Így használhatja a kormányzat biztonságosan a felhőt

Március elején mutatta be a Cloud Security Alliance (CSA) azt a dokumentumot, amely az európai tagállamoknak kíván segíteni a kormányzati felhők biztonsági keretrendszerének kidolgozásához. Az útmutató elkészítésében közreműködött az EU információbiztonsági szervezete, az ENISA és a Darmstadti Egyetem is. A segédanyag – amelynek elkészítéséhez két korábbi ENISA-tanulmányt is felhasználtak — lépésről-lépésre végigvezeti a kormányzatokat, hogyan intézzék a felhőszolgáltatások biztonságának garantálását. Mindezt négy fázisra, kilenc biztonsági tevékenységi körre és tizennégy lépésre osztja.

A négy fázis a PDCA-modellt követi: megtervezni a biztonsági kontrollokat (plan), bevezetni ezeket (do), ellenőrizni őket (check), majd az eredmények ismeretében kijavítani a hiányosságokat (act). A négy fázis összesen kilenc tevékenységre van felosztva. A tervezéshez tartozik a kockázatelemzés, az architekturális modell, valamint a biztonsági és adatvédelmi követelmények kidolgozása. A biztonsági kontrollok kiválasztása és azok implementációja, valamint a felhőszolgáltatás beindítása a bevezetési fázis részeit alkotja. Az ellenőrzéshez tartozik a biztonsági rendszerszabályok betartásának rendszeres monitorozása és az időnkénti auditálás. Végül a javítási fázisban kerül sor a változásmenedzsmentre és exit menedzsmentre.