rossleor asseco murr

Kvalitu cloudových služeb stvrdí ISO/IEC 27001

Bezpečnost dat je jednou z nejpodstatnějších věcí, o které se musí firma starat, ať už podniká v jakémkoliv oboru. Svá data může dobře chránit například pomocí cloudových služeb. Míra jejich zabezpečení je totiž natolik vysoká, že se riziko úniku či ztráty dat naprosto minimalizuje.

 
V IT světě existují dva základní pohledy na data. Ten první se na ně dívá skrze zákon č. 181/2014 Sb. o kybernetické bezpečnosti, a vnímá je tedy jako obsah nesoucí jakékoliv informace. Druhý pohled se pak týká zákona č. 110/2019 Sb. o zpracování osobních údajů (GDPR), přičemž oba tyto zákony reagují na hrozby, kterým kyberprostor denně čelí, zejména na riziko úniku osobních údajů a dat jako celku, případně na jejich nedostupnost z důvodu škodlivého šifrovacího kódu či DDoS útoků.

Ovšem kybernetický zákon a související vyhlášky se zabývají zejména kritickou infrastrukturou státu, typicky např. oblastmi energetiky či vodního hospodářství. Kromě toho pak zákon operuje i s pojmem významný informační systém, což jsou zase systémy provozované orgány veřejné správy. Soukromé subjekty by tedy měly svou kybernetickou bezpečnost garantovat jinak – pomocí certifikací dle mezinárodních standardů z rodiny ČSN ISO/IEC 27000. A zajímavosti je, že český kybernetický zákon vychází přímo z normy ISO/IEC 27001.

Certifikuje nezávislý auditor

Kromě zákona o zpracování osobních údajů, který říká, jak mají firmy všeobecně pracovat s osobními údaji svých klientů, je pro poskytovatele cloudových služeb nejdůležitější norma ISO/IEC 27001, protože definuje systém managementu bezpečnosti informací. Dalo by se říci, že tento standard slouží jako propracovaný návod, jak efektivně chránit svá klíčová aktiva, zejména citlivá data. Norma však z pochopitelných důvodů nemůže být příliš adresná, a tak nabízí poměrně velkou volnost v tom, jak daných cílů dosáhnout. Definuje, na co se má firma zaměřit i co by mělo být výsledkem, ale jaké konkrétní řešení subjekt zvolí, už je takzvaně na něm.

Plnění normy následně zkontroluje nezávislý auditor, který také v případě úspěšného auditu následně vystavuje certifikaci, jež se však nevztahuje na celou firmu, ale přímo na konkrétní auditovanou věc.

„Auditora zajímá, jak se poskytovatel chová k uživatelům, k sítím, ke kryptografii, jak vyhodnocuje rizika, jak určuje primární a podpůrná aktiva, jak všechno toto navíc ještě kontroluje. Je to hodně o vnitřních procesech daného poskytovatele,“ říká Petr Loužecký, expert na cloud a ředitel cloudových služeb ze společnosti Algotech.



Bezpečnost dat podle mezinárodní certifikace zaručuje v Česku společnost Algotech.

Certifikace tedy slouží nejen jako interní potvrzení o tom, že firma má svůj management bezpečnosti informací dobře nastavený, ale i jako vodítko pro její potenciální klienty. A stejný postup probíhá i v případě certifikace dle normy ISO/IEC

27002, která mj. míří přímo na používaný hardware i software. Firma, která nabízí cloudové služby, by měla garantovat, že pracuje pouze s aktuálními systémy a nemá zastaralou infrastrukturu.

Mezinárodní standard je zárukou bezpečnosti

Výhodou mezinárodní standardu ISO/IEC 27001 je, že je dobrovolný a svou univerzálností se hodí prakticky pro všechny firmy, protože aktivy se vlastně rozumějí jakékoliv informace, které jsou klíčové. Může tak jít o osobní data klientů, data z vývoje určitých produktů včetně technických nákresů a plánů, autorské umělecké návrhy, zápisy z porad vedení, ale třeba i o všechny prostředky na uložení, zpracování a zabezpečení primárních, nebo jinak řečeno informačních aktiv.



Petr Loužecký, ředitel cloudových služeb ze společnosti Algotech.

Ovšem nutno dodat, že málokterý podnik má k dispozici tolik finančních prostředků, aby dokázal investovat do robustního a skutečně bezpečného on premise řešení a následně ještě do certifikace. I proto se čím dál častěji firmy přesouvají se svými daty do cloudu, jenž jim právě díky tomu, že se poskytovatelé na tyto služby specializují, dokáže ochranu dat garantovat. A i když nakonec svěří svá data kyberprostoru, měly by mít na paměti, že je třeba stále dodržovat základní zásady IT bezpečnosti při práci.

Foto: Algotech
 
Publikováno: 13. 1. 2022 | Počet přečtení: 697