Организации, использующие облачные технологии для поддержки операций, должны соблюдать передовые методы обеспечения безопасности. Поэтому крайне важно установить политики облачной безопасности.
Политика облачной безопасности — это руководство для обеспечения безопасной и надежной работы в облаке. При создании политики безопасности необходимо учитывать тип облака:
- частное, используемое только компанией;
- публичное, доступное любой организации;
- или гибридное, сочетающее частные и общедоступные облачные ресурсы.
Политики облачной безопасности часто пишутся вокруг:
- приемлемого использования облака сотрудниками,
- разрешенных данных в облаке,
- процедур реагирования на инциденты,
- контроля доступа к облаку,
- соответствия облачным нормативным требованиям.
Шаги по созданию политики облачной безопасности
При начале создания политики облачной безопасности:
- Адаптируйте существующие политики информационной безопасности (ИБ) для облака. Они могут использовать имеющуюся структуру политики и включать соответствующие компоненты ИБ.
- Добавьте облачные элементы в существующую политику ИБ.
- Поищите в Интернете примеры политик и адаптируйте их к потребностям вашей организации.
- Оцените и выберете ПО от различных поставщиков, которое поможет быстро разработать политики.
При подготовке политики облачной безопасности, необходимо:
- Определить бизнес-цель наличия облачной безопасности, политики облачной безопасности и связанных процедур.
- Получить одобрение высшего руководства для разработки политики.
- Составить план проекта для разработки и утверждения политики.
- Собрать команду для разработки проекта политики.
- Запланировать брифинги для руководства во время цикла написания, чтобы обеспечить решение соответствующих вопросов.
- Попросить юристов и отдел кадров просмотреть и прокомментировать политики.
- Провести аудиторскую проверку и попросить отдел управления рисками оставить комментарии.
- Окончательное рассмотрение проекта и внесение корректировок перед отправкой на утверждение руководству.
- Получив одобрение руководства, распространить политику среди сотрудников.
- Установить процесс проверки и изменения политики, используя процедуры управления изменениями.
- Составить график и подготовиться к ежегодному аудиту политики.
Структура политики облачной безопасности
Политики облачной безопасности могут быть простыми. Достаточно нескольких абзацев, чтобы описать соответствующие действия в облаке, при необходимости можно включать более подробную информацию.
Вот краткое описание необходимых компонентов политики облачной безопасности:
- Введение. Укажите основные причины наличия политики облачной безопасности.
- Назначение и сфера применения. Предоставьте подробную информацию о цели и области применения облачной политики.
- Заявление о политике. Четко изложите политику облачной безопасности.
- Политическое лидерство. Укажите, кто несет ответственность за утверждение и реализацию политики, а также за наложение штрафов за несоблюдение.
- Проверка соответствия политике. Укажите, что нужно для оценки, упражнения или тестов на проникновение, а также для проверки соответствия действий по обеспечению безопасности облака политикам.
- Штрафы за несоблюдение. Например, выговор, запись в личном деле за внутренние инциденты или штрафы и судебные иски за несоблюдение политик и соглашений об уровне обслуживания (SLA), если они являются частью политики.
- Приложения (по необходимости). Предоставьте дополнительную справочную информацию, например списки контактов, соглашения об уровне обслуживания или дополнительные сведения о конкретных положениях политики безопасности облака.
Надеемся, руководство поможет вам в создании политик облачной безопасности. А если вам нужна реализация облачных систем, помощь в аудите или создании политик, обратитесь к специалистам CloudNetworks!
