Ministerstwo Cyfryzacji wydało w ostatnim czasie „Standardy Cyberbezpieczeństwa Chmur Obliczeniowych” (SCCO), będące częścią szerszej inicjatywy – „Wspólna Infrastruktura Informatyczna Państwa” (WIIP). Dokument ten stanowi zbiór wymogów, w tym również o znaczeniu prawnym, adresowanych do podmiotów z sektora publicznego chcących korzystać z tzw. Rządowej Chmury Obliczeniowej (RChO) lub Publicznej Chmury Obliczeniowej (PChO). Model RChO można w uproszczeniu określić jako chmurę obliczeniową dostarczaną „przez administrację dla administracji”, podczas gdy PChO zakłada udział prywatnych dostawców.
Poziomy wymagań
Dokument wyróżnia cztery poziomy wymagań w zakresie bezpieczeństwa:
- SCCO1 – odnoszący się do informacji przeznaczonych do publicznego udostępnienia, które to informacje nie podlegają prawnym restrykcjom dotyczącym zachowania poufności;
- SCCO2 – odnoszący się do informacji, które choć są istotne dla realizacji statutowych działań podmiotu publicznego (w tym zawierają np. dane osobowe), to nie stanowią informacji niejawnych, chronionych przez przepisy prawa;
- SCCO3 – odnoszący się do informacji wrażliwych, prawnie chronionych oraz
- SCCO4 – odnoszący się do informacji niejawnych, których przetwarzanie w nieakredytowanych (w szczególności publicznych) środowiskach chmurowych jest w aktualnym stanie wykluczone.
Zaklasyfikowanie informacji do jednego z wyżej wskazanych poziomów jest decydujące dla podjęcia decyzji o stosowanym modelu chmury obliczeniowej (tj. RChO lub PChO).
Udział prywatnych dostawców
Z perspektywy prywatnych dostawców oferujących usługi chmurowe polskim podmiotom z sektora publicznego istotne znaczenie mają wymogi odnoszące się do poziomów SCCO1 i SCCO2. Zaklasyfikowanie informacji do poziomu SCCO3 wiąże się bowiem z koniecznością korzystania z Rządowej Chmury Obliczeniowej. Wśród wymogów tych istotne są:
- lokalizacja centrów danych – ograniczona w określonych przypadkach do terytorium EOG, a nawet samej tylko Polski;
- szczegółowe wymogi dotyczące bezpieczeństwa (m.in. szyfrowanie, back-up’y, zarządzanie incydentami, itd.);
- wymogi osobowe, które spełnić musi personel mogący mieć dostęp do chronionych informacji i danych.
Szersze otoczenie regulacyjne
Warto również zauważyć, że dokument tworzący SCCO nie stanowi kompletnego zbioru standardów i wymagań odnoszących się do korzystania z usług chmurowych przez sektor publiczny, lecz osadzony jest w szerokim otoczeniu regulacyjnym. Wymogi w zakresie korzystania z tego rozwiązań zawarte są również m.in. w ustawie o krajowym systemie cyberbezpieczeństwa oraz uchwale Rady Ministrów z września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa”.
Social Media cookies collect information about you sharing information from our website via social media tools, or analytics to understand your browsing between social media tools or our Social Media campaigns and our own websites. We do this to optimise the mix of channels to provide you with our content. Details concerning the tools in use are in our privacy policy.