17 kwi 2020

CHMURA CENTRUM PRZETWARZANIA DANYCH | Część II – ZALECENIA WYNIKAJĄCE Z KOMUNIKATU UKNF

chmura

W tym artykule kontynuujemy omówienie definicji formalnych wymogów dotyczących przygotowania i eksploatowania środowiska chmury obliczeniowej.

Poprzednio przedstawiliśmy wymogi Rekomendacji D, a dziś pora na wytyczne dla Banków zawarte w komunikacie UKNF ze stycznia 2020. Przypomnijmy tylko, że ten Komunikat zastępuje wcześniejsze zalecenia Urzędu dotyczące omawianego zagadnienia.

 

CZĘŚĆ II

ZALECENIA WYNIKAJĄCE Z KOMUNIKATU UKNF

 

1. Wytyczne stosowania

 

Nadrzędnym zadaniem Banku podczas przetwarzania informacji w chmurze

obliczeniowej jest zapewnienie bezpieczeństwa przetwarzanych informacji

oraz zgodności z prawem sposobu i zakresu tego przetwarzania.

 

Stosowanie komunikatu UKNF powinno odbywać się z poszanowaniem zasady proporcjonalności, ale zasada proporcjonalności nie powinna być interpretowana jako przyzwolenie na zastosowanie przez mniejsze podmioty nadzorowane mniej efektywnych zabezpieczeń przetwarzanych informacji.

Zasada proporcjonalności powinna znaleźć swoją konkretyzację na etapie szacowania ryzyka związanego z planowaniem czynności przetwarzania oraz adekwatnością stosowanych zabezpieczeń przetwarzanych informacji. Wymagania przedstawione w dokumencie powinny być stosowane przed rozpoczęciem przetwarzania informacji w chmurze obliczeniowej.

2. Wytyczne do klasyfikacji i oceny informacji

Komunikat UKNF precyzuje

  • jaką klasyfikację powinien prowadzić Bank
  • co powinna uwzględniać ocena informacji
  • co należy brać pod uwagę w procesie klasyfikacji i oceny informacji
  • w jakich przypadkach klasyfikacja i ocena powinny zostać przeprowadzone ponownie
  • przypomina o konieczności regularnej weryfikacji stosowanej klasyfikacji i oceny informacji pod kątem bieżących warunków działania

3. Wytyczne do szacowania ryzyka.

Bank powinien prowadzić szacowanie ryzyka w udokumentowanym procesie. Szacowanie odbywa się w sposób ciągły, z uwzględnieniem praktycznej implementacji zasady PDCA (plan-do-check-act).

Wśród czynników, jakie należy uwzględniać w szacowaniu ryzyka, Komunikat UKNF wymienia m.in.:

  • ogólne zagrożenia dla stosowania chmury obliczeniowej (rozproszenie geograficzne przetwarzanych informacji, możliwość utraty zgodności postępowania podmiotu nadzorowanego z przepisami prawa, dostęp do przetwarzanych informacji przez pracowników i współpracowników itd.)
  • specyficzne zagrożenia dla stosowanych konkretnych (nazwanych) usług chmury obliczeniowej (możliwości korzystania z usług w sposób niezgodny z intencjami podmiotu nadzorowanego lub w środowisku, które nie podlega kontroli podmiotu nadzorowanego, możliwości jednostronnej zmiany warunków technicznych korzystania z usługi, stosowanie domyślnych lub publicznie dostępnych parametrów konfiguracyjnych usług, bez ich należytej weryfikacji i oceny adekwatności dla potrzeb podmiotu nadzorowanego)
  • specyficzne zagrożenia związane z zasobami podmiotu nadzorowanego
  • wartość przetwarzanych informacji dla podmiotu nadzorowanego oraz skutki bezpośrednie i pośrednie utraty kontroli nad ich przetwarzaniem
  • kwestie związane z szyfrowaniem informacji

Wśród elementów, jakie Bank powinien uwzględniać, UKNF wymienia także możliwość korzystania ze zweryfikowanych źródeł informacji o zagrożeniach specyficznych dla stosowania usług chmurowych, korzystania z pomocy zewnętrznej w zakresie wsparcia kwestii cyberbezpieczeństwa w przypadku braku posiadania własnych zasobów ludzkich, przeanalizowania dostępnych wyników audytów zewnętrznych dostawców usług chmury obliczeniowej, uprzedniego testowania usług chmury obliczeniowej – także przy wykorzystaniu scenariuszy warunków skrajnych (tak w zakresie sposobu działania usługi, jak i jej konfiguracji).

W zarządzaniu ryzykiem Bank powinien zwrócić uwagę na:

  • wymagania prawne i postanowienia umowne
  • stopień złożoności organizacyjnej, podział uprawnień i odpowiedzialności
  • efektywność stosowanych mechanizmów kontrolnych i monitorujących
  • kompetencje techniczne i zdolności organizacyjne Banku
  • zdolność Banku i zgodność z przepisami prawa do transferowania zidentyfikowanego ryzyka lub akceptacji oszacowanego poziomu ryzyka

Wyniki szacowania ryzyka powinny zostać formalnie zatwierdzone oraz okresowo (nie rzadziej niż raz w roku) weryfikowane i aktualizowane, dając podstawę do twierdzenia, że świadczenie usługi chmury obliczeniowej będzie realizowane zgodnie z wymaganiami prawa obowiązującymi podmiot nadzorowany, regulacjami zewnętrznymi i wewnętrznymi oraz przyjętymi przez podmiot nadzorowany standardami.

4. Minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej

 

Środki techniczne i zasoby organizacyjne służące bezpieczeństwu

przetwarzanych informacji powinny wynikać z przeprowadzonego

procesu szacowania ryzyka.

 

Bank powinien zapewniać w udokumentowanym procesie odpowiednie kompetencje dla planowanych lub prowadzonych działań przetwarzania informacji w środowisku chmury obliczeniowej, pracowników lub współpracowników podmiotu nadzorowanego odpowiedzialnych za bezpieczeństwo i planowanie, konfigurację i zarządzanie, a także monitoring usług chmury obliczeniowej (potwierdzając je odpowiednią dokumentacją szkoleniową lub imiennymi zaświadczeniami w zakresie odpowiednim do używanych usług chmury obliczeniowej).

Zgodnie z wcześniej opisanymi zaleceniami Rekomendacji D, komunikat UKNF uzupełnia i uszczegóławia kwestie dotyczące umowy z dostawcą usługi chmury obliczeniowej wskazując dodatkowe informacje, które powinny zostać uwzględnione w tym dokumencie.

Komunikat dokładnie opisuje, jakie informacje powinien zawierać plan przetwarzania informacji w chmurze obliczeniowej, który na podstawie oceny wyników szacowania ryzyka opracowuje Bank, zwracając również uwagę na konieczność poprzedzenia uruchomienia produkcyjnego okresem testowym, konieczność posiadania planu wycofania z usługi oraz uwzględnienie w planach ciągłości działania możliwości utraty kontroli nad przetwarzanymi informacjami u danego dostawcy usługi, czy przerwania ciągłości samej usługi.

W dalszej części komunikatu znajdziemy wymagania dla dostawców usług chmury obliczeniowej, czyli wykaz norm i zaleceń, jakie obecnie definiują ważne dla tego zagadnienia standardy.

Dostawca usług chmury obliczeniowej musi zapewnić w swoim postępowaniu udokumentowaną zasadę ochrony przetwarzanych przez Bank informacji przed nieautoryzowanym dostępem lub użyciem przez swoich pracowników  bądź poddostawców poprzez realizację zasad takich, jak:

a) domyślną zasadę braku dostępu do przetwarzanych informacji Banku

b) domyślną zasadę braku konta administracyjnego lub użytkownika na maszynach wirtualnych Banku lub w innych uruchamianych usługach chmury obliczeniowej

c) zasadę „minimum koniecznego” dla uprawnień serwisowych nadawanych wyłącznie w sytuacji konieczności wykonania czynności wymaganych przez Bank (w tym również usunięcia usterek) oraz na czas ich trwania, przy czym realizacja czynności poprzedzona jest zleceniem podmiotu nadzorowanego, a cały proces obsługi i wykonania czynności jest logowany

d) udostępnienie wytycznych, wzorcowych konfiguracji, opisów zasad, itp., które w jednoznaczny sposób definiują separację przetwarzania oraz wskazują na metody weryfikacji poprawności konfiguracji

e) domyślne uruchamianie nowego środowiska (lub usługi chmury obliczeniowej) separowanego od innych, z ustawieniami „secure-by-default”

Komunikat UKNF wymienia także konieczne dla zapewnienia bezpieczeństwa informacji w chmurze obliczeniowej warunki szyfrowania, wskazując sposoby zarządzania nimi i nadzoru.

Kolejny punkt Komunikatu zawiera informacje dotyczące monitorowania środowiska przetwarzania informacji w usługach chmury obliczeniowej. Znajdziemy tu wymogi dokumentowania zasad zbierania logów, zabezpieczania ich, przeglądania przez uprawniony personel oraz zasad zarządzania dostawcami usług posiadającymi dostęp zdalny.

Ostatni punkt tej części komunikatu zawiera informacje o zasadności i sposobie tworzenia dokumentacji działań Banku.

 

5. Zasady informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej

Zgodnie z treścią Komunikatu, w przypadkach outsourcingu szczególnego chmury obliczeniowej lub przetwarzania informacji prawnie chronionej, Bank w terminie 14 dni przed rozpoczęciem przetwarzania informacji w chmurze obliczeniowej (a w przypadku, gdy przetwarzanie to już jest realizowane – nie później niż 1 sierpnia 2020) informuje UKNF o:

  • rodzaju i zakresie informacji planowanych do przetwarzania/ przetwarzanych w chmurze obliczeniowej
  • nazwie dostawcy usług chmury obliczeniowej oraz rodzaju planowanych do używania/ używanych usług chmury obliczeniowej
  • dacie podpisania umowy z dostawcą usług chmury obliczeniowej oraz terminach jej obowiązywania, a w przypadku, gdy umowa nie jest jeszcze zawarta – przewidywaną datę jej zawarcia
  • lokalizacji (kraj, region albo inne równoważne) centrum przetwarzania danych (CPD) świadczącym usługę chmury obliczeniowej
  • spełnieniu wymagań opisanych w niniejszym komunikacie
  • osobach lub stanowiskach do kontaktu w sprawie stosowania chmury obliczeniowej w podmiocie nadzorowanym

Informacja ta powinna zostać podpisana przez uprawnionego przedstawiciela podmiotu nadzorowanego oraz dostarczona do UKNF przy wykorzystaniu formularza, który można pobrać ze strony KNF. Stanowi on załącznik nr 1 do Komunikatu.

 

O chmurze obliczeniowej piszemy na naszym blogu, zapraszamy do lektury:

CHMURA CENTRUM PRZETWARZANIA DANYCH | Część I – PODSTAWY PRAWNE, ZALECENIA KNF i REKOMENDACJA D

CHMURA CENTRUM PRZETWARZANIA DANYCH | Część III - JAKIE ROZWIĄZANIE WYBRAĆ?

CHMURA CENTRUM PRZETWARZANIA DANYCH | CZĘŚĆ IV – RODO w Chmurze

 

Zapraszamy do śledzenia wpisów na naszym blogu, gdzie można przeczytać wiele cennych informacji: https://premiumbank.zadbajobezpieczenstwo.pl/blog/

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Servus Comp Data Security, Świętokrzyska 12/403,  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

Dodaj komentarz