- Niewiele jest publikacji odnoszących się do ryzyka usług przetwarzania chmurowego – cloud computing. Dlatego warto odnotować kolejną publikację Związku Banków Polskich. Może ona być przydatna również dla podmiotów spoza sektora usług finansowych.
23 stycznia 2020 roku Urząd Komisji Nadzoru Finansowego opublikował Komunikat „dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej”. Niestety, Komunikat ów był na tyle niejasny, że od daty jego publikacji na stronie UKNF pojawiały się odpowiedzi na liczne pytania dotyczące jego zakresu i stosowania.
Kilka dni temu Związek Banków Polskich (ZBP) opublikował „Standard PolishCloud 2.0. Standard wdrożenia usługi chmury obliczeniowej publicznej lub hybrydowej”. Dokument jest obszerny, liczy bowiem aż 195 stron. Poprzednia wersja Standardu została opublikowana w marcu roku 2020 – tuż przed opublikowaniem przez UKNF swojego Komunikatu.
Standard został przygotowany z myślą o instytucjach bankowych ale sądzimy, że może okazać się przydatny dla podmiotów spoza sektora finansowego, korzystających lub zamierzających korzystać z technologii chmurowych. Jest to również interesujący dokument dla podmiotów już świadczących tego rodzaju usługi jak i tych, które dopiero planują ich świadczenie.
W Standardzie można znaleźć wiele przydatnych wskazówek dotyczących usług przetwarzania chmurowego, między innymi:
– zestawienie wymagań względem dostawców tych usług
– opis etapów (faz) projektu wdrożenia usługi przetwarzania chmurowego
Nas zainteresowały zapisy dotyczące zarządzania ryzykiem usług przetwarzania chmurowego.
Zapisy te zostały ujęte w punkcie VI Standardu: „Wytyczne do szacowania ryzyka”, analogicznie jak w Komunikacie UKNF.
Osoby znające treść Komunikatu UKNF od razu zauważą, że „Wytyczne do szacowania ryzyka” wskazane w Standardzie zostały przedstawione w brzmieniu identycznym jak je zapisano w Komunikacie UKNF. Tutaj Standard niczego nowego nie wnosi. Niemniej zapisy pochodzące z Komunikatu UKNF uzupełniono o:
a) „Opis wymagań” – zawierający również interpretacje niektórych zapisów Komunikatu UKNF
b) listę wymaganych dokumentów, które bank winien opracować w odniesieniu do zarządzania ryzykiem korzystania z technologii chmurowych.
Ponadto, w Standardzie zawarto:
a) Listę tzw. „wyzwań”, czyli przykładowych zagrożeń i podatności – podzielonych na 4 kategorie:
– zagrożenia i podatności w zakresie środowiska
– zagrożenia i podatności o charakterze fizycznym
– zagrożenia i podatności dotyczące „wsparcia”
– zagrożenia i podatności techniczne
b) Przykład szablonu szacowania ryzyka – dokumentu na kształt rejestru ryzyka usługi przetwarzania chmurowego
Trzeba mieć świadomość, że publikacja (PolishCloud 2.0) nie opisuje kompletnej metody identyfikacji, analizy i oceny ryzyka. Odwołuje się – podobnie jak Komunikat – do standardu ISO 27005:
Podmiot nadzorowany prowadzi w udokumentowanym procesie kompleksowe szacowanie ryzyka (identyfikację, analizę oraz ocenę zagrożeń, możliwość ich wystąpienia oraz wpływ tego wystąpienia na podmiot nadzorowany), zgodnie z wymaganiami aktualnego wydania normy PN-ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji) lub jej odpowiednika w europejskim systemie normalizacji, lub na bazie innego, usystematyzowanego podejścia. Szacowanie ryzyka jest prowadzone w sposób ciągły, z uwzględnieniem praktycznej implementacji zasady PDCA („plan – do – check – act”).
Aktualna wersja ISO/IEC 27005 (Information technology – Security techniques – Information security risk management) pochodzi z roku 2018. W tej chwili trwają prace nad kolejną wersją – spodziewamy się, że zostanie opublikowana pod koniec tego roku.
Przy czym w Komunikacie UKNF dodano przypis – który w Standardzie został pominięty – wskazujący na inne podejścia do szacowania ryzyka (poza ISO 27005):
Szacowanie ryzyka może być oparte o udokumentowaną i właściwie wdrożoną metodę, uwzględniając standard, normę lub inne wyspecyfikowane podejście, np. model National Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 Rev. 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.
Pominięcie tego przypisu w Standardzie nie uznajemy za błąd, ale warto by było jednak wskazać inne – niż PN ISO 27005 – podejście do zarządzania ryzykiem, w tym jego szacowania. Trzeba bowiem pamiętać, że PKN przyjmuje dokumenty ISO/IEC do polskiego zestawu norm z pewnym opóźnieniem.
Osobom szczególnie zainteresowanym zagadnieniami rozpoznania i oceny ryzyka usług chmurowych chcemy zwrócić uwagę na raport ENISA (European Network and Information Security Agency) z roku 2009 zatytułowany: “Cloud computing. Benefits, risks and recommendations for information security”. Publikacja ta, mimo upływu lat, nic nie straciła na swojej aktualności. Powinna „leżeć na stole” obok standardu ISO/IEC 27005.
Dokument – Standard PolishCloud 2.0 – można pobrać bezpłatnie ze strony internetowej Związku Banków Polskich.
