top of page
Szukaj

Dlaczego ISO 27017 zmienia podejście do zabezpieczeń w chmurze?

  • Zdjęcie autora: The SOC 2
    The SOC 2
  • 4 cze
  • 3 minut(y) czytania
Dlaczego ISO 27017 zmienia podejście do zabezpieczeń w chmurze?
Dlaczego ISO 27017 zmienia podejście do zabezpieczeń w chmurze?

Postępująca cyfryzacja biznesu sprawia, że firmy coraz częściej wykorzystują rozwiązania chmurowe. Mimo ewidentnych korzyści płynących z takich rozwiązań, wiele organizacji wciąż obawia się o bezpieczeństwo swoich danych. Standard ISO 27017 odpowiada na te obawy, wprowadzając fundamentalne zmiany w podejściu do bezpieczeństwa środowisk chmurowych.


Istota standardu ISO 27017


ISO/IEC 27017 to międzynarodowy standard bezpieczeństwa opracowany specjalnie z myślą o ochronie infrastruktury chmurowej. Stanowi on rozszerzenie powszechnie stosowanych standardów ISO 27001 i ISO 27002 dla organizacji posiadających system zarządzania bezpieczeństwem informacji (ISMS).


Standard ten, który pojawił się na rynku w 2015 roku (z planowaną aktualizacją w 2025 roku (obecnie w trakcie procesu tworzenia, jako ISO/IEC DIS 27017)), wprowadza konkretne wytyczne zarówno dla użytkowników usług chmurowych, jak i ich dostawców. Opisuje metodologię koordynacji zarządzania bezpieczeństwem sieci w środowiskach fizycznych, wirtualnych i chmurowych, co ma kluczowe znaczenie przy obecnej różnorodności infrastruktur IT.


Nowy model współodpowiedzialności


Najbardziej przełomowym aspektem ISO 27017 jest wprowadzenie koncepcji współdzielonej odpowiedzialności. Problem zabezpieczeń w chmurze często wynika z niejasności dotyczącej tego, kto faktycznie odpowiada za ochronę przechowywanych informacji.


ISO 27017 rozwiązuje tę kwestię poprzez precyzyjne określenie, że zarówno użytkownik, jak i dostawca usług chmurowych powinni dzielić odpowiedzialność za bezpieczeństwo danych. Podczas gdy klient wdraża procedury i kontrole bezpieczeństwa informacji, dostawca zapewnia ochronę danych przechowywanych w chmurze przed naruszeniami.


Takie podejście skutkuje aktywnym zaangażowaniem obu stron w proces zabezpieczania danych, co znacząco podnosi ogólny poziom bezpieczeństwa i eliminuje tzw. "szarą strefę" odpowiedzialności.


Specjalistyczne kontrole dla środowiska chmurowego


Standard ISO 27017 wprowadza siedem dodatkowych kontroli zaprojektowanych specjalnie dla usług chmurowych, wykraczających poza tradycyjne zabezpieczenia:


  1. Współdzielone role i odpowiedzialności w środowisku chmurowym

  2. Procedury usuwania i zwrotu zasobów klienta po zakończeniu umowy

  3. Segregacja w wirtualnych środowiskach obliczeniowych

  4. Utwardzanie maszyn wirtualnych zgodnie z potrzebami organizacyjnymi

  5. Bezpieczeństwo operacyjne Systematyczne monitorowanie usług chmurowych

  6. Dostosowanie zarządzania bezpieczeństwem dla sieci wirtualnych i fizycznych


Te specjalistyczne kontrole stanowią odpowiedź na unikalne wyzwania bezpieczeństwa występujące w środowiskach chmurowych, których nie uwzględniają tradycyjne standardy bezpieczeństwa. Dzięki nim organizacje zyskują kompleksowe ramy zarządzania ryzykiem specyficznym dla usług chmurowych, co było niemożliwe przy zastosowaniu wyłącznie ogólnych standardów bezpieczeństwa.


Uporządkowanie komunikacji i relacji biznesowych


Kolejną zaletą ISO 27017 jest standaryzacja interakcji między użytkownikami a dostawcami usług chmurowych, co znacząco usprawnia zarządzanie relacjami biznesowymi. Standard określa przejrzyste ramy i oczekiwania dotyczące bezpieczeństwa, eliminując nieporozumienia i potencjalne luki w zabezpieczeniach.


Dzięki temu organizacje mogą skuteczniej oceniać potencjalnych dostawców usług chmurowych oraz wybierać partnerów odpowiadających ich specyficznym wymaganiom. Jednocześnie minimalizują ryzyko związane z naruszeniami danych i zwiększają zaufanie klientów poprzez demonstrowanie zaangażowania w praktyki bezpieczeństwa informacji. Ten aspekt standardu nabiera szczególnego znaczenia w kontekście rosnącego znaczenia łańcuchów dostaw IT i związanych z nimi zagrożeń bezpieczeństwa.


Wsparcie zgodności z przepisami


Rosnąca liczba regulacji, takich jak RODO i UK DPA 2018 (UK Data Protection Act), wymaga od organizacji wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających przetwarzane dane osobowe. ISO 27017 wspomaga firmy w wykazaniu zgodności z tymi wymogami w kontekście usług chmurowych.


Co więcej, dla dostawców usług chmurowych zatrudniających ponad 50 pracowników i osiągających roczny obrót przekraczający 10 milionów euro, obligatoryjna staje się zgodność z przepisami NIS (Regulacji dotyczącej bezpieczeństwa systemów sieci i informacji) z 2018 roku. ISO 27017 stanowi praktyczną podstawę do spełnienia tych wymagań, oferując konkretne wytyczne tam, gdzie same przepisy pozostają ogólnikowe.


Znaczenie procesu certyfikacji


Proces certyfikacji składa się z siedmiu kluczowych etapów:


  1. Określenie celów firmy

  2. Przygotowanie dokumentacji

  3. Planowanie projektu i audyt wstępny

  4. Wdrożenie i szkolenie

  5. Certyfikacja

  6. Ocena systemu

  7. Audyty nadzoru i recertyfikacja


Certyfikat zgodności z ISO 27017 zachowuje ważność przez maksymalnie trzy lata, po czym wymagana jest recertyfikacja. Ta cykliczność gwarantuje, że organizacje nieustannie dostosowują swoje praktyki bezpieczeństwa do zmieniającego się krajobrazu zagrożeń i technologii, co jest niezbędne wobec dynamicznego charakteru cyberbezpieczeństwa.


Perspektywy zabezpieczeń chmurowych


ISO 27017 stopniowo staje się standardowym wymaganiem w projektach o dużej skali oraz inicjatywach rządowych. Ponieważ organizacje te współpracują wyłącznie z firmami konsekwentnie zaangażowanymi w redukcję ryzyka, zgodność z ISO 27017 przekształca się w istotny czynnik konkurencyjności.


Wobec rosnącej złożoności łańcuchów dostaw IT oraz pogłębiających się powiązań technologicznych i ekonomicznych, ISO 27017 zapewnia solidne podstawy do zarządzania bezpieczeństwem w coraz bardziej skomplikowanym ekosystemie chmurowym. Organizacje wdrażające ten standard zyskują przewagę nie tylko w zakresie bezpieczeństwa, ale również zaufania klientów i partnerów biznesowych.


Podsumowanie


ISO 27017 fundamentalnie zmienia podejście do zabezpieczeń w chmurze poprzez wprowadzenie jasnego podziału odpowiedzialności, specjalistycznych kontroli oraz standaryzacji komunikacji między dostawcami a użytkownikami.


Wobec rosnącej częstotliwości i kosztów naruszeń danych, standard ten umożliwia organizacjom efektywne zarządzanie ryzykiem, demonstrowanie zaangażowania w bezpieczeństwo informacji oraz budowanie zaufania klientów. Dla firm korzystających z usług chmurowych lub oferujących je swoim klientom, wdrożenie ISO 27017 stanowi nie tylko kwestię zgodności, ale strategiczny krok w kierunku zwiększenia bezpieczeństwa i przewagi konkurencyjnej.


 
 
 

Comments

Kontakt

e-mail: kontakt@itgrc.pl
tel. +48 604 559 818

BW Advisory sp. z o.o.

ul.  Boczańska 25

03-156 Warszawa 

NIP: 5252818352

Polityka prywatności

  • Facebook
  • Twitter
  • LinkedIn
  • Instagram
bottom of page