Vísanir í stýringar geta gefið stofnunum hugmyndir um hvaða skjöl/ferla þurfi að uppfæra vegna skýjaverkefnisins t.d. með að fletta upp í yfirlýsingu um nothæfi (SoA, Statement of Applicability). Útfærslur stýringa geta tekið breytingum þegar ný tækni er innleidd.

Þær ógnir sem stofnun ákveður að bregðast við byggt á áhættumati geta þurft að viðhafa ýmsa flokka öryggisúrræða. Eftirfarandi eru nokkrir almennir flokkar sem geta átt við en þarf að laga að þörfum og aðstæðum hverrar stofnunar. 

NIST (National instituate of Standards and Technology) gefur út Cybersecurity Framework (CSF) og er vísað í undirkafla þeirra leiðbeininga í köflunum hér að neðan ásamt leiðbeiningum um innleiðingar úr ISO27001.

Stjórnun aðgangs

Mikilvægt er að ferlar sem snúa að veitingu, breytingu og afskráningu aðganga séu uppfærðir til að taka mið af þeim þörfum sem gerðar eru til samræmingar og samtenginga við skýjageira. Einnig þarf að huga sérstaklega að því að reglubundin rýni taki til þessara atriða.

Ógnir sem þarf að taka tillit til eru m.a.:

·       Óviðkomandi aðili kemst inn án tveggja þátta auðkenningar í gegnum VPN tengingu hjá stofnun.

·       Flokkun og meðhöndlun gagna þarf að taka tillit til nýrra aðferða og tækifæra sem opnast við innleiðingu á skýjaþjónustum.

  

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a.:
  • A.6.2: Farandtæki og fjarvinna

  • A.8.2 Flokkun upplýsinga

  • A.9.1.1 Stefna um aðgangsstýringu

  • A.9.2.2 Útvegun notendaaðgangs

  • A.9.2.6 Niðurfelling eða aðlögun á aðgangsréttindum

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.AC-3

  • PR.DS-5

  • PR.PT-2

  • PR.DS-5

  • PR.AC-1

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.3.2.1 – Stefna um farandtæki

  • 6.5.2.1 – Flokkun upplýsinga

  • 6.5.2.2 – Merking upplýsinga

  • 6.6.2.1 – Skráning og afskráning notenda

  • 6.6.2.2 – Úthlutun aðgangsréttinda

Þó meginþáttur á uppfærslum í skýjalausnum sé á ábyrgð þjónustuaðilans er hugbúnaður t.d. samtengingar á AD umhverfum, Office pakki og tengd forrit sem þarf að tryggja að séu uppfærð reglulega. Skýjaþjónustur eru í stöðugum uppfærslum og mikilvægt að viðhalda nýjustu útgáfum m.t.t. virkni og öryggis.

  

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:

·       A.12.1.2 Breytingarstjórnun

·       A.12.5.1 Uppsetning hugbúnaðar á kerfum í rekstri

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:

·       PR.IP-01

·       PR.IP-03

·       DE.CM-5

·       PR.DS-6

·       PR.IP-01

·       PR.IP-03

Veikleikagreiningar og innbrotsprófanir

Veikleikar í skýjaþjónustum geta haft mikil áhrif þar sem þær eru opnar fyrir fleiri aðilum en hefðbundnar þjónustur sem keyrðar eru innan afmarkaðs umhverfis eins aðila. Stofnanir þurfa að fylgjast með tilkynningum og fréttum um veikleika ásamt því að kanna eigin uppsetningar sem notaðar eru til að vinna með skýjaþjónustum. Einnig þarf að kanna sérstaklega veikleika- og innbrotsmöguleika í þeim þjónustum sem settar eru upp í umhverfum stofnana til að eiga samskipti við skýjageira.

 


Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:

·       A.12.7.1 Stýringar úttekta á upplýsingakerfum

·       A.16.1.3 Tilkynningar um upplýsingaöryggisveikleika

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:

·       PR.PT-1

Atvikastjórnun (e. Incident Management)

Mikilvægt er að ferli sé til staðar sem tekur með samkvæmum og árangursríkum hætti á stjórnun atvika sem upp koma, þ.á.m. miðlun upplýsinga um öryggisatburði og -veikleika. Atvik sem hafa áhrif á stofnun en gerast hjá þriðja aðila þarf að meðhöndla og kanna hvort stofnunin geti brugðist við t.d. með breyttu vinnulagi eða öðrum þjónustum þó sjálft atvikið sé á ábyrgð þriðja aðila.

Ógnir sem þarf að taka tillit til eru m.a:

·       Skýjaþjónusta verður óaðgengileg, af ýmsum mögulegum orsökum

·       Álag eða álagsárás hefur áhrif á tiltækileika

·       Gögn ekki aðgengileg þegar á þarf að halda

 

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.16.1.1 Ábyrgð og verklagsreglur

  • A.16.1.5 Viðbrögð við upplýsingaöryggisatvikum

  • A.16.1.6 Að læra af upplýsingaöryggisatvikum

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • DE.AE-2

  • PR.IP-09

  • RS.CO-1

  • RC.RP-1

  • RS.AN-1

  • RS.MI-1

  • RS.MI-2

  • RS.RP-1

  • DE.DP-5

  • PR.IP-08

  • RS.AN-2

  • RS.IM-1

  • RS.AN-3

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.13.1.1 - Ábyrgð og verklagsreglur

  • 6.5.2.1 – Flokkun upplýsinga

  • 6.5.2.2 – Merking upplýsinga

  • 6.6.2.1 – Skráning og afskráning notenda

  • 6.6.2.2 – Úthlutun aðgangsréttinda

Innbrotsvöktunarkerfi (e.Intrusion Detection system / Intrusion Prevention System)

Mikilvægt er að netkerfi og upplýsingar séu verndaðar fyrir ytri ógnum og að þessar varnir séu til staðar eða sambærilegar, hvort sem kerfum er útvistað eða ekki. Sé kerfum útvistað þarf kaupandi að fullvissa sig um að þjónustuaðili sé að uppfylla kröfur.

 

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:

·       A.13.1.1 Netstýringar

·       A.13.1.2 Öryggi netþjónusta

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:

·       PR.AC-3

·       PR.AC-5

·       PR.DS-2

·       PR.PT-4

Öryggisafritunartaka (e. Backup)

Mikilvægt er fyrir stofnun að tekið sé öryggisafrit af mikilvægum upplýsingum og hugbúnaði ásamt kerfisafritum og prófa í samræmi við samþykkta stefnu og áætlun. Færsla á gögnum frá eigin umhverfi yfir í skýjaumhverfi getur haft áhrif á framkvæmd öryggisafrita og er það á ábyrgð viðkomandi stofnunar að endurmeta og framkvæma öryggisafrit í samræmi við breytt fyrirkomulag þjónustunnar.

Ógnir sem þarf að taka tillit til eru m.a:

·       Gögn tapast vegna  bilunar eða mistaka

·       Gögn spillast, til dæmis vegna mistaka eða bilunar

·       Afritunarreglur er ekki í gildi

 

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.12.3.1 Öryggisafritun upplýsinga

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.DS-4

  • PR.IP-04

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.9.3.1 - Öryggisafritun upplýsinga

  • 6.5.2.1 – Flokkun upplýsinga

  • 6.5.2.2 – Merking upplýsinga

  • 6.6.2.1 – Skráning og afskráning notenda

  • 6.6.2.2 – Úthlutun aðgangsréttinda

Innleiðing nýrra kerfa, hugbúnaðar og forrita

Mikilvægt er að tryggja eins og hægt er að öryggi upplýsinga sé órjúfanlegur þáttur upplýsingakerfa á öllum lífsferli þeirra. Að færa vinnslur og gögn í skýjaþjónustur er innleiðing á nýju kerfi og huga þarf að öllum þáttum þessa skjals í slíkum verkefnum.

Ógnir sem þarf að taka tillit til eru m.a:

·       Flæði gagna milli aðila virkar ekki sem skyldi

·       Ekki er full virkni á nýjum kerfum eða öryggisþáttum



Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:

·       A.14.1.1 Greining og framsetning á upplýsingaöryggiskröfum

·       A.14.2.1 Örugg þróunarstefna

·       A.14.2.2 Verklagsreglur um kerfisbreytingar

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:

·       PR.IP-02

·       PR.IP-01

·       PR.IP-03

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.11.2.1 - Örugg þróunarstefna

  • 6.5.2.1 – Flokkun upplýsinga

  • 6.5.2.2 – Merking upplýsinga

  • 6.6.2.1 – Skráning og afskráning notenda

  • 6.6.2.2 – Úthlutun aðgangsréttinda

Breytingarstjórnun

Mikilvægt er að stýra breytingum á stofnunum, rekstrarferlum, aðstöðu og kerfum til upplýsingavinnslu sem haft áhrif á öryggi upplýsinga.  Breytingar sem gerast utan stofnunar en hafa áhrif á rekstur og öryggi hennar þarf að stýra með sama hætti. Ef ytri aðili er að gera breytingar á þjónustum (t.d. skýjaþjónustuaðili) þarf stofnun að tryggja að upplýsingar um breytingar berist svo hægt sé að gera ráðstafanir ef þarf til að mæta þeim breytingum.

Ógnir sem þarf að taka tillit til eru m.a:

·       Breytingar á innri eða ytri þáttum hafa áhrif á virkni ytri þátta

·       Gögn tapast vegna mistaka eða vísvitandi breytinga sem hafa ófyrirséðar afleiðingar

·       Uppfærslur og breytingar skýjaþjónustuaðila hafa ófyrirséðar afleiðingar

 

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.12.1.2 Breytingastjórnun

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.IP-01

  • PR.IP-03

Ráðningar

Mikilvægt er að starfsfólk skilji ábyrgð sína og sé hæfttil að taka að sér þau verkefni og hlutverk sem þeim eru ætluð. Ferli við ráðningar og úthlutun aðgangs þarf að vera skilgreint til að nýtt starfsfólk fái einungis þann aðgang að því sem það þarf starfs síns vegna.

Ógnir sem þarf að taka tillit til eru m.a:

·       Mistök í ferli við ráðningar veldur að starfsfólk fær rangan eða takmarkaðan aðgang


Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.7.1.1 Ferilkönnun

  • A.7.1.2 Ráðningarskilmálar

  • A.9.2.1 Skráning og afskráning notenda

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.DS-5

  • PR.IP-11

  • PR.AC-1

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.6.2.1 – Skráning og afskráning notenda

Trúnaðaryfirlýsingar

Mikilvægt er að samningar við starfsfólk og verktaka kveði á um ábyrgð þeirra gagnvart öryggi upplýsinga og að þessi ábyrgð endurspegli þarfir stofnunarinnar um verndun upplýsinga. Þetta gildir einnig um starfsfólk þjónustuaðila sem hafa aðgang að gögnum og vinnslum stofnunarinnar t.d. hjá rekstraraðilum skýjageira.

Ógnir sem þarf að taka tillit til eru m.a:

·       Gögn verða aðgengileg vegna trúnaðarbrests innri eða ytri aðila


Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.13.2.4 Samkomulag um trúnað eða þagnarskyldu

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.DS-5

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.10.2.4 - Samkomulag um trúnað eða þagnarskyldu

  • 6.5.2.1 – Flokkun upplýsinga

  • 6.5.2.2 – Merking upplýsinga

  • 6.6.2.1 – Skráning og afskráning notenda

  • 6.6.2.2 – Úthlutun aðgangsréttinda

Þjálfun starfsmanna og verktaka

Mikilvægt er að allt starfsfólk, og þar sem við á, verktakar skuli fá viðeigandi vitundarþjálfun, fræðslu og reglubundna endurnýjaða fræðslu um stefnur stofnunar og þær verklagsreglur sem við eiga fyrir störf þeirra. Þjálfun í réttri notkun á nýjum kerfum eins og skýjalausnum þarf að taka til sértækra atriða sem eru í uppsetningu skýjageira hins opinbera.

Ógnir sem þarf að taka tillit til eru m.a:

·       Gögn tapast vegna ónægilegrar þjálfunar starfsfólks eða verktaka

·       Gögnum er deilt með óviðkomandi aðila

·       Gögnum er deilt með ótryggum aðferðum eða lausnum

  

Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:
  • A.7.2.2 Vitund, fræðsla og þjálfun í upplýsingaöryggi

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:
  • PR.AT-1

  • PR.AT-2

  • PR.AT-3

  • PR.AT-4

  • PR.AT-5

Stýringar í ISO 27701 sem taka til þess flokks eru m.a:
  • 6.4.2.2 – Vitund, fræðsla og þjálfun í upplýsingaöryggi

Starfslok

Mikilvægt er að tekið sé tillit til ábyrgðar á upplýsingaröryggi og þær skyldur sem eru enn í gildi eftir starfslok eða breytingar á ráðningu séu skilgreindar og kynntar starfsfólki eða verktaka og þeim sé framfylgt. Aðgangur að skýjalausnum er óháður staðsetningu og því mikilvægt að aðgangi sé lokað tímanlega og tryggilega við starfslok þar sem hann er óháður staðsetningu.

Ógnir sem þarf að taka tillit til eru m.a:

·       Frágangur á gögnum við starfslok er ekki í samræmi við reglur

 


Stýringar í ISO 27001:2013 sem taka til þessa flokks eru m.a:

·       A.7.3.1 Ábyrgð við lok eða breytingu á ráðningu

·       A.9.2.6 Niðurfelling og rýni á aðgangsréttindum

Stýringar í NIST CSF sem taka til þessa flokks eru m.a:

·       PR.DS-5

·       PR.IP-11