Page 41 - Ujčič, Anton, in Viktorija Florjančič, 2017. Javna uprava v računalniškem oblaku. Koper: Založba Univerze na Primorskem.
P. 41
Računalništvo v oblaku 41
upravljanja informacijske varnosti, ki ima jasne smernice za vpeljavo. Rav-
no zaradi teh prednosti je standard najbolj razširjen in sprejet v npr. fi-
nančni industriji, ki ima še posebno stroge zahteve (prav tam).
Pomembnost standardov družine ISO 27000 izpostavlja tudi Mit
chell (2015), vendar ugotavlja, da so nekatere zahteve, ki govorijo o zaseb-
nosti in varovanju osebnih podatkov v obstoječem standardu ISO/IEC
27001, preveč splošne. S pojavom računalništva v oblaku se je pokaza-
la potreba po razvoju novega standarda ISO/IEC 27018 (ISO 2014c), ki
vsebuje dodatne kontrole za varovanje zasebnosti in varnosti osebnih po-
datkov v računalniških oblakih. Drugi pomemben novejši standard za
področje računalništva v oblaku je standard ISO/IEC 27017 (ISO 2015),
ki vsebuje dodatne smernice za vpeljavo specifičnih varnostnih kontrol za
ponudnike in uporabnike računalništva v oblaku (prav tam). Standard
ISO/IEC 27018 je bil sprejet leta 2014, standard ISO/IEC 27017 pa v
letu 2015.
V kontekstu evropske strategije računalništva v oblaku (Evropska ko-
misija 2012) je EU izbrala skupino predstavnikov industrije (Cloud Select
Industry Group), ki so v okviru delovne skupine razvijali certifikacijske
sheme za računalništvo v oblaku (Draoli idr. 2014). Ta skupina je za pod
ročje računalništva v oblaku sestavila seznam potrditvenih (certifikacij-
skih) shem, ki jih podpirajo naslednji standardi in priporočila:
- ISO/IEC 27001 (ISO 2013),
- ISO/IEC 20000 (ISO 2011),
- ITIL (angl. Information Technology Infrastructure Library)
(ITIL b. l.),
- CSA Open Certification framework (b. l.),
- Eurocloud StarAudit (StarAudit 2011),
- LEET Security (b. l.) Rating Guide in
- COBIT (Control Objectives for Information and related Tech-
nology).
Evropska agencija za omrežja in informacijsko varnost (Europe-
an Union Agency for Network and Information Security – ENISA)
je za področje računalništva v oblaku v javnih upravah držav članic
EU, prip ravila generični okvir upravljanja informacijske varnosti (Live-
ri in Dekker 2015). Okvir je osnovna struktura na kateri temelji sistem
upravljanja informacijske varnosti in zajema opredelitev splošnih pojmov,
konceptov in praks za doseganje primernega nivoja informacijske varnos-
ti. Avtorja sta na podlagi predhodne analize praktičnih izkušenj pri uved-
bi računalniških oblakov na področju javnih uprav in izvedenih inter-
upravljanja informacijske varnosti, ki ima jasne smernice za vpeljavo. Rav-
no zaradi teh prednosti je standard najbolj razširjen in sprejet v npr. fi-
nančni industriji, ki ima še posebno stroge zahteve (prav tam).
Pomembnost standardov družine ISO 27000 izpostavlja tudi Mit
chell (2015), vendar ugotavlja, da so nekatere zahteve, ki govorijo o zaseb-
nosti in varovanju osebnih podatkov v obstoječem standardu ISO/IEC
27001, preveč splošne. S pojavom računalništva v oblaku se je pokaza-
la potreba po razvoju novega standarda ISO/IEC 27018 (ISO 2014c), ki
vsebuje dodatne kontrole za varovanje zasebnosti in varnosti osebnih po-
datkov v računalniških oblakih. Drugi pomemben novejši standard za
področje računalništva v oblaku je standard ISO/IEC 27017 (ISO 2015),
ki vsebuje dodatne smernice za vpeljavo specifičnih varnostnih kontrol za
ponudnike in uporabnike računalništva v oblaku (prav tam). Standard
ISO/IEC 27018 je bil sprejet leta 2014, standard ISO/IEC 27017 pa v
letu 2015.
V kontekstu evropske strategije računalništva v oblaku (Evropska ko-
misija 2012) je EU izbrala skupino predstavnikov industrije (Cloud Select
Industry Group), ki so v okviru delovne skupine razvijali certifikacijske
sheme za računalništvo v oblaku (Draoli idr. 2014). Ta skupina je za pod
ročje računalništva v oblaku sestavila seznam potrditvenih (certifikacij-
skih) shem, ki jih podpirajo naslednji standardi in priporočila:
- ISO/IEC 27001 (ISO 2013),
- ISO/IEC 20000 (ISO 2011),
- ITIL (angl. Information Technology Infrastructure Library)
(ITIL b. l.),
- CSA Open Certification framework (b. l.),
- Eurocloud StarAudit (StarAudit 2011),
- LEET Security (b. l.) Rating Guide in
- COBIT (Control Objectives for Information and related Tech-
nology).
Evropska agencija za omrežja in informacijsko varnost (Europe-
an Union Agency for Network and Information Security – ENISA)
je za področje računalništva v oblaku v javnih upravah držav članic
EU, prip ravila generični okvir upravljanja informacijske varnosti (Live-
ri in Dekker 2015). Okvir je osnovna struktura na kateri temelji sistem
upravljanja informacijske varnosti in zajema opredelitev splošnih pojmov,
konceptov in praks za doseganje primernega nivoja informacijske varnos-
ti. Avtorja sta na podlagi predhodne analize praktičnih izkušenj pri uved-
bi računalniških oblakov na področju javnih uprav in izvedenih inter-
