Австралийский центр кибербезопасности выпустил новое руководство, которое поможет агентствам оценить риск, связанный с облачными сервисами, поскольку правительство переходит от централизованно контролируемой модели безопасности к самооценке.
Новое руководство, опубликованное в понедельник, обеспечивает основу для агентств, а также оценщиков Программы зарегистрированных оценщиков информационной безопасности (IRAP), чтобы проверить пригодность поставщиков облачных услуг и их услуг.
Он был разработан ACSC и Агентством цифровой трансформации в консультации с несколькими агентствами и отраслевыми отраслями в течение последних нескольких месяцев.
Это руководство заполняет дыру, оставшуюся после закрытия программы сертификации облачных сервисов (CSCP) и связанного с ней списка сертифицированных облачных сервисов (CCSL), вышедшего из ACSC.
CSCP был закрыт в начале этого года, чтобы устранить узкие места и путаницу вокруг аккредитации облачных сервисов, хотя CCSL официально закончился только в понедельник.
Это изменение означает, что ASD больше не является единственным государственным центром сертификации облачных сервисов и что агентства должны проводить свои собственные оценки рисков.
Поставщики облачных услуг, ранее оценивавшиеся как несекретные или защищенные уровни в рамках CCSP, теперь точно так же вернулись к исходной точке и должны быть снова оценены для использования агентствами.
В соответствии с новой структурой агентства смогут проводить анализ рисков с использованием оценки IRAP конкретного облачного сервиса, чтобы понять его пригодность для обработки или хранения конкретных наборов данных.
Дополнительные и новые оценки облачных сервисов могут проводиться, когда агентство хочет использовать облачные сервисы, которые ранее не оценивались.
Оценки IRAP, написанные до принятия нового руководства, также по-прежнему считаются действительными, хотя учреждения “должны учитывать возраст и актуальность этих докладов при их рассмотрении”.
Министр обороны Линда Рейнольдс заявила, что новое руководство повысит устойчивость к кибербезопасности и одновременно откроет австралийский облачный рынок, позволив большему количеству отечественных поставщиков предоставлять услуги.
“Это даст возможность агентствам Содружества, штатов и Территорий использовать более широкий спектр безопасных и экономически эффективных облачных сервисов”,-сказала она.
Ответственность и контроль
В рамках руководства ACSC просит агентства принимать во внимание “локальность, владение и контроль” при оценке пригодности поставщика облачных услуг и связанных с ним рисков.
Право собственности становится все более важным фактором для правительства, особенно в отношении центров обработки данных, с момента выхода стратегии размещения DTA в марте 2019 года.
“Иностранные поставщики облачных услуг (CSP) могут подвергаться внесудебному контролю и вмешательству со стороны иностранной организации”,-говорится в руководстве.
“Это может включать в себя иностранную организацию, принуждающую CSP раскрывать данные своих клиентов без ведома своих клиентов.
“Это может включать в себя иностранные CSP, которые предоставляют облачные сервисы в Австралии и из Нее.”
Но для “конфиденциальной и секретной информации” ACSC идет еще дальше, рекомендуя агентствам “использовать поставщиков облачных услуг и облачные сервисы, расположенные в Австралии”.
“Поставщики облачных услуг, которые принадлежат, базируются и управляются исключительно в Австралии, с большей вероятностью согласуются с австралийскими стандартами и юридическими обязательствами, и это снижает риск передачи любого типа данных за пределы Австралии”, — говорится в сообщении.
“Эти поставщики облачных услуг также менее подвержены внесудебному контролю и вмешательству со стороны иностранной организации.”
В руководстве также отмечается, что сторонние облачные решения могут “увеличить сложность и сложность оценки для оценщиков IRAP” и “затруднить … идентификацию рисков его использования”.
Типы данных
Типы облачных данных-это еще один фокус руководства, и ACSC просит агентства понять, “что это за типы данных, где они существуют и как они обрабатываются и защищены”, прежде чем принимать решение о том, где хранить информацию.
Это происходит, когда правительство рассматривает возможность введения новых правил суверенитета для государственных данных, которые потребовали бы, чтобы определенные наборы данных размещались в аккредитованных центрах обработки данных в Австралии австралийскими поставщиками услуг.
В руководстве делается попытка провести разделение между четырьмя типами данных: данными клиентов, данными счетов, метаданными и данными поддержки и администраторов, отмечая, что агентства, скорее всего, будут иметь и другие типы данных.
“Обработка данных каждым поставщиком облачных услуг часто отличается в зависимости от типа данных. Например, глобально распределенный поставщик облачных услуг может хранить данные клиентов в Австралии, но может передавать данные учетной записи в другую страну для обработки и хранения”, — говорится в руководстве.
“Кроме того, CSPS обычно обрабатывают имена виртуальных машин, сетей и учетных записей клиентов не как данные клиентов, а как метаданные.
“Это часто используется в аналитических целях и впоследствии может храниться в другом месте с различными средствами контроля безопасности.”
В руководстве содержится просьба к экспертам IRAP документировать “различные типы данных, их определения, место их хранения и то, как они обрабатываются и защищаются CSP” при проведении своих оценок.
