Chmura obliczeniowa to technologia rozproszonego przetwarzania danych, w której skalowalne zasoby informacyjne (infrastruktura, platforma aplikacyjna i oprogramowanie) udostępniane są jako usługi dla wielu odbiorców organizacyjnych i indywidualnych.
Na chmurę obliczeniową składają się usługi teleinformatyczne dostosowywane dynamicznie do potrzeb i udostępniane w rozliczalny sposób za pośrednictwem sieci, z wykorzystaniem bezpiecznych protokołów sieciowych. Korzystanie z usług chmur obliczeniowych możliwe jest za pomocą interfejsów oferowanych przez dostawców usług.
Technologie chmur obliczeniowych wprowadzają nowe modele przetwarzania danych, niezależne od miejsca ich przechowywania – dlatego chmura obliczeniowa, to nie miejsce tylko model przetwarzania.
Dokument „Standardy Cyberbezpieczeństwa Chmur Obliczeniowych” został opracowany w ramach zbioru Narodowych Standardów Cyberbezpieczeństwa, przywołanego w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 .
Opracowanie Narodowych Standardów Cyberbezpieczeństwa jest realizacją celu szczegółowego 2 – Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.
Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) stanowią zbiór wymagań prawnych, organizacyjnych i technicznych zapewniających cyberbezpieczeństwo w modelach wdrażania chmur obliczeniowych w ramach inicjatywy Wspólna Infrastruktura Informatyczna Państwa (WIIP) .
Wśród strategicznych kierunków, jakie realizuje inicjatywa WIIP są m.in:
- podniesienie poziomu bezpieczeństwa przetwarzania danych i świadczenia usług elektronicznych w administracji rządowej;
- trwałe obniżenie kosztów stałych przetwarzania danych;
- podniesienie efektywności wydatkowania środków w projektach zawierających elementy infrastruktury IT;
- skrócenie czasu realizacji nowych przedsięwzięć informatycznych przez szybsze udostępnianie wymaganej infrastruktury IT;
- ograniczenie zjawiska wielokrotnego gromadzenia tych samych danych w środowiskach informatycznych oraz zniesienie barier technologicznych w przypadku rejestrów publicznych;
- upowszechnienie modelu przetwarzania w chmurach obliczeniowych jako głównego sposobu realizacji systemów teleinformatycznych państwa (w tym również zmiana technologii wytwarzania oprogramowania).
Ważnym elementem inicjatywy WIIP jest opracowanie klasyfikacji systemów teleinformatycznych oraz wdrożenie jednolitych standardów bezpieczeństwa infrastruktury przetwarzania danych, które umożliwią migrację systemów i danych do modelu przetwarzania w chmurze obliczeniowej.
Działania w ramach inicjatywy WIIP są również elementem budowy krajowego systemu cyberbezpieczeństwa .
Standardy Cyberbezpieczeństwa Chmur Obliczeniowych określają wymagania, jakie muszą spełnić:
- podmioty administracji rządowej zarządzające Centrami Przetwarzania Danych (CPD), w celu ich przyłączenia do Rządowego Klastra Bezpieczeństwa (RKB) lub włączenia do wspólnych zasobów Rządowej Chmury Obliczeniowej (RChO).
- dostawcy usług chmur obliczeniowych w ramach Publicznej Chmury Obliczeniowej (PChO).
Odbiorcami Standardów Cyberbezpieczeństwa Chmur Obliczeniowych są:
- publiczni i komercyjni dostawcy usług chmurowych dla administracji publicznej,
- jednostki administracji publicznej planujący wykorzystanie lub korzystający z rządowych i/lub publicznych usług przetwarzania w modelach chmur obliczeniowych.
Przetwarzanie w modelach chmur obliczeniowych opiera się na założeniu wysokiego poziomu standaryzacji sprzętu, oprogramowania i usług, których szczegółów implementacyjnych odbiorca zwykle nie zna. W związku z tym wymagany jest szczególnie wysoki poziom zaufania do dostawców usług w chmurach obliczeniowych.
Istnieją różne narodowe i branżowe standardy wymagań oraz certyfikacji bezpieczeństwa dla usług w chmurach obliczeniowych. Z tego powodu odbiorcy usług chmur obliczeniowych mają trudności z przeglądem i porównywaniem zakresu oraz poziomu bezpieczeństwa usług oferowanych przez różnych dostawców. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych mają stanowić pomoc dla jednostek administracji publicznej planujących skorzystanie z modelu przetwarzania danych w chmurach obliczeniowych, upraszczając proces wyboru dostawcy, zakresu usług i oceny cyberbezpieczeństwa środowiska przetwarzania.
Do pobrania:
Standardy Cyberbezpieczeństwa Chmur Obliczeniowych
Załącznik nr 4 SCCO – Lista zabezpieczeń i zabezpieczeń rozszerzonych