служб были унаследованы, а какие не были унаследованы. Если средства контроля не были унаследованы, потребителям облака необходимо учитывать риск и определять, требуются ли какие-либо компенсирующие средства контроля. Это позволит потребителям облака выбрать меры безопасности, которые применимы и должны быть реализованы для их облачных систем как часть структуры управления рисками, подробно описанной в этом документе. Затем эти меры безопасности можно оценить на предмет их эффективности, чтобы определить, требуются ли другие меры и соответствуют ли системы потребителя облака их потребностям в безопасности и устойчивости к риску.

Оценка потребительских облачных систем должна проводиться на всех этапах жизненного цикла разработки системы, обеспечивая выявление и устранение любых проблем безопасности на раннем этапе. Обычно облачные системы непрерывно развиваются на протяжении всего жизненного цикла, а не остаются статичными. Таким образом, оценки на определенный момент времени имеют ограниченную ценность, и необходим итеративный подход к оценке и проверке этих систем. Практики Agile и DevSecOps поощряются для разработки и обеспечения безопасности облачных потребительских систем для реализации этого итеративного подхода к разработке и безопасности.

Модель совместной ответственности для каждой облачной службы также должна быть пересмотрена и обновлена по мере необходимости. В зависимости от конфигурации систем потребителя облака это может изменить исходную модель совместной ответственности, задокументированную в отчете об оценке безопасности облака, что приведет к передаче ответственности между CSP и потребителем облака.

Выводы этапа 2а задокументированы в пакете авторизации облака и проверены уполномоченным лицом потребителя облака.

Этап 2b: проверка пакета авторизации в облаке​

Прежде чем облачная среда получит разрешение на работу, уполномоченному должностному лицу или его представителю должна быть предоставлена достаточная информация, чтобы помочь им принять информированное, основанное на оценке риска решение о том, приемлемы ли риски безопасности, связанные с ее работой. Эта информация должна иметь форму пакета авторизации, который включает:

• отчет CSP об оценке облачной безопасности
• любой дополнительный, новый или обновленный отчет по облачным сервисам (при необходимости)
• отчет по облачным системам для потребителей.

Сотрудник по авторизации или его представитель проверяет пакет облачной авторизации и определяет, соответствует ли облачная среда, включающая CSP, его облачные сервисы и системы потребителя облачных вычислений, их требованиям безопасности и не превышает ли их допустимые пределы риска. В некоторых случаях риски безопасности, связанные с работой системы, будут приемлемыми, и ей будет предоставлено разрешение на работу; однако в других случаях риски безопасности, связанные с работой системы, могут быть неприемлемыми. В таких случаях уполномоченный сотрудник может запросить дополнительную работу и, возможно, провести еще одну оценку безопасности. В промежуточный период уполномоченный сотрудник может выбрать разрешение на работу, но с ограничениями, налагаемыми на использование системы.

Наконец, если уполномоченный сотрудник считает риски безопасности неприемлемыми, независимо от любых потенциальных ограничений на использование системы, он может отказать в разрешении на работу до тех пор, пока не будут выполнены достаточные меры по исправлению положения, если это возможно, в соответствии с приемлемым стандартом.

Все фазы: постоянный мониторинг и гарантия​

Непрерывный мониторинг и гарантия обеспечивают постоянную осведомленность о меняющихся рисках информационной безопасности, уязвимостях, угрозах, средствах управления безопасностью и инцидентах, чтобы гарантировать состояние безопасности системы. Это ответственность, разделяемая CSP и потребителем облака.

Постоянная осведомленность о возникающих рисках кибербезопасности, уязвимостях, угрозах, средствах управления безопасностью и инцидентах в сочетании с выполнением текущих оценок безопасности этих изменений определяет, будет ли набор развернутых средств управления безопасностью в облачной системе оставаться эффективным с течением времени. Постоянная оценка мер безопасности приводит к большему контролю за состоянием безопасности системы и позволяет своевременно принимать обоснованные решения по управлению рисками.

Действия по поддержке непрерывного мониторинга среды угроз, рисков безопасности и мер безопасности, связанных с системой, будут отличаться от системы к системе, но важно учитывать зависимости системы, включая программное обеспечение и другие облачные службы.

Время от времени ACSC будет выпускать публикации и рекомендации, чтобы помочь CSP и потребителям облачных вычислений выявлять и снижать риски безопасности. Хотя от CSP и потребителей облака не требуется немедленного соответствия каждому обновлению ISM, рекомендуется своевременная обработка изменений ISM, чтобы помочь в постоянной идентификации рисков. Рекомендации по безопасности ACSC выпускаются в ответ на текущие и активные угрозы, о которых ему известно. Эти рекомендации обычно более чувствительны ко времени, и пострадавшим организациям рекомендуется своевременно изучить и выполнить рекомендации.

Меры по упреждающему мониторингу и управлению уязвимостями безопасности в системах могут предоставить поставщикам услуг связи и потребителям облачных сервисов огромное количество ценной информации об их подверженности киберугрозам, а также помочь им определить риски безопасности, связанные с работой их систем. Преднамеренные изменения между различными выпусками или текущими улучшениями также следует учитывать с точки зрения их влияния на риски безопасности системы.

Партнерская программа ACSC может также предоставить дополнительные преимущества, которые могут дополнить существующие возможности анализа угроз и ситуационной осведомленности.

Системы CSP​

CSP отвечает за мониторинг и обеспечение безопасности своих систем и соответствующего оборудования, программного обеспечения и оборудования. Информация, связанная с безопасностью, собранная посредством непрерывного мониторинга, когда она актуальна для потребителей облака, может быть включена в дополнения к отчету об оценке безопасности облака CSP и использована для выпуска рекомендаций по безопасности CSP, если это необходимо.

Кроме того, CSP находятся в уникальном положении для проактивного выполнения автоматизированных действий по выявлению и сообщению о возможных неправильных конфигурациях потребителей облачных вычислений, которые не соответствуют лучшим практикам безопасности. Поставщики услуг связи имеют некоторую видимость для всех своих потребителей облака (включая доступ, которого нет у потребителей облака), они лучше всех осведомлены о своих платформах и лучше всего могут предоставить эту уникальную информацию. Лучшие практики безопасности могут включать как общие передовые практики CSP, так и передовые методы согласования с ISM на облачной платформе CSP. CSP рекомендуется предоставлять потребителям облачных услуг руководство по настройке, чтобы помочь им разработать безопасные системы для своих облачных сервисов.

CSP могут также пожелать предоставить вариант конфигурации, который упреждающе предотвращает развертывание ресурсов в соответствии с лучшими практиками безопасности, обеспечивая безопасность по умолчанию.

Облачные потребительские системы​

Важное значение имеет поддержание надзора за рисками, связанными с использованием CSP и его облачных сервисов, поскольку CSP и их облачные сервисы находятся в постоянном состоянии изменений, а связанные с ними риски быстро развиваются. Потребители облака должны разработать план непрерывного мониторинга и обеспечения гарантий, который включает подробное описание того, как они будут отслеживать CSP и его облачные сервисы, чтобы выявлять и реагировать на любые изменения, которые могут повлиять на системы и данные потребителя облака. Это должно включать обработку рекомендаций по безопасности CSP и то, как они связаны с текущими процессами авторизации. Как правило, это интегрировано с их процессами авторизации, управляемыми по времени и событиями, чтобы поддерживать постоянную авторизацию,

Потребители облака должны постоянно контролировать свои собственные системы и данные, размещенные в облаке. Часто провайдеры облачных сервисов имеют ограниченную видимость использования клиентом их облачной платформы, и это не включает контекст систем потребителя облака, варианты использования и данные. Следовательно, CSP могут иметь только ограниченные обязанности по мониторингу систем и данных потребителя облака на предмет любых угроз кибербезопасности. Поэтому для потребителей облачных сред важно разрабатывать и поддерживать свои собственные процессы реагирования на инциденты и мониторинга своих облачных систем в рамках своих более широких обязанностей по обеспечению безопасности. Некоторые CSP предоставляют облачную службу, которая помогает потребителям облачных вычислений контролировать свои собственные системы и данные. потребители облака должны изучить функции безопасности служб CSP, а также возможные альтернативные решения,

Ведение отчета об основах безопасности CSP и облачных сервисах​

Оценщик IRAP предоставляет окончательный отчет об оценке безопасности облака поставщику услуг связи, который отвечает за поддержание точности и актуальности отчета в периоды между независимыми оценками, добавляя дополнения к отчету. Дополнения CSP:

• представляют собой отдельные документы с самооценкой, которые никоим образом не изменяют содержание независимого отчета об оценке безопасности облака в целях сохранения аутентичности
• информированы о непрерывном мониторинге и деятельности CSP
• подробно описывать любые изменения, отклонения, исправления и пояснения, необходимые для поддержания точности и актуальности отчета, включая Матрицу средств контроля безопасности облака
• подробно описывать любые изменения, приводящие к улучшениям или недостаткам / слабостям
• поддерживать структуру текущей версии
• выступать в качестве триггера для рекомендаций по безопасности потребителей.

Хотя дополнения изначально не будут подвергаться независимой проверке, они не позволят отчету стать неточным или недействительным по мере развития CSP и его облачных сервисов с течением времени. Любая информация, содержащаяся в дополнении, подлежит независимой проверке при следующей независимой оценке CSP и его облачной службы. Кроме того, провайдерам CSP рекомендуется выпустить дополнения, касающиеся любых существенных изменений в шаблоне отчета об оценке безопасности облака, опубликованном ACSC.

CSP с предыдущими оценками IRAP, выпущенными до того, как был доступен шаблон отчета об основах безопасности CSP и об оценке безопасности облачных вычислений, могут внести в отчет приложение самооценки, используя структуру нового шаблона, чтобы обеспечить переход и более точное согласование с обновленным процессом. Отмечая, что потребители облака должны учитывать возраст отчета.

Рекомендации по безопасности CSP​

CSP должны предоставлять механизм для информирования потребителей облака о применимых событиях безопасности, которые могут повлиять на безопасность и риски собственных систем и данных потребителя облака. В идеале этот механизм должен включать программный интерфейс, чтобы обеспечить автоматизацию и интеграцию с существующей системой управления информацией и событиями безопасности (SIEM) потребителя облака или системами процессов. Это может включать в себя слабые места или положительные последствия, например выпуск новой функции безопасности, которая обеспечивает дополнительную защиту облачных систем потребителя облака.

Как минимум, применимые события безопасности должны включать:

• публикация любых дополнений к отчету об основах безопасности CSP и облачных сервисах
• запланированные изменения, которые существенно повлияют на состояние безопасности системы, включая изменения цепочки поставок
• обнаружение того, что меры безопасности для CSP, его облачной платформы или любых его облачных сервисов не так эффективны, как предполагалось
• инциденты безопасности или обнаруженные уязвимости, которые либо влияют на потребителя облака, либо нельзя исключить как влияющие на клиента. Это включает выявление неправильных конфигураций, утечек данных, вторжений в кибербезопасность и доступа к данным клиентов со стороны CSP;
• решения о задержке или отказе от внесения изменений, в том числе из обновлений вышестоящих поставщиков или рекомендаций по безопасности
• любое событие, которое существенно влияет на безопасность CSP или его облачных сервисов, которое в противном случае может вызвать повторную оценку.

Рекомендации по безопасности должны включать (при необходимости):

• анализ воздействия на безопасность, охватывающий:
  • конкретные слабые места или недостатки в развернутых средствах контроля безопасности и источник выявленных слабых мест
  • серьезность выявленных недостатков или недостатков контроля безопасности
  • объем или затронутые активы слабости в компонентах в среде
  • предлагаемый подход к снижению риска для устранения выявленных слабых сторон или недостатков в реализации мер безопасности (например, приоритизация действий по снижению риска и распределение ресурсов по снижению риска).
• любые связанные основы безопасности CSP и дополнения к отчету об облачных сервисах.

Постоянное раскрытие информации потребителям облачных вычислений позволит им принимать своевременные решения с учетом рисков в отношении работы своих систем и защиты данных, а также эффективно выявлять и реагировать на любые риски, которые считаются неприемлемыми.

Положения договора о непрерывном раскрытии информации​

Потребители облака в рамках своего контракта с CSP должны предусмотреть требование к CSP о постоянном раскрытии любых применимых событий безопасности с помощью рекомендаций для своих потребителей облака.