§ 55 Správa cloud computingu
(1) Štandardom pre správu cloud computingu v správe povinnej osoby je správa cloud computingu zabezpečovaná tak, aby bola primerane v súlade so štandardom pre
a) riadenie informačnej bezpečnosti podľa § 29, pričom pre
1. požiadavku podľa § 29 písm. a) sú súčasťou bezpečnostnej politiky povinnej osoby aj podmienky zosúlaďovania bezpečnostných požiadaviek alebo cieľov poskytovateľa cloudových služieb s bezpečnostnými požiadavkami alebo cieľmi odberateľa cloudových služieb,
2. požiadavku podľa § 29 písm. a) deviateho bodu sú aktívami najmä poskytované cloudové služby a infraštruktúra, prostredníctvom ktorej sú tieto služby poskytované, vrátane
2a. uzlov pre prepojenie sietí z pohľadu dostupnosti sieťového pripojenia; tieto sú zároveň kritickým aktívom,
2b. hardvéru, ktorým je najmä dátové úložisko, jednotlivé prvky siete a servery,
2c. softvéru, ktorým je najmä softvér pre správu cloud computingu, hypervízor a operačný systém,
b) personálnu bezpečnosť podľa § 30,
c) manažment rizík pre oblasť informačnej bezpečnosti podľa § 31, pričom analýza rizík vyhodnocuje najmä hrozby, ktorými sú
1. strata alebo nedostupnosť cloudových služieb,
2. nedostatok zdrojov alebo neschopnosť dodať požadovaný výkon,
3. zlyhanie alebo nedostatočná izolácia prostredia,
4. neoprávnený prístup k izolovanému prostrediu,
5. narušenie bezpečnosti hypervízora, ktorým je najmä virtualizačný server, virtualizačná pamäť, virtuálny úložný priestor, virtuálny sieť alebo virtuálny operačný systém,
6. nedostatočný monitoring jednotlivých komponentov cloud computingu,
7. nebezpečné alebo neefektívne odstránenie údajov,
8. kompromitácia vrstvy správy cloud computingu z dôvodu výskytu možných zraniteľností hypervízora alebo nedostatočnej izolácie prostredia,
9. zneužitie alebo kompromitácia privilegovaných oprávnení,
10. kompromitácia šifrovacích kľúčov,
11. zlyhanie správy šifrovacích kľúčov,
12. zlyhanie alebo nedostatočný manažment zmenových požiadaviek a záplat, najmä vo vzťahu k funkčnosti informačných systémov verejnej správy využívajúcich cloudové služby,
13. narušenie funkčnosti cloudových služieb z dôvodu zlyhania iných cloudových služieb na základe závislosti na spoločných zdrojoch,
d) kontrolný mechanizmus riadenia informačnej bezpečnosti podľa § 32, pričom pre požiadavku podľa § 32 písm. a) sa minimálne raz ročne
1. vykonáva audit informačnej bezpečnosti nezávislou treťou stranou,
2. umožňuje odberateľovi cloudových služieb vykonať audit informačnej bezpečnosti všetkých zdrojov, ktoré využívajú jemu poskytované cloudové služby alebo sa týkajú jemu poskytovaných cloudových služieb, pričom podmienky sa môžu upraviť v dohode o poskytovanej úrovni cloudových služieb,
3. umožňuje odberateľovi cloudových služieb vykonať penetračný test, pričom takýto test je pripravený tak, aby neovplyvnil kvalitu poskytovaných cloudových služieb,
e) ochranu proti škodlivému kódu podľa § 33, pričom
1. pre požiadavku podľa § 33 písm. a) druhého bodu sa zabezpečuje detekcia útokov na prostredie cloud computingu, a to vrátane útokov na komponenty určené pre správu cloud computingu,
2. pre požiadavku podľa § 33 písm. e) sa zaisťuje aj podpora zabezpečenia dôvernosti, autenticity a integrity prenášaných dát pomocou kryptografických opatrení,
f) sieťovú bezpečnosť podľa § 34, pričom sa zabezpečuje aj podpora
1. virtualizovaných firewallov a iných prvkov siete,
2. segmentácie siete, napríklad vo forme Virtual Local Area Network (VLAN),
3. detekcie škodlivému kódu a jeho odstraňovania na sieťovej úrovni,
g) fyzickú bezpečnosť a bezpečnosť prostredia podľa § 35, pričom pre požiadavku podľa § 35 písm. i) sa
1. vytvára aj plán kontinuity činnosti,
2. definuje v dohode o poskytovanej úrovni cloudových služieb aj doba obnovy; dobou obnovy je čas, do ktorého je poskytovateľ cloudových služieb v prípade výpadku povinný obnoviť ich poskytovanie,
h) aktualizáciu softvéru podľa § 36, pričom sa zabezpečuje aj testovanie aktualizácie virtualizačného prostredia a softvéru pre správu cloudu v testovacom prostredí,
i) monitorovanie a manažment bezpečnostných incidentov podľa § 36, pričom sa
1. pri požiadavke podľa § 37 písm. c) monitoruje aj správna funkčnosť všetkých komponentov cloud computingu,
2. pri požiadavke podľa § 37 písm. d) zabezpečuje aj podpora detekcie útokov na sieti, napríklad vo forme Intrusion Detection System (IDS) alebo Intrusion Prevention System (IPS),
3. poskytuje podpora zmiernenia a eliminácie útokov typu Denial of Service (DoS) a Distributed Denial of Service (DDoS),
4. zabezpečuje aj synchronizácia systémového času všetkých komponentov cloud computingu s cieľom používania jednotného času v celom prostredí cloud computingu,
j) periodické hodnotenie zraniteľnosti podľa § 38,
k) zálohovanie podľa § 39,
l) fyzické ukladanie záloh podľa § 40, pričom pre požiadavku podľa § 40 písm. b) je nevyhnutné uchovávať v súlade s týmto ustanovením aj prevádzkovú zálohu a dokumentáciu, súvisiacu s poskytovaným cloud computingom,
m) riadenie prístupu podľa § 41, pričom sa
1. pre požiadavku podľa § 41 písm. a) používa pri správe modulov podľa prílohy č. 7 jednotná služba pre účely identifikácie, autentifikácie a autorizácie systémových správcov a odberateľov cloudových služieb,
2. pre požiadavku podľa § 41 písm. i)
2a. automaticky zaznamenávajú aj všetky udalosti, spojené s úspešným alebo neúspešným prístupom, vrátane vzdialeného prístupu,
2b. zabezpečuje aj automatické zaznamenávanie všetkých činností spojených s aktiváciou alebo deaktiváciou cloudových služieb,
2c. zabezpečuje aj automatické zaznamenávanie všetkých udalostí spojených s funkčnosťou cloud computingu,
2d. zabezpečuje aj automatické zaznamenávanie detegovaných neoprávnených aktivít, najmä zo strany privilegovaných používateľských rolí, zariadení a softvéru, zaisťujúcich bezpečnosť cloud computingu,
2e. zabezpečuje aj automatické zaznamenávanie všetkých udalostí spojených so zmenami súvisiacimi najmä so sieťou, správou cloud computingu, hypervízorom, používaným operačným systémom, monitoringom, zálohovaním a obnovou,
2f. vyhodnocujú automatické záznamy za účelom identifikácie bezpečnostne relevantných udalostí, ktoré môžu viesť k bezpečnostným incidentom,
2g. vytvárajú automatické záznamy tak, aby obsahovali relevantné informácie a presný časový údaj,
2h. zabezpečujú všetky automatické záznamy pred neoprávnenou manipuláciou, zmenou a vymazaním,
2i. zálohujú automatické záznamy po dobu najmenej jedného roka,
3. pri správe modulov podľa prílohy č. 7 pre požiadavku podľa § 41 písm. j) podporuje riadenie prístupových oprávnení na základe rolí,
4. pri správe modulov podľa prílohy č. 7 umožňuje zmena hesiel pre prednastavené účty,
5. pri správe modulov podľa prílohy č. 7 umožňuje používanie politiky tvorby hesiel, ktorá zabezpečuje najmä adekvátnu komplexnosť hesiel, zobrazovanie informácie o úspešnom alebo neúspešnom prihlásení tak, aby z nej nebolo možné prečítať systémové informácie, určenie doby platnosti hesiel, exspirovanie prístupu po určenej dobe nečinnosti a blokovanie prístupu po určenom počte neúspešných prihlásení,
n) aktualizáciu informačno-komunikačných technológií podľa § 42,
o) účasť tretej strany podľa § 43.
(2) Na účely podľa odseku 1 sa povinnou osobou rozumie poskytovateľ cloudových služieb a informačným systémom verejnej správy sa rozumie cloud computing, okrem § 29 písm. a) ôsmeho bodu a § 29 písm. c), kde sa informačnými systémami verejnej správy rozumejú časti cloud computingu.
(3) Súčasťou štandardu pre správu cloud computingu v správe povinnej osoby podľa odseku 1 je aj bezpečnosť zdieľaného prostredia, pričom sa
a) pri výpadku niektorého fyzického komponentu alebo virtuálneho komponentu zabezpečuje migrácia do záložného prostredia podľa vopred určeného scenára tak, aby dodávka cloudových služieb nebola dlhodobo ohrozená,
b) umožňuje oddeliť údaje jednotlivých odberateľov cloudových služieb,
c) virtuálne komponenty oddeľujú do bezpečnostných zón podľa typu použitia s cieľom zníženia rizika neautorizovaného prístupu alebo zmien.