Lorsque les petites entreprises choisissent des services informatiques basés sur le cloud, elles cherchent immédiatement à gagner du temps et de l'argent. Mais il est généralement impossible d'évaluer la sécurité d'un service «à l'œil nu» sans expérience. Même si les entreprises lisent attentivement l'accord du fournisseur de cloud, elles ne savent pas toujours ce qu'il faut rechercher.
L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a décidé d'aider les petites entreprises et a créé un guide de sécurité dans le cloud pour les PME . Ce guide décrit les risques liés à la sécurité de l'information pour les moyennes et petites entreprises, aide à formuler les bonnes questions au fournisseur de cloud et à vérifier le contrat de niveau de service (SLA). Tous les éléments de cette liste ne peuvent pas être vérifiés avec certitude, mais certains points sont entièrement confirmés par des certificats et des licences.
Aujourd'hui, nous examinons de plus près la liste des questions adressées au fournisseur. Évaluons-le avec une nouvelle perspective, complétons-le avec des exemples de la pratique russe et découvrons quelles preuves du fournisseur peuvent réellement garantir la protection des données dans le cloud.
1. Comment le fournisseur gère-t-il généralement les risques liés à la sécurité des informations?
. , .
, :
;
;
. , , , Cloud Controls Matrix Cloud Security Alliance, ISO/IEC 27017:2015 , (STAR). , .
, , ISO/IEC 27001. , .
2. , ?
, .
. ENISA :
, . , SaaS , , — . , .
, :
, . , PCI DSS . :
, . , ;
SLA;
: , .
3. , ?
- .
, , . , . DR-, .
-. , , .
, :
-, , Uptime Institute;
- , ;
, ;
, , (RTO RPO).
4. ?
, .
, :
, , - ;
.
5. , ?
: . , , .
, .
, :
;
, ;
(, );
, .
6. ?
, . , - .
, :
ISO/IEC 27001;
PCI DSS;
;
(IdM), , .
7. ?
, . , “ ”, . ENISA , , .
, :
, , ;
;
: , , ;
.
8. API ?
- API. , , .
, :
;
-;
.
9. , , ?
, . .
, :
;
;
, SLA.
10. ?
, . - .
, :
GUI, API, ;
.
11. , ?
. , , . , . , .
, .
, :
;
;
;
SLA, .
12. ?
“ ”. 152- , .
:
-;
;
.
, - ENISA . , ?