Avalike pilveteenuste kasutamisest andmetöötluses - märgukirja kommnetaarid

Vasta
Milana
Postitusi: 48
Liitunud: E Nov 12, 2018 2:14 pm

Avalike pilveteenuste kasutamisest andmetöötluses - märgukirja kommnetaarid

Postitus Postitas Milana » N Nov 21, 2019 2:35 pm

Pilveteenuste kasutamise juhiste (https://www.aki.ee/sites/default/files/ ... stes_0.pdf) peamisi eesmärke on panna asutused mõtlema andmekaitse valdkonna riskide peale ning ka selle peale, kuidas tagada asutuse töö võimaliku sidekatkestuse korral.
Tuleb hinnata, kas ja mis ulatuses on olemas tagavaralahendused või kuidas käituda olukorras, kus teenusepakkuja ei suuda mingil põhjusel kokkulepitud teenuseteaset tagada. Või on toimunud turvaintsident, mille tulemusena on isikuandmed saanud teatavaks kõrvalistele isikutele.

Juhiste eesmärgiks ei ole kindlasti üleskutse hakata kõiki IT teenuseid ise kohapeal ehitama, küll tasub võimalusel kaaluda teenusepakkujat, kelle serverid asuvad teenuse tarbimiskohale lähemal (ehk siis vähem võimalikke rikkekohti) või kelle puhul on paremini tagatud toimetulek võimaliku turvaintsidendi korral.
Kindlasti tuleks läbi lugeda RIA juhised pilveteenuste kohta - https://www.ria.ee/sites/default/files/ ... juhend.pdf
Tuleb arvestada, et mida väiksem on isikute (ja ettevõtete) ring, kes potentsiaalselt andmetele juurde pääsevad, seda väiksem on üldjuhul ka andmetega seotud risk.
Soovitame kontrollida, et teenusepakkuja oleks võimeline pakkuma lahendust turvalisel viisil ning oleks läbinud ka vastavad sertifitseerimised.
Ehk siis teenust ise korraldades võivad samuti esile kerkida suured riskid, seda eelkõige ressursside, personali ja järelevalve osas.
Mõned näited rahvusvaheliselt tunnustatud auditeerimis- või sertifitseerimisskeemidest on toodud järgnevas loetelus (mis ei ole kindlasti lõplik):
• BSI - Compliance Controls Catalogue (C5)
• Cloud Security Alliance - CSA STAR ja CSA Cloud Controls Matrix
• PCI DSS, Payment Card Industry Data Security Standard
• ISO 27001
• ISAE SOC-2

Vasta