CCSP 云安全认证-法律与合规风险
文章目錄
- 云計(jì)算相關(guān)的監(jiān)管合規(guī)要求和特有風(fēng)險(xiǎn)
- 相互沖突的國(guó)際法律
- 云計(jì)算特有法律風(fēng)險(xiǎn)評(píng)價(jià)
- 法律框架和指導(dǎo)原則
- 電子取證
- 取證要求
- 理解隱私問(wèn)題
- 合同PII以及受監(jiān)管PII的差異
- PII和數(shù)據(jù)隱私相關(guān)的國(guó)家特定法律
- 機(jī)密性、完整性、可用性和隱私性之間的差異
- 隱私要求標(biāo)準(zhǔn)
- 理解審計(jì)流程、方法論和云環(huán)境所需的調(diào)整
- 內(nèi)外部審計(jì)控制體系
- 審計(jì)要求的影響
- 虛擬化和云環(huán)境的保障挑戰(zhàn)
- 審計(jì)報(bào)告類(lèi)型
- 審計(jì)范圍限制
- 差距分析
- 審計(jì)規(guī)劃
- 內(nèi)部信息安全管理體系
- 內(nèi)部信息安全控制系統(tǒng)
- 策略
- 利益相關(guān)方的識(shí)別和參與
- 高度監(jiān)管行業(yè)的特殊合規(guī)要求
- 分布式IT模型的影響應(yīng)
- 理解云對(duì)企業(yè)風(fēng)險(xiǎn)管理的影響
- 評(píng)估云服務(wù)提供商的風(fēng)險(xiǎn)管理態(tài)勢(shì)
- 數(shù)據(jù)所有方/控制方與數(shù)據(jù)托管方/處理方之間的差異
- 風(fēng)險(xiǎn)處理
- 不同的風(fēng)險(xiǎn)框架
- 風(fēng)險(xiǎn)管理指標(biāo)
- 風(fēng)險(xiǎn)環(huán)境評(píng)估
- 了解外包和云合同設(shè)計(jì)
- 業(yè)務(wù)需求
- 供應(yīng)商管理
- 合同管理
- 履行供應(yīng)商管理
- 參考文獻(xiàn)
云上 法律、風(fēng)險(xiǎn)與合規(guī)注意事項(xiàng)
云計(jì)算相關(guān)的監(jiān)管合規(guī)要求和特有風(fēng)險(xiǎn)
云環(huán)境通常跨越多個(gè)司法管轄權(quán)區(qū)域,并在各國(guó)政策方面產(chǎn)生大量與適用監(jiān)管合規(guī)相關(guān)的復(fù)雜問(wèn)題,以及與數(shù)據(jù)收集和數(shù)據(jù)探查要求相關(guān)的技術(shù)問(wèn)題。
相互沖突的國(guó)際法律
法律方面可能包括用戶(hù)的物理位置、用戶(hù)輸入系統(tǒng)的數(shù)據(jù)類(lèi)型、管理自有應(yīng)用程序的組織法規(guī)、可能適用的所有監(jiān)管合規(guī)要求,以及適用于IT資源所在地和數(shù)據(jù)實(shí)際存儲(chǔ)地的司法管轄權(quán)區(qū)域的相應(yīng)法律法規(guī),相關(guān)法律法規(guī)也可能處于多個(gè)司法管轄權(quán)區(qū)域內(nèi)。
云計(jì)算特有法律風(fēng)險(xiǎn)評(píng)價(jià)
在云環(huán)境中,云客戶(hù)依賴(lài)于真正擁有并運(yùn)營(yíng)整個(gè)系統(tǒng)和服務(wù)的云服務(wù)提供商。從法律角度區(qū)分云環(huán)境的主要區(qū)別在于“多租戶(hù)”概念,即允許云客戶(hù)彼此共享相同的物理硬件和系統(tǒng)。這種共享使得云服務(wù)提供商不僅在合同上綁定云客戶(hù)組織,而且與使用相同托管環(huán)境的所有其他組織綁定,因此云服務(wù)提供商無(wú)法簡(jiǎn)單地捕獲系統(tǒng)并將任意數(shù)據(jù)交給調(diào)查人員或監(jiān)管機(jī)構(gòu),因?yàn)樵品?wù)提供商需要確保未從其他云客戶(hù)那里捕獲數(shù)據(jù)或日志,避免暴露給第三方。無(wú)論組織的系統(tǒng)及服務(wù)托管位于何處,組織對(duì)其使用和存儲(chǔ)的所有數(shù)據(jù)都負(fù)有法律責(zé)任。
法律框架和指導(dǎo)原則
由于云環(huán)境的復(fù)雜性和完全地理上不同的實(shí)現(xiàn)方式,云平臺(tái)的所有系統(tǒng)和應(yīng)用程序都將受到各種不同的法律和司法管控。
電子取證
電子取證(eDiscovery)是搜索、識(shí)別、收集和保護(hù)電子數(shù)據(jù)和記錄的流程,最終,將在刑事或民事訴訟中使用電子取證的數(shù)據(jù)和記錄。通常,在傳統(tǒng)數(shù)據(jù)中心收集和識(shí)別流程更容易,也更簡(jiǎn)單,由于物理系統(tǒng)是已知的,可很容易地隔離或離線并保留數(shù)據(jù)。在云環(huán)境中,所有系統(tǒng)和數(shù)據(jù)都通過(guò)虛擬化實(shí)現(xiàn),因此,云環(huán)境面臨更多挑戰(zhàn)和復(fù)雜性。
取證要求
取證(Forensics)采用科學(xué)和系統(tǒng)的流程,對(duì)數(shù)字信息和證據(jù)開(kāi)展識(shí)別、收集、保留、分析和總結(jié)/報(bào)告。取證是云安全專(zhuān)家可使用的最強(qiáng)大工具和概念之一,用于確定任何應(yīng)用程序或系統(tǒng)中安全事件的確切本質(zhì)、方法和范圍。而在云環(huán)境中,不僅確認(rèn)系統(tǒng)和數(shù)據(jù)的確切物理位置更加困難和復(fù)雜,而且隔離和保留的程度也與傳統(tǒng)的服務(wù)器模型有很大不同。
理解隱私問(wèn)題
不同司法管轄權(quán)區(qū)域的隱私問(wèn)題可能存在很大差異,這種變化可能與受保護(hù)的記錄和信息的類(lèi)型以及所需的控制措施和采取的通知方式有關(guān)。
合同PII以及受監(jiān)管PII的差異
無(wú)論系統(tǒng)及其數(shù)據(jù)是托管在傳統(tǒng)數(shù)據(jù)中心模型還是在云托管模型中,應(yīng)用程序所有方都要對(duì)應(yīng)用程序和相關(guān)服務(wù)處理或存儲(chǔ)的所有PII 數(shù)據(jù)的安全性負(fù)責(zé)。不同司法管轄權(quán)和法律法規(guī)要求都對(duì)PII有多層次的理解,目前,主要存在兩類(lèi)PII,對(duì)這兩類(lèi)PII的方法和要求有所不同。
PII和數(shù)據(jù)隱私相關(guān)的國(guó)家特定法律
雖然許多國(guó)家都有保護(hù)和監(jiān)管個(gè)人信息交換和數(shù)據(jù)隱私的法律,但不同的司法管轄權(quán)區(qū)域在要求或允許方面可能存在很大差異。以下并非所有國(guó)家和監(jiān)管合規(guī)要求的詳盡或完整列表;而是對(duì)主要和典型的司法管轄權(quán)區(qū)域及其各自監(jiān)管合規(guī)要求的抽樣說(shuō)明。
機(jī)密性、完整性、可用性和隱私性之間的差異
安全性的三大核心是機(jī)密性、完整性和可用性。隨著越來(lái)越多的數(shù)據(jù)和服務(wù)轉(zhuǎn)移到在線服務(wù),特別是隨著移動(dòng)計(jì)算和涉及敏感信息的應(yīng)用程序的激增,隱私已成為第四個(gè)關(guān)鍵方面。這四者緊密合作,基于應(yīng)用程序及其所使用數(shù)據(jù)的特定細(xì)節(jié),某些應(yīng)用程序與其他應(yīng)用程序的重要性將發(fā)生變化,需要做出調(diào)整。隱私概念涉及個(gè)人對(duì)自身信息和活動(dòng)的控制,而組織在數(shù)據(jù)存儲(chǔ)中擁有的信息受機(jī)密性的約束。
隱私要求標(biāo)準(zhǔn)
標(biāo)準(zhǔn)由行業(yè)團(tuán)體或監(jiān)管機(jī)構(gòu)建立,用于設(shè)置通用配置、期望、操作要求和定義。標(biāo)準(zhǔn)形成一個(gè)強(qiáng)大的跨司法管轄權(quán)區(qū)域的協(xié)作機(jī)構(gòu),允許用戶(hù)和云客戶(hù)基于外部和獨(dú)立的標(biāo)準(zhǔn)評(píng)價(jià)服務(wù)和云服務(wù)提供商。1、ISO/IEC 27018標(biāo)準(zhǔn)2、GAPP
理解審計(jì)流程、方法論和云環(huán)境所需的調(diào)整
無(wú)論系統(tǒng)部署在傳統(tǒng)數(shù)據(jù)服務(wù)器模型還是云環(huán)境,審計(jì)實(shí)踐和要求都相同。監(jiān)管合規(guī)要求是以一種對(duì)底層托管模型透明的方式制定的,側(cè)重于應(yīng)用程序安全和數(shù)據(jù)保護(hù)的方式。然而在云計(jì)算環(huán)境中,成功地執(zhí)行審計(jì)的策略和方法各不相同。
內(nèi)外部審計(jì)控制體系
內(nèi)部審計(jì)可用于確保組織策略和授權(quán)得到適當(dāng)執(zhí)行和遵守,滿(mǎn)足管理層的要求。內(nèi)部審計(jì)也有助于衡量?jī)?nèi)部策略和程序的效率和有效性,能幫助管理層發(fā)現(xiàn)新方法以加強(qiáng)控制措施和策略的實(shí)施力度,或用于糾正所產(chǎn)生的額外成本和管理費(fèi)用的浪費(fèi)問(wèn)題。內(nèi)部審計(jì)對(duì)于規(guī)劃環(huán)境中未來(lái)的服務(wù)擴(kuò)展或升級(jí)也非常有幫助。獨(dú)立的外部控制審計(jì)是必要的。外部審計(jì)將評(píng)價(jià)IT系統(tǒng)和策略所涉及控制措施的有效性,但不會(huì)解決與內(nèi)部審計(jì)相同類(lèi)型的問(wèn)題,如運(yùn)營(yíng)效率、成本、設(shè)計(jì)或擴(kuò)展方案。
審計(jì)要求的影響
在云環(huán)境中,云服務(wù)提供商的地理分布導(dǎo)致這種工作方式幾乎無(wú)法完成。因此,在云環(huán)境中,對(duì)站點(diǎn)的物理訪問(wèn)幾乎是不可能的。另一個(gè)巨大差異是云環(huán)境大量使用虛擬服務(wù)器和鏡像。隨著時(shí)間的推移,虛擬服務(wù)器和鏡像可能發(fā)生變化,導(dǎo)致重復(fù)審計(jì)或后期確認(rèn)都更困難。系統(tǒng)當(dāng)前狀態(tài)看起來(lái)可能與最初審計(jì)時(shí)存在很大的不同。此外,最初測(cè)試的虛擬機(jī)可能已經(jīng)不存在了。
虛擬化和云環(huán)境的保障挑戰(zhàn)
所面臨的挑戰(zhàn)是如何在無(wú)法測(cè)試整體環(huán)境的情況下執(zhí)行審計(jì)并確保合規(guī),而整體環(huán)境也可能非常不穩(wěn)定。缺少對(duì)云環(huán)境內(nèi)部物理環(huán)境的訪問(wèn)權(quán)限導(dǎo)致問(wèn)題更復(fù)雜,云客戶(hù)和代表云客戶(hù)工作的審計(jì)師對(duì)底層物理環(huán)境的訪問(wèn)權(quán)限非常有限,甚至根本沒(méi)有訪問(wèn)權(quán)限。
審計(jì)報(bào)告類(lèi)型
行業(yè)常使用幾種不同的標(biāo)準(zhǔn)化審計(jì)報(bào)告。盡管這些報(bào)告在方法和受眾上有所不同,但有著相似的設(shè)計(jì)和服務(wù)于類(lèi)似的目的。
審計(jì)范圍限制
在實(shí)施審計(jì)活動(dòng)前,組織及其審計(jì)師必須確定審計(jì)的范圍,以及對(duì)審計(jì)流程(Audit Process)和測(cè)試所涵蓋和接受的限制。這些信息在審計(jì)流程的初始階段處理并在此階段編制審計(jì)范圍說(shuō)明。
差距分析
差距分析(Gap Analysis)是在通過(guò)審計(jì)流程收集、測(cè)試和驗(yàn)證所有信息后執(zhí)行的關(guān)鍵步驟。
審計(jì)規(guī)劃
總體審計(jì)方案分為四個(gè)步驟,每個(gè)步驟都有重要且有序的組成部分,推動(dòng)整體流程達(dá)到標(biāo)和要求。以下是審計(jì)方案的四個(gè)步驟:定義目標(biāo)、定義范圍執(zhí)行審計(jì)、經(jīng)驗(yàn)教訓(xùn)和分析。
內(nèi)部信息安全管理體系
內(nèi)部信息安全管理體系(Internal Information Security Management System,ISMS)包括在組織內(nèi)部建立正式計(jì)劃,ISMS策略的重點(diǎn)是減少I(mǎi)T資源和數(shù)據(jù)在機(jī)密性、完整性和可用性方面的威脅和風(fēng)險(xiǎn)。ISMS 的主要目的是最大限度地降低風(fēng)險(xiǎn),保護(hù)組織的聲譽(yù),確保業(yè)務(wù)持續(xù)和運(yùn)營(yíng),以及減少因安全事故造成的潛在責(zé)任。對(duì)聲譽(yù)的保護(hù)以及由此帶來(lái)的更高信任度對(duì)所有系統(tǒng)或應(yīng)用程序的用戶(hù)、客戶(hù)和利益相關(guān)方都適用。
內(nèi)部信息安全控制系統(tǒng)
ISO/IEC 27001:2013標(biāo)準(zhǔn)涵蓋一系列領(lǐng)域,這些領(lǐng)域建立作為協(xié)助正式風(fēng)險(xiǎn)評(píng)估計(jì)劃的框架。ISO/IEC 27001:2013的領(lǐng)域幾乎涵蓋了IT運(yùn)營(yíng)和程序的所有領(lǐng)域,因此ISO/IEC27001:2013成為全球使用最廣泛的標(biāo)準(zhǔn)之一。
策略
策略(Policy)以正式方式記錄和闡明任何IT系統(tǒng)或組織希望或需要的系統(tǒng)和運(yùn)營(yíng)標(biāo)準(zhǔn)。隨著云計(jì)算的大規(guī)模使用,對(duì)當(dāng)前策略執(zhí)行修改或制定新策略的需求變得非常急迫。由于云環(huán)境底層結(jié)構(gòu)與受控和私有物理環(huán)境的運(yùn)行情況相差甚遠(yuǎn),許多組織在傳統(tǒng)數(shù)據(jù)中心內(nèi)運(yùn)行的策略需要大量修改或添加。由于缺乏對(duì)資產(chǎn)和訪問(wèn)的控制權(quán),策略需要擴(kuò)充以允許云服務(wù)提供商的訪問(wèn)和多租戶(hù)場(chǎng)景所需的補(bǔ)償性控制措施。
利益相關(guān)方的識(shí)別和參與
對(duì)于IT系統(tǒng)或運(yùn)營(yíng)來(lái)說(shuō),正確且恰當(dāng)?shù)刈R(shí)別利益相關(guān)方絕對(duì)重要。有了正確的利益相關(guān)方名單,就可確保及時(shí)與相關(guān)和重要的各方適當(dāng)溝通。為正確識(shí)別利益相關(guān)方,需要識(shí)別涉眾方問(wèn)題。最明顯的是識(shí)別組織實(shí)際的支持者,如管理層。云環(huán)境中還需要包括云服務(wù)提供商,因?yàn)樵品?wù)提供商負(fù)責(zé)IT服務(wù)托管和實(shí)現(xiàn)的多個(gè)方面,并且擁有遠(yuǎn)超云客戶(hù)有限范圍的訪問(wèn)權(quán)、監(jiān)測(cè)權(quán)和責(zé)任。
高度監(jiān)管行業(yè)的特殊合規(guī)要求
任何環(huán)境或系統(tǒng)都有關(guān)于安全和隱私的司法要求和審計(jì)要求,有時(shí)還有報(bào)告和溝通環(huán)境的要求。特定類(lèi)型的數(shù)據(jù)或系統(tǒng)無(wú)論所使用的物理位置或宿主模型如何,還存在與涉及的特定數(shù)據(jù)和流程相關(guān)的附加要求。在云環(huán)境中托管時(shí),所有監(jiān)管合規(guī)要求在傳統(tǒng)數(shù)據(jù)中心同樣適用,而且由于云是一種新技術(shù),并不是所有監(jiān)管合規(guī)要求都已完全更新或適應(yīng)云環(huán)境。
分布式IT模型的影響應(yīng)
用程序系統(tǒng)基于各種不同的組件和技術(shù)構(gòu)建,很多時(shí)候分布在多個(gè)地理區(qū)域,依賴(lài)于Web服務(wù)和API的調(diào)用,而不是直接的網(wǎng)絡(luò)連接、函數(shù)調(diào)用和緊密集成。因此,對(duì)可消費(fèi)的服務(wù)而不是對(duì)擁有和維護(hù)的系統(tǒng)的依賴(lài)在快速增長(zhǎng),云計(jì)算的引入使得這種復(fù)雜性更明顯。雖然分布式模型將構(gòu)建和擴(kuò)展系統(tǒng)比以往任何時(shí)候都更加經(jīng)濟(jì)和方便,但也為安全、審計(jì)和合規(guī)帶來(lái)了重大變化。
理解云對(duì)企業(yè)風(fēng)險(xiǎn)管理的影響
評(píng)估云服務(wù)提供商的風(fēng)險(xiǎn)管理態(tài)勢(shì)
組織在遷移到任何托管環(huán)境時(shí),與云服務(wù)提供商共同理解和評(píng)價(jià)風(fēng)險(xiǎn)管理計(jì)劃和流程至關(guān)重要。由于云客戶(hù)將在云服務(wù)提供商的云環(huán)境中存儲(chǔ)服務(wù)和數(shù)據(jù),因此托管云服務(wù)提供商的風(fēng)險(xiǎn)管理流程和風(fēng)險(xiǎn)接受程度也將直接影響云客戶(hù)的安全和風(fēng)險(xiǎn)管理計(jì)劃。評(píng)估是另一個(gè)對(duì)云服務(wù)提供商而言極有價(jià)值的領(lǐng)域,將在很大程度上告知云客戶(hù)有關(guān)云服務(wù)提供商的風(fēng)險(xiǎn)管理計(jì)劃和策略類(lèi)型的事項(xiàng),以及允許接受或需要減輕的風(fēng)險(xiǎn)等級(jí)。
數(shù)據(jù)所有方/控制方與數(shù)據(jù)托管方/處理方之間的差異
數(shù)據(jù)所有方(Data Owner)數(shù)據(jù)所有方是負(fù)責(zé)控制數(shù)據(jù)、確定對(duì)數(shù)據(jù)開(kāi)展適當(dāng)控制以及使用的個(gè)體。某些情況下可能以數(shù)據(jù)管理員(Data Steward)角色監(jiān)督訪問(wèn)請(qǐng)求和數(shù)據(jù)的使用,確保組織的策略得到遵守,并且訪問(wèn)請(qǐng)求得到正確批準(zhǔn)。數(shù)據(jù)托管方(Data Custodian)數(shù)據(jù)托管方是處理和使用由數(shù)據(jù)所有方擁有或控制的數(shù)據(jù)的任何人員,數(shù)據(jù)托管方在使用數(shù)據(jù)處理業(yè)務(wù)時(shí)必須遵守策略和接受監(jiān)督。
風(fēng)險(xiǎn)處理
- 制定風(fēng)險(xiǎn)管理框架
- 評(píng)估風(fēng)險(xiǎn)
- 應(yīng)對(duì)風(fēng)險(xiǎn)
- 持續(xù)監(jiān)測(cè)風(fēng)險(xiǎn)
不同的風(fēng)險(xiǎn)框架
有三個(gè)著名的與云環(huán)境相關(guān)的風(fēng)險(xiǎn)框架在IT行業(yè)中廣泛使用,分別是ENISA、ISO/IEC31000:2018和NIST。
風(fēng)險(xiǎn)管理指標(biāo)
風(fēng)險(xiǎn)幾乎總是以定級(jí)和分值的形式呈現(xiàn),分值平衡了成功利用的影響和發(fā)生的可能性。
風(fēng)險(xiǎn)環(huán)境評(píng)估
為充分評(píng)估云環(huán)境中的風(fēng)險(xiǎn),需要評(píng)估多個(gè)不同級(jí)別。特定的應(yīng)用程序、系統(tǒng)或服務(wù)是第一個(gè)組件,涉及與在傳統(tǒng)數(shù)據(jù)中心內(nèi)托管類(lèi)似的分析,并在組合中添加了特定于云的方面。組織還必須根據(jù)云服務(wù)提供商的過(guò)往記錄、穩(wěn)定性、專(zhuān)注度、財(cái)務(wù)狀況和未來(lái)方向執(zhí)行風(fēng)險(xiǎn)評(píng)價(jià)。
了解外包和云合同設(shè)計(jì)
外包到云環(huán)境后,需要面對(duì)的合同則包含大量額外的復(fù)雜性,許多組織可能缺乏管理云合同的專(zhuān)業(yè)知識(shí)和經(jīng)驗(yàn)。
業(yè)務(wù)需求
在組織考慮將系統(tǒng)或應(yīng)用程序遷移到云環(huán)境前,必須首先確保全面了解系統(tǒng)當(dāng)前的構(gòu)建和配置方式,以及這些系統(tǒng)如何與其他系統(tǒng)關(guān)聯(lián)和交互。業(yè)務(wù)需求的理解和分析將構(gòu)成評(píng)價(jià)系統(tǒng)或應(yīng)用程序是否適合云環(huán)境的基礎(chǔ)。當(dāng)前的系統(tǒng)或應(yīng)用程序可能需要改寫(xiě)大量代碼或配置變更,才能在云環(huán)境中正常工作,同時(shí)可能對(duì)監(jiān)管合規(guī)計(jì)劃和要求產(chǎn)生深遠(yuǎn)影響。
供應(yīng)商管理
要確保考慮到的任何供應(yīng)商都是穩(wěn)定且信譽(yù)良好的,才可托管關(guān)鍵業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)。
合同管理
云服務(wù)與任何服務(wù)委托或托管情況一樣,都需要一套健全和結(jié)構(gòu)化的合同管理方法。云環(huán)境并未簡(jiǎn)化合同管理,有些情況下,云環(huán)境可能導(dǎo)致合同管理變得更復(fù)雜。
履行供應(yīng)商管理
從云安全專(zhuān)家的角度看,最好充分記錄和理解使用的每項(xiàng)組件,并分析逐一組件的漏洞和對(duì)整個(gè)應(yīng)用程序的暴露程度。云安全專(zhuān)家要對(duì)每個(gè)組件執(zhí)行風(fēng)險(xiǎn)評(píng)估,并評(píng)估為每個(gè)連接點(diǎn)設(shè)計(jì)附加控制措施或?qū)嵤?yàn)證的可能性,確保數(shù)據(jù)和流程安全運(yùn)行,不會(huì)執(zhí)行任何超出預(yù)期目的的操作。
參考文獻(xiàn)
艾瑞咨詢(xún) 中國(guó)云安全行業(yè)研究報(bào)告 2021
CSA 云安全的新技術(shù)、新趨勢(shì)、新研究 2022
阿里云 阿里云安全白皮書(shū) 2019
freebuf 2019上半年云安全趨勢(shì)報(bào)告
CSA云安全聯(lián)盟標(biāo)準(zhǔn) 云應(yīng)用安全技術(shù)規(guī)范
東興證券 2020.9中美云安全產(chǎn)業(yè)對(duì)比研究,國(guó)內(nèi)云安全公司空間幾何?
總結(jié)
以上是生活随笔為你收集整理的CCSP 云安全认证-法律与合规风险的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Linux 通过yum源安装subver
- 下一篇: 华为H3C交换机+Radius+mysq