20/07/2016 - Equipe Target
A NBR ISO/IEC 27017 de 07/2016 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base NBR ISO/IEC 27002 para serviços em nuvem fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBR ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem. Esta recomendação/norma fornece controles e diretrizes de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.
Acesse algumas perguntas relacionadas com essa norma GRATUITAMENTE no Target Genius Respostas Diretas:
Quais devem ser as relações com fornecedores em serviços em nuvem?
Como deve ser feito o gerenciamento de riscos de segurança da informação em serviços em nuvem?
Quais as diretrizes para a implementação para serviços em nuvem?
As diretrizes contidas nesta recomendação/norma adicionam e complementam as diretrizes oferecidas na NBR ISO/IEC 27002. Especificamente, esta recomendação/norma fornece diretrizes que apoiam a implementação de controles de segurança da informação para os clientes de serviços em nuvem e provedores de serviços em nuvem.
Algumas diretrizes são para clientes de serviços em nuvem que implementam os controles e outras são para provedores de serviços em nuvem para apoiar a implementação desses controles. A seleção dos controles apropriados de segurança da informação e a aplicação da diretriz de implementação fornecida dependerão de uma avaliação de risco e de quaisquer requisitos legais, contratuais, regulatórios ou outros requisitos de segurança da informação específicos para o setor e computação em nuvem.
O uso de computação em nuvem mudou a forma como é recomendado que as organizações avaliem e mitiguem riscos de segurança da informação, devido às mudanças significativas em como os recursos computacionais são tecnicamente concebidos, utilizados e governados. Esta recomendação/norma fornece diretrizes adicionais para implementações específicas para a nuvem, com base na NBR ISO/IEC 27002, e fornece controles adicionais para lidar com considerações sobre ameaças de segurança da informação e riscos, específicas para ambientes em nuvem.
Convém que os usuários desta recomendação/norma consultem a NBR ISO/IEC 27002, Seções 5 a 18, para controles, orientação de implementação e outras informações. Devido à aplicabilidade geral da ISO/IEC 27002, muitos dos controles, da diretriz de implementação e outras informações se aplicam a ambos os contextos de computação geral ou em nuvem da organização.
Por exemplo, a NBR ISO/IEC 27002 “6.1.2 Segregação de funções” fornece um controle que pode ser aplicado se a organização está agindo como um provedor de serviço em nuvem ou não. Além disso, um cliente de serviços em nuvem pode derivar requisitos para segregação de funções ao ambiente de nuvem do mesmo controle, por exemplo, segregando os administradores de serviços em nuvem, clientes de serviço e usuários de serviços em nuvem.
Como uma extensão da NBR ISO/IEC 27002, esta recomendação/norma fornece mais controles específicos de serviços em nuvem, diretrizes de implementação e outras informações (ver 4.5), que se destinam a mitigar os riscos que acompanham as características técnicas e operacionais dos serviços em nuvem (ver Anexo B). Os clientes de serviços em nuvem e os prestadores de serviços em nuvem podem se referir à NBR ISO/IEC 27002 e a esta recomendação/norma para selecionar os controles com a diretriz de implementação e adicionar outros controles, se necessário.
Este processo pode ser feito pela realização de avaliação de riscos de segurança e tratamento de riscos no contexto organizacional e de negócios, onde os serviços em nuvem são utilizados ou fornecidos (ver 4.4). Clientes do serviço em nuvem e provedores do serviço em nuvem também podem formar uma cadeia de suprimento.
Supor que um prestador de serviços em nuvem forneça um serviço de recursos de infraestrutura. Em cima dela, outro prestador de serviços em nuvem pode fornecer um serviço de recursos de aplicação.
Neste caso, o segundo fornecedor de serviços em nuvem é um cliente do serviço em nuvem no que diz respeito à primeira, e um fornecedor de serviço em nuvem do ponto de vista do cliente do serviço em nuvem utilizando o seu serviço. Este exemplo ilustra o caso em que esta recomendação/norma aplica-se a uma organização, tanto como um cliente do serviço em nuvem quanto como um provedor do serviço em nuvem.
Como os clientes de serviços em nuvem e provedores do serviço em nuvem formam uma cadeia de fornecedores através da concepção e implementação do(s) serviço(s) em nuvem, a seção 15.1.3 da NBR ISO/IEC 27002 é aplicável. A multipartes ISO/IEC 27036 “Information security for supplier relationship” fornece orientações detalhadas sobre a segurança da informação no relacionamento com os fornecedores para o adquirente e para o fornecedor de produtos e serviços.
A ISO/IEC 27036 Parte 4 lida diretamente com a segurança dos serviços em nuvem no relacionamento com os fornecedores. Esta norma é também aplicável aos clientes do serviço em nuvem como adquirentes e aos prestadores de serviços em nuvem como fornecedores.
No ambiente de computação em nuvem, os dados dos clientes do serviço em nuvem são armazenados, transmitidos e processados por um serviço em nuvem. Portanto, os processos de negócios do cliente do serviço em nuvem podem depender da segurança da informação do serviço em nuvem.
Sem controle suficiente sobre o serviço em nuvem, o cliente de serviços em nuvem pode precisar tomar precauções extras com suas práticas de segurança da informação. Antes de contratar o fornecedor do serviço em nuvem, o cliente do serviço em nuvem precisa selecionar um serviço em nuvem, levando em conta as possíveis lacunas entre os requisitos de segurança da informação do cliente do serviço em nuvem e os recursos em segurança de informações oferecidas pelo serviço em nuvem.
Uma vez que um serviço em nuvem é selecionado, recomenda-se que o cliente do serviço em nuvem gerencie o uso do serviço em nuvem de forma a satisfazer os seus requisitos de segurança da informação. Nesta relação, recomenda-se que o provedor do serviço em nuvem forneça as informações e o suporte técnico que são necessários para atender aos requisitos de segurança da informação do cliente do serviço em nuvem.
Quando os controles de segurança da informação fornecidos pelo provedor do serviço em nuvem são predefinidos e não há possibilidade de serem alterados pelo cliente do serviço em nuvem, o cliente do serviço em nuvem pode precisar implementar seus próprios controles extras para mitigar os riscos em seus processos de gestão de riscos de segurança da informação estabelecidos. É aconselhável consultar a NBR ISO/IEC 27001 para os requisitos da gestão de segurança da informação para realizar a gestão de riscos em seus sistemas de gestão de segurança da informação, e se referir à NBR ISO/IEC 27005 para obter diretrizes adicionais sobre a própria gestão de riscos de segurança da informação. A NBR ISO 31000, para a qual as NBR ISO/IEC 27001 e NBR ISO/IEC 27005 se aplicam, também pode ajudar na compreensão geral da gestão de riscos.
Em contraste com a aplicabilidade genérica dos processos de gestão de riscos de segurança da informação, a computação em nuvem tem seus próprios tipos de fontes de riscos, incluindo ameaças e vulnerabilidades, que são derivadas de suas características, por exemplo, rede, escalabilidade e elasticidade do sistema, compartilhamento de recursos, provisionamento por autosserviço, administração sob demanda, provisionamento de serviços através de diversas jurisdições e visibilidade limitada sobre a implementação de controles. O Anexo B fornece referências que dão informações sobre estas fontes de riscos e os riscos associados na prestação e utilização de serviços em nuvem.
Os controles e diretrizes de implementação apresentadas nas Seções 5 a 18 e no Anexo A abordam as fontes de riscos e os riscos específicos à computação em nuvem. A política de segurança da informação para a computação em nuvem do cliente de serviços em nuvem é uma das políticas específicas descritas na NBR ISO/IEC 27002, 5.1.1.
A política de segurança da informação de uma organização lida com os seus processos de informação e de negócios. Quando uma organização usa os serviços em nuvem, ela pode ter uma política para a computação em nuvem como um cliente de serviços em nuvem.
Informações de uma organização podem ser armazenadas e mantidas no ambiente de computação em nuvem, e os processos de negócio podem ser operados no ambiente de computação em nuvem. Requisitos gerais de segurança da informação definidos na política de segurança da informação no nível superior são seguidos pela política para a computação em nuvem.
Em contraste com isso, a política de segurança da informação para a prestação serviços em nuvem lida com a informação e processos de negócio dos clientes de serviços em nuvem, não com a informação e processos de negócios do provedor do serviço em nuvem. Recomenda-se que requisitos de segurança da informação para a oferta do serviço em nuvem atenda aqueles dos potenciais clientes do serviço em nuvem.
Como resultado, eles podem não ser consistentes com as exigências de segurança da informação dos processos de negócios do provedor do serviço em nuvem. O escopo da política é muitas vezes adequadamente definido em termos do serviço, mas não só pela estrutura organizacional ou pelas localizações físicas.
A segurança de virtualização na computação em nuvem tem vários aspectos, incluindo gerenciamento de ciclo de vida de instâncias virtuais, controles de acesso e armazenamento de imagens virtuais, manipulação de instâncias virtuais inativas ou desligadas, retratos do estado, proteção de hipervisores e controles de segurança que regem o uso de portais de autoatendimento. Mesmo quando as responsabilidades são determinadas pelas partes, o cliente de serviços em nuvem é responsável pela decisão de usar o serviço.
Convém que essa decisão seja feita de acordo com as funções e responsabilidades determinadas dentro da organização do cliente de serviços em nuvem. O provedor do serviço em nuvem é responsável pela segurança da informação indicada em alguma parte do acordo de serviço em nuvem.
Convém que a implementação e o provisionamento da segurança da informação sejam feitos de acordo com os papéis e responsabilidades determinadas dentro da organização do provedor do serviço em nuvem. A ambiguidade nos papéis e na definição e atribuição de responsabilidades relativas a questões como a propriedade de dados, controle de acesso e manutenção da infraestrutura pode dar origem a disputas comerciais ou legais, especialmente ao lidar com terceiros.
Os dados e arquivos nos sistemas do provedor do serviço em nuvem que são criados ou modificados durante a utilização do serviço em nuvem podem ser críticos para a operação, recuperação e continuidade segura do serviço. Convém que a propriedade de todos os ativos e as partes que têm responsabilidade pela operação associada a esses ativos, como operações de backup e recuperação, sejam definidas e documentadas. Caso contrário, existe o risco de que o provedor do serviço em nuvem assuma que o cliente do serviço em nuvem execute essas tarefas vitais (ou vice-versa), e uma perda de dados pode ocorrer.
FONTE: Equipe Target
