Cloud Governance

Wsparcie w przygotowaniu organizacji do spełnienia wymagań wynikających z komunikatu Urzędu Komisji Nadzoru Finansowego, dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

 

Prace składają się z trzech opcji, jednak opcję pierwszą należy potraktować jako bazową

  1. Przygotowanie niezbędnych polityk, procedur rekomendacji adresujących wymagania wynikające z komunikatu UKNF,
  2. Wsparcie w analizie i dostosowaniu obecnych rozwiązań chmurowych (Microsoft Azure, Microsoft Office 365, Google Cloud i IBM Cloud) do wymagań UKNF. Warunkiem koniecznym w wykonaniu analizy jest wykonanie pierwszego punktu,
  3. Wdrożenie rozwiązań technicznych w usługach Microsoft Azure oraz Microsoft Office 365 podnoszących bezpieczeństwo wspomnianych usług oraz adresujących wymagania wynikające z reportu z audytu.

Raport z wcześniej przeprowadzonego audytu stanowić będzie dokument bazowy całego wdrożenia, jednak może się zdarzyć, iż w fazie wdrożeniowej konsultant będzie sugerował dodatkowe zmiany, procesy, rozwiązania techniczne.

Zakres prac Cloud Governance

W ramach przeprowadzonych prac zostaną przygotowane niezbędne polityki, procedury i rekomendacje adresujących wymagania wynikające z komunikatu UKNF. 

Lista materiałów

  • proces analizy matrycy stosowania komunikatu UKNF;
  • proces oceny i klasyfikacji informacji zgodny z wymaganiami komunikatu;
  • procedura oceny ryzyka przetwarzania informacji w chmurze obliczeniowej wraz z matrycą ryzyka;
  • rekomendacje w zakresie budowania kompetencji w obszarze rozwiązań chmurowych wraz z sposobem ich dokumentowania na potrzeby ewentualnych audytów;
  • wymagania do umów z dostawcą usług chmury obliczeniowej wraz opisanie procesu przeprowadzania weryfikacji tego typu umów;
  • proces przygotowywania planu przetwarzania informacji w chmurze obliczeniowej;
  • proces analizy dostawców usług chmury obliczeniowej;
  • lista wymagań dotyczących spełnienia warunków dotyczących zastosowania kryptografii w rozwiązaniach chmurowych wraz z opisem procesu takiej oceny;
  • proces dokumentowania działań podmiotu nadzorowanego;
  • procedura notyfikowania UKNF o przetwarzaniu informacji w chmurze obliczeniowej.

 

Produkty

  • polityki, procedury, rekomendacje;
  • rekomendacje dotyczące utworzenia nowych dokumentów bądź aktualizacji już istniejących;
  • dokument podsumowujący status wykonanych prac (*).

W ramach prac konsultanci nFlo wesprą Klienta podczas analizy i dostosowaniu obecnych rozwiązań chmurowych do wymagań UKNF. Warunkiem koniecznym wdrożenia jest realizacja pierwszego etapu (z możliwością zrównoleglenia prac). Prace będą obejmowały zarówno środowisko Microsoft Azure jak i Microsoft Office 365 jednak w ramach prac zostaną przeprowadzone konsultacje przy wskazanych przez Klienta próbkach z poniższych obszarów:

 

  1. Microsoft Office 365 – usługa poczty elektronicznej;
  2. Microsoft Azure – wybrana usługa uruchomiona na platformie;
  3. Microsoft Office 365 (pozostałe usługi) – wybrane dwie usługi uruchomione na platformie.

Uwaga: w większości przypadków część opracowań będzie wspólna dla platform (np. analiza umowy, analiza dostawcy, opcjonalnie notyfikacja UKNF) jednak zadania takie jak analiza ryzyka, ocena stosowania komunikatu, klasyfikacja oraz ocena informacji musi zostać wykonana dla konkretnych rozwiązań.

Produkty

  • niezbędna dokumentacja dla wskazanych rozwiązań wynikająca z przyjętego procesu „Cloud Governance”, raportu z audytu oraz komunikatu UKNF;

Sposób realizacji prac

  • praca zdalna;
  • komunikacja mailowa;
  • praca na dokumentach;
  • wszelkie prace będą koordynowane zarówno przez konsultanta nFlo jak i również przez przedstawiciela Klienta.

 

Wdrożenie rozwiązań technicznych

W ramach prac zostanie wykonane wdrożenie rozwiązań technicznych w usługach Microsoft Azure oraz Microsoft Office 365 podnoszących bezpieczeństwo wspomnianych usług oraz adresujących wymagania, wynikające z komunikatu UKNF oraz audytu. Lista wdrażanych narzędzi:

 

  • Azure AD Password Protection
  • Azure Bastion
  • Azure Key Vault
  • Azure Monitor / Azure Log Analytics / Azure Alerts
  • Vulnerability management
  • Azure Sentinel
  • Azure Security Center
  • Azure AD Identity Protection
  • Privileged Identity Management
  • Monitorowanie usługi Office 365.

 

Uwaga: Wdrożenie powyższych rozwiązań wpłynie na bezpieczeństwo środowisk Microsoft Azure oraz Microsoft Office 365, ale jednocześnie należy pamiętać, iż są one opcjonalne. Na podstawie przedstawionych rezultatów, analizy ryzyka, rekomendacji oraz oceny kosztów Klient podejmie finalną decyzję o implementacje danego rozwiązania. W ramach prac zarekomendujemy harmonogram wdrażania poszczególnych rozwiązań, uwzględniając ich priorytet.

 

Produkty

  • wdrożenie poszczególnych rozwiązań na środowisku Klienta;
  • omówienie konfiguracji z Klientem.

 

* Uwaga: faza „Cloud Governance” jest fazą bazową wymaganą do realizacji wszystkich pozostałych faz.

* Cloud Governance – wsparcie w dostosowaniu poszczególnych rozwiązań

 

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej:

https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf