السؤال المتكرر: الخدمات السحابيّة والأمان؟
لا بد من تفكير مسؤولي أمن أو تقنية المعلومات ملياً قبل الاتجاه نحو الخدمات السحابيّة، حيث أنه من المهم جداً التفكير في مسألة أمن المعلومات قبل الانتقال إلى الخدمات السحابيّة، وهناك العديد من الأسئلة الأخرى التي يجب طرحها فيما يختصّ بأمن المعلومات قبل الانتقال إلى الخدمات السحابيّة. مثل:
- هل أنا آمن؟
- كيف أتأكد من أنني آمن؟
- كيف يمكنني مراقبة وتقييم درجة الأمان لدي؟
تمتلك العديد من الشركات حول العالم استضافة سحابية خاصة تقدّم الحماية للبيانات التي يتم تخزينها فيها، ولكن الاعتماد فقط على الحماية المقدمة من الشركات غير كافي بالنسبة لأيّ شخص يعمل ضمن مجال أمن المعلومات، حيث يجب توفر ما يلي:
- أداة
- برنامج
- إطار العمل
- معيار
وذلك من أجل مراقبة درجة الأمان وحوكمته في عصر الحوسبة السحابية.
حول برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)
تم إنشاء البرنامج كمبادرة تهدف إلى زيادة الشفافيّة في تنفيذ الممارسات الأمنيّة لموفري الخدمات السحابيّة في جميع أنحاء العالم، فهو يشكل المزيج الصحيح من عناصر التحكّم في الخدمات السحابيّة القادرة على تقييم الخدمات السحابيّة وفقاً لمعايير PCI DSS، ISO 27001، NIST SP800-53، COBIT، HIPPA، BITS، Fed RAMP، GAPP وغيرها من المعايير الدوليّة. يمكن اعتبار برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) كأحد البرامج القويّة لضمان أمن الخدمات السحابيّة، حيث يجمع بين المبادئ الرئيسيّة للشفافيّة والتدقيق الدقيق ومواءمة المعايير. إنّ ضمان الثقة الامنية والمخاطر (STAR) يمكن أن يضمن الشفافيّة في التعامل الأمني المتوافق مع المعايير العالميّة والقدرة على المراجعة من أيّ مدقق وفي أي جزئية خاصة.
تعتبر المنظمات التي تستخدم برنامج ضمان الثقة الأمنية والمخاطر (STAR) الأفضل من ناحية الممارسات الأمنية والتحقق من السلامة الأمنية لمنتجاتها القائمة على الحوسبة السحابيّة في جميع أنحاء العالم. يقدم برنامج أمن الحوسبة السحابية (CSA) وضمان الثقة الأمنية والمخاطر (STAR) وثائق سجل ضامنة للخصوصية والأمان لجميع عناصر التحكّم التي تستخدم وفقاً لمعايير الحوسبة السحابيّة. حيث يوفر هذا السجل الأدوات والمراجع اللازمة لأيّ عميل يفكر في الاستفادة من الخدمات السحابيّة لتقييم مزوّد الخدمة قبل الالتزام معه ويساعده في اتّخاذ القرارات الصحيحة.
لماذا نحتاج إلى برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)؟
سواء كنت مستخدم أم مزود أم مدقق أم ضامن للخدمات السحابيّة فأنت بحاجة الى معرفة المزيد عن أمن الخدمات السحابيّة من مصدر موضوعي تابع لجهة ثالثة. أنت بحاجة إلى الأدوات المناسبة للتأكد من أنك تؤدي دورك في تأمين النظام السحابي مع دعم معايير الصناعة.
أطر الشهادة المفتوحة
المستوى الأول من برنامج ضمان الثقة الأمنية والمخاطر (STAR)
1-التقييم الذاتي:
هو عرض مجاني يوثق ضوابط الأمان التي توفرها عروض الحوسبة السحابيّة المتنوعة، مما يساعد العملاء على تقييم أمان مزودي الخدمات السحابيّة الحاليين أو الجدد.
يمكن للمؤسسات إجراء تقييم ذاتي للأمان والخصوصيّة ثم يمكنهم إرسالها إلى أيّ شركة تستخدم مصفوفة ضوابط الخدمات السحابيّة لأصول المؤسسة لتقييم الضوابط والتوثيق:
- تكرار التقييم الذاتي:
يتم تحديث التقييمات الذاتيّة لبرنامج ضمان الثقة الأمنية والمخاطر (STAR) سنوياً.
- رؤية العميل:
يقدّم مزودو الخدمات السحابيّة استبانة مبادرة التقييمات التوافقية الكاملة (CAIQ) لتوثيق الالتزام بمصفوفة ضوابط الخدمات السحابيّة (CCM). يصبح هذا المستند بعد ذلك متاحاً للجمهور مما يعزز شفافيّة الصناعة ويوفر رؤية للعميل للممارسات الأمنية لمزوّد معيّن.
تضمن الوثيقة المنشورة سريّة المعلومات الحساسة وعدم الكشف عن أيّة معلومات، وتستند عمليات إرسال تقييم الخصوصيّة إلى مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات.
2-التقييم الذاتي لمدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات:
يتألف النشر التطوعي في سجل برنامج ضمان الثقة الأمنية والمخاطر من وثيقتين:
- بيان الالتزام بقواعد السلوك
- نموذج مدونة الممارسات PLA (CoP) – الملحق 1 نتائج التقييم الذاتي
يغطي التقييم الذاتي الالتزام باللائحة العامة لحماية المعلومات (GDPR) لخدمة أو خدمات تقدّمها سياسة أمن المحتوى (CSP)، وتحصل المنظمة بعد نشر الوثيقة في السجل على علامة الالتزام بالمعايير صالحة لمدّة عام واحد.
تتمّ مراجعة التقييم الذاتي عند تغيير سياسات الشركة أو الممارسات المتعلقة بالخدمة قيد التقييم.
المستوى الأول المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR)
لضمان فعاليّة الضوابط تستخدم سياسة أمن المحتوى التي تستخدم استبانة مبادرة التقييمات التوافقية (CAIQ) لتحقيق التقييم الذاتي كل 30 يوم (على سبيل المثال)، على عكس المتطلبات السنويّة وذلك من أجل تحقيق المستوى الأول المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR).
المستوى الثاني من برنامج أمن الحوسبة السحابيّة (CSA) ضمان الثقة الأمنية والمخاطر (STAR)
يسمح المستوى الثاني من برنامج ضمان الثقة الأمنية والمخاطر (STAR) للمنظمات بإنشاء شهادات ومعايير صناعيّة أخرى لجعلها خاصة بالخدمات السحابيّة.
تدقيق الطرف الثالث:
يمكن للمنظمات اختيار عمليات تدقيق الأمان والخصوصيّة والشهادات من أيّ شركة تدقيق تابعه لجهة ثالثة، وتختلف كلّ منظمة في الموقع وبعض المعايير والأدوار والقوانين التي تنطبق على هذه المنظمة لذلك من المهم اختيار جهة ثالثة لها نفس المعايير والأدوار والقوانين.
- تصديق برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR):
إنّ تصديق برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) هي عبارة عن تعاون بين برنامج أمن الحوسبة السحابيّة (CSA) والمعهد الأمريكي للمحاسبين القانونيين المعتمدين AICPA لتقديم إرشادات لـ CPA لإجراء ارتباطات SOC 2 باستخدام معايير مقدمة من المعهد الأمريكي للمحاسبين القانونيين المعتمدين AICPA (مبادئ خدمة الثقة، AT 101) ومصفوفة ضوابط الخدمات السحابيّة الخاصة ببرنامج أمن الحوسبة السحابيّة.
توفر شهادة برنامج ضمان الثقة الأمنية والمخاطر (STAR) تقييمات صارمة ومستقلة من جهات خارجيّة لمزودي الخدمات السحابيّة.
- صلاحية قوائم التصديق
تكون مدّة صلاحية الشهادة سنة واحدة ما لم يتمّ تحديثها.
- شهادة برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)
إنّ شهادة برنامج أمن الحوسبة السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR) هي تقييم دقيق ومستقل من طرف ثالث لأمن مزوّد الخدمة السحابيّة، وتعزز شهادة الحياد التكنولوجي متطلبات معيار نظام إدارة أمن المعلومات ISO/IEC 27001:2013 جنباً إلى جنب مع مصفوفة ضوابط الخدمة السحابيّة لبرنامج أمن الحوسبة السحابيّة (CSA).
تتبع شهادات الاعتماد بروتوكول ISO/IEC 27001 العادي وتنتهي صلاحيتها بعد ثلاث سنوات ما لم يتمّ تحديثها.
- شهادة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات
تعدّ شهادة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR CoC) شهادة من طرف ثالث تتضمن التزام خدمات أمن المحتوى في اللائحة العامة لحماية البيانات (GDRP) استناداً إلى مدونة قواعد السلوك لبرنامج أمن الحوسبة السحابيّة (CSA) الخاصة باللائحة العامة لحماية البيانات (GDRP). بعد نشر الوثيقة في السجل تمنح الشركة علامة الالتزام صالحة لمدّة عام واحد، وتتمّ مراجعة التقييم الذاتي فكلما كان هناك تغيير في سياسات الشركة أو الممارسات المتعلقة بالخدمة المُقيّمة.
المستوى الثاني المستمر من برنامج ضمان الثقة الأمنية والمخاطر (STAR)
عملية آليّة يقوم فيها مزوّد الخدمة السحابيّة بأتمتة ممارسات الأمان الحاليّة، وتكون الممارسات الأمنية للمزودين منشورة للجمهور حيث يمكن لكل عميل أو بائع أن يستخدم الأداة المناسبة لالتقاط ممارسات مزوّدي الأمن التي تمّ نشرها.
يمكن لسياسة أمن المحتوى (CSP) التي تحمل شهادة أو تقييم من طرف ثالث تحقيق المستوى الثاني المستمر من برنامج ضمان الثقة الامنية والمخاطر (STAR) عن طريق إضافة تقييم ذاتي مستمر كما هو الحال في المستوى الأول من برنامج ضمان الثقة الامنية والمخاطر (STAR)، ويضمن المُقيّم أيضا أن نطاق التقييم يشمل برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر ويقيّم إرساليات سياسة أمن المحتوى (CSP) الخاصة باستبانة مبادرة التقييمات التوافقية (CAIQ) ضمن فترة من الزمن.
بداية من الزيارة الرقابية السابقة أو زيارة إعادة التصديق، وبالنسبة لتصديق برنامج ضمان الثقة الأمنية والمخاطر (STAR) فيتمّ إصدار تقرير الضمان المحدود لربط الفترة بين تقريري التصديق ويقدم مراجعة في تقرير التدقيق فيما يتعلق بالأنشطة التي يقوم بها المُقيّم والتي تؤكد أن سياسة أمن المحتوى استوفت متطلبات برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمرة.
لمستوى الثالث من برنامج أمن الحوسبة السحابيّة (CSA) ضمان الثقة الأمنية والمخاطر (STAR)
ضمان وشفافيّة كاملة للخدمات السحابيّة. إذا كانت منظمتك تعمل في بيئة عالية الخطورة فإننا نوصي بالمتابعة الى المستوى الثالث من برنامج ضمان الثقة الأمنية والمخاطر (STAR).
المراقبة المستمرة لبرنامج أمن الحوسية السحابيّة (CSA) وضمان الثقة الأمنية والمخاطر (STAR)- يجهز قريباً
تعتبر سياسة أمن المحتوى هي الأكثر شفافيّة من خلال عملية آلية مستمرة تضمن مراقبة عناصر التحكم في الأمان والتحقق من صحتها في جميع الأوقات، يتكوّن كل إطار تحكّم من عدّة ضوابط والتي تمّ تصميمها لضمان تنفيذ أحد المتطلبات.
عند التحضير للتدقيق المستمر يتمّ وصف كلّ عنصر من عناصر التحكّم من خلال أهدافه المميّزة وهي هدف مستوى الخدمة (SLO) والهدف النوعي للخدمة (SQO).
يتمّ جمع البيانات من خلال المقياس الذي تمّ اختياره لتقديم مدخلات حول إحدى الخصائص، ويعتمد التقييم الآلي في الغالب على أدوات المراقبة مثل تحليلات السجل وإحصاءات الشبكة والمراقبة وإحصاءات العمليات أو مدى فاعلية الاستفادة من الموارد المتاحة.
في مرحلة التقييم يتم تحديد حالة التوافق مع هدف الشهادة من خلال تقييم الضوابط، وسيتمّ نشر نتيجة التقييم وتأكيدها وفقاً لمستوى التأكيد المستهدف من قبل طرف ثالث، وسينتج عن ذلك إصدار شهادة.
يحتوي كل مستوى من مستويات برنامج ضمان الثقة الأمنية والمخاطر (STAR) أيضاً على خيار تدقيق مستمر يتيح لك زيادة شفافيتك، ويمكن الحصول على برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر من خلال البناء على مستوى برنامج ضمان الثقة الأمنية والمخاطر (STAR) الحالي لسياسة أمن المحتوى (CSP).
المستوى الأول من برنامج ضمان الثقة والأمن والمخاطر (STAR): سياسة أمن المحتوى (CSP) التي تستخدم استبانة مبادرة التقييمات التوافقية (CAIQ) لتحقيق التقييم الذاتي وهو تقييم لحظي، يمكن أن يستخدم التقييم الذاتي المستمر لإثبات فعاليّة الضوابط خلال فترة زمنية وبالتالي تحقيق المستوى الأول من برنامج ضمان الثقة الأمنية والمخاطر المستمر.
المستوى الثاني من برنامج ضمان الثقة والأمن والمخاطر (STAR): يمكن لسياسة أمان المحتوى التي تحمل تدقيقاً من طرف ثالث تحقيق المستوى الثاني من برنامج ضمان الثقة الأمنية والمخاطر (STAR) المستمر عن طريق إضافة تقييم ذاتي مستمر، والذي يسمح لهم بإبلاغ العملاء بسرعة بالتغييرات التي تطرأ على برامج الأمان الخاصة بهم بدلاً من التواصل معهم خلال فترة المراجعة التالية في المستوى العادي من المستوى الثاني لبرنامج ضمان الثقة الأمنية والمخاطر (STAR).
المستوى الثالث من برنامج ضمان الثقة والأمن والمخاطر (STAR): إنّ سياسة مستوى أمان المحتوى هي الأكثر شفافيّة من خلال عملية آلية ومستمرة تضمن مراقبة عناصر التحكم في الأمان والتحقق من صحتها في جميع الأوقات.
الأدوات الأساسية لبرنامج ضمان الثقة والأمن والمخاطر (STAR)
تقسم إلى قسمين رئيسيين:
- الأمن الذي يحتوي مصفوفة ضوابط الخدمات السحابيّة (CCM) & واستبانة مبادرة التقييمات التوافقية (CAIQ)
- الخصوصية التي تحتوي على مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات
مصفوفة ضوابط الخدمات السحابية (CCM)
إنّ مصفوفة ضوابط الخدمات السحابيّة (CCM) لبرنامج أمن الحوسبة السحابيّة (CSA) عبارة عن إطار عمل للتحكم في الأمن السيبراني للحوسبة السحابيّة، ويتكوّن هذا الإطار من 133 هدفاً للتحكم تغطي 16 مجالاً متعلقاً بالتكنولوجيا السحابيّة.
يمكن لأيّ عميل استخدام مصفوفة ضوابط الخدمات السحابيّة (CCM) كأداة لتقييم تنفيذ الخدمات السحابيّة، كما توفر مصفوفة ضوابط الخدمات السحابيّة (CCM) إرشادات لاختيار عناصر التحكم في الأمان أثناء التنفيذ.
يتوافق إطار عمل مصفوفة ضوابط الخدمات السحابيّة (CCM) مع إرشادات الأمان الإصدار 4 ويعتبر معياراً لضمان الأمان السحابي والالتزام بها.
خريطة لأطر عمل المعايير والقوانين والضوابط:
يتم تعيين عناصر التحكّم في مصفوفة ضوابط الخدمات السحابيّة (CCM) وفقاً لمعايير الأمان والقوانين وأطر التحكّم المقبولة في الصناعة بما في ذلك على سبيل المثال لا الحصر: ISO 27001/27002/27017/27018، NIST SP 800-53، AICPA TSC، ENISA إطار ضمان المعلومات، BSI C5 الألماني، PCI DSS، ISACA COBIT، NERC CIP، وغيرها الكثير.
استبيان مبادرة تقييمات التوافقية (CAIQ) الإصدار 3.1
تمّ تقديم استبانة مبادرة التقييمات التوافقية (CAIQ) الإصدار 3.1 من قِبل برنامج أمن الحوسبة السحابية (CSA). توفّر استبانة مبادرة التقييمات التوافقية وثيقة بسيطة تسهل اختيار أيّ من عناصر التحكّم الأمنية في خدمات IaaS، PaaS، SaaS سيتمّ تطبيقه، تتكون استبانة مبادرة التقييمات التوافقية (CAIQ) من مجموعة من الأسئلة (نعم/لا) والتي تظهر في ذهن العميل أو المدقق قبل تحديد مزوّد الخدمة السحابيّة. ولا بد من التأكد من التزام مزوّد الخدمة السحابيّة بمصفوفة ضوابط الخدمة السحابية (CCM)، ويمكن لاستبانة مبادرة التقييمات التوافقية (CAIQ) مساعدة العملاء على التأكد من أنّ الأمان المقدّم من مزوّدي الخدمة كافٍ وأن أرشيفهم محمي وآمن.
ما هي مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات؟
تمّ تطبيق اللائحة الأوروبية العامة لحماية البيانات (EU GDPR) مؤخراً، وتحتوي مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) على جميع المتطلبات للالتزام باللائحة الأوروبية العامة لحماية البيانات (EU GDPR) والتي يجب أن يفي بها مزوّد الخدمة السحابيّة، وتمّ إنشاء مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) من خلال التنسيق مع ممثل من سلطات حماية البيانات في دول الاتحاد الأوروبي، وتساعد مدونة قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) المنظمات على الالتزام باللائحة الأوروبية العامة لحماية البيانات.
