![\"\"](\"https:\/\/i0.wp.com\/preventista.sk\/info\/wp-content\/uploads\/2022\/01\/Cloud-2.png?resize=700%2C587&ssl=1\")
<\/figure><\/div>\n\n\n\nV predch\u00e1dzaj\u00facich \u010dl\u00e1nkoch sme si pripomenuli niektor\u00e9 vybrat\u00e9 z\u00e1kladn\u00e9 bezpe\u010dnostn\u00e9 po\u017eiadavky, pri\u010dom predpoklad\u00e1me, \u017ee ich cloud slu\u017eby maj\u00fa, napr\u00edklad:<\/p>\n\n\n\n
- miesto ulo\u017eenia a spracovania d\u00e1t je len v dohodnut\u00fdch d\u00e1tov\u00fdch centr\u00e1ch alebo lokalit\u00e1ch (napr. v r\u00e1mci Eur\u00f3pskej \u00fanie),<\/li>
- je nasaden\u00e9 vhodn\u00e9 a dostato\u010dn\u00e9 oddelenie (segreg\u00e1cia) d\u00e1t r\u00f4znych odberate\u013eov cloud slu\u017eieb,<\/li>
- cloud umo\u017e\u0148uje kontrolovate\u013en\u00fd a neobmedzen\u00fd pr\u00edstup k vypublikovan\u00fdm d\u00e1tam a slu\u017eb\u00e1m,<\/li>
- vlastnosti cloud slu\u017eieb preukazuj\u00fa s\u00falad s po\u017eiadavkami legislat\u00edvy a regul\u00e1torov ak je tak\u00fdto s\u00falad po\u017eadovan\u00fd,<\/li>
- cloudov\u00e1 slu\u017eba m\u00e1 schopnos\u0165 zabezpe\u010di\u0165 dostupnos\u0165, integritu a d\u00f4vernos\u0165 d\u00e1t, napr\u00edklad vyu\u017eit\u00edm techn\u00edk
- \u0161ifrovania (zamedzenia \u010ditate\u013enosti d\u00e1t pre toho, kto nem\u00e1 pr\u00edstup k \u0161ifrovaciemu k\u013e\u00fa\u010du)<\/li><\/ul>
- riadenia pr\u00edstupu k d\u00e1tam (len opr\u00e1vnen\u00fd pou\u017e\u00edvate\u013e uvid\u00ed d\u00e1ta, aj to len tie, na ktor\u00e9 m\u00e1 povolenie)<\/li><\/ul>
- auditovania (z\u00edskavanie z\u00e1znamov o tom, \u010do sa s d\u00e1tami stalo \u2013 stopovanie\/trekovanie)<\/li><\/ul>
- redundancie (vytv\u00e1ranie tie\u0148ov\u00fdch slu\u017eieb, ktor\u00e9 s\u00fa schopn\u00e9 prevzia\u0165 \u00falohu prim\u00e1rnej slu\u017eby ak z ak\u00fdchko\u013evek d\u00f4vodov vypadne, alebo sa stane nedostupnou)<\/li><\/ul><\/li>
- cloudov\u00e1 slu\u017eba m\u00e1 schopnos\u0165 mana\u017eova\u0165 a monitorova\u0165 slu\u017eby aplik\u00e1ci\u00ed v cloude s cie\u013eom predch\u00e1dza\u0165 ne\u017eelan\u00fdm v\u00fdpadkom, alebo r\u00f4znym prev\u00e1dzkov\u00fdm a bezpe\u010dnostn\u00fdm incidentom<\/li><\/ul>\n\n\n\n
V ide\u00e1lnom pr\u00edpade cloudov\u00e1 slu\u017eba sp\u013a\u0148a v\u0161etky, alebo v\u00e4\u010d\u0161inu vy\u0161\u0161ie spomenut\u00fdch bodov technicky aj zmluvne, a z\u00e1rove\u0148 m\u00e1 z\u00e1kazn\u00edk mo\u017enos\u0165 to aj skontrolova\u0165. Av\u0161ak v skuto\u010dnosti nie v\u017edy je mo\u017en\u00e9 jednoducho splni\u0165 v\u0161etky body. Niektor\u00e9 m\u00f4\u017eu by\u0165 extr\u00e9mne n\u00e1kladn\u00e9 alebo pre dan\u00fa slu\u017ebu nedostupn\u00e9. Potom m\u00e1 z\u00e1kazn\u00edk dve mo\u017enosti, bu\u010f od zmluvy odst\u00fapi\u0165, alebo n\u00e1js\u0165 n\u00e1hradn\u00e9 rie\u0161enie, resp. in\u00fa cestu. Alternat\u00edvnou mo\u017enos\u0165ou ako sa vysporiada\u0165 s nesplnen\u00edm vy\u0161\u0161ie uveden\u00fdch po\u017eiadaviek – pokia\u013e s\u00fa z r\u00f4znych d\u00f4vodov povinn\u00e9 – je transformova\u0165 ich do riadenia riz\u00edk pou\u017e\u00edvania tej-ktorej cloudovej slu\u017eby. Av\u0161ak, v niektor\u00fdch pr\u00edpadoch, kedy doch\u00e1dza k spracov\u00e1vaniu alebo ukladaniu d\u00e1t s n\u00edzkou \u00farov\u0148ou citlivosti v cloude, nie je nevyhnutn\u00e9 aby dan\u00e1 cloud slu\u017eba v\u0161etky vy\u0161\u0161ie uveden\u00e9 po\u017eiadavky sp\u013a\u0148ala.<\/p>\n\n\n\n
Najm\u00e4 pri spracov\u00e1van\u00ed citlivej\u0161\u00edch inform\u00e1ci\u00ed nie je mo\u017en\u00e9 od niektor\u00fdch po\u017eiadaviek upusti\u0165. Pokia\u013e po\u017eadovan\u00e9 bezpe\u010dnostn\u00e9 funkcie aplik\u00e1cia alebo slu\u017eba v cloude nem\u00e1, ani nie je mo\u017en\u00e9 ich na po\u017eiadanie doplni\u0165, a z\u00e1rove\u0148 nie je mo\u017en\u00e9 konkr\u00e9tnu cloudov\u00fa slu\u017ebu nepou\u017e\u00edva\u0165, potom riziko tak\u00e9hoto – nie \u00faplne bezpe\u010dn\u00e9ho – pou\u017eitia cloudovej slu\u017eby treba identifikova\u0165 a zhodnoti\u0165 jeho mo\u017en\u00fd dopad pre pr\u00edpad, ak by sa zhodou okolnost\u00ed materializovalo, t.j. stalo sa re\u00e1lnym (ve\u013emi podobne, ako pri v\u00fdbere stravovacieho zariadenia hodnot\u00edme ak\u00e1 je jeho \u00farove\u0148 a kvalita, preto\u017ee sa nechceme jedlom priotr\u00e1vi\u0165, resp. ak n\u00e1m lek\u00e1r prik\u00e1\u017ee dodr\u017eiava\u0165 di\u00e9tu, h\u013ead\u00e1me stravovacie zariadenie, ktor\u00e9 po\u017eiadavky sp\u013a\u0148a).<\/p>\n\n\n\n
T\u00fdm, ako identifikova\u0165 hrozbu, n\u00e1sledne rozpozna\u0165 riziko ktor\u00e9 z hrozby vypl\u00fdva, vyhodnoti\u0165 pravdepodobnos\u0165 toho, \u017ee sa hrozba napln\u00ed a riziko sa pretav\u00ed do ur\u010dit\u00e9ho dopadu sa zaober\u00e1 metodika riadenia riz\u00edk. Cie\u013eom tohto \u010dl\u00e1nku nie je zah\u013abi\u0165 sa do metodiky samotnej, ale pouk\u00e1za\u0165 na niektor\u00e9 naj\u010dastej\u0161ie sa vyskytuj\u00face rizik\u00e1 pou\u017e\u00edvania cloud slu\u017eieb, s ktor\u00fdmi sme sa mali mo\u017enos\u0165 stretn\u00fa\u0165 a zhodnoti\u0165 mo\u017enosti minimaliz\u00e1cie dopadov t\u00fdchto riz\u00edk (risk mitigation).<\/p>\n\n\n\n
Napriek tomu, \u017ee sa tento \u010dl\u00e1nok nevenuje metodike riadenia riz\u00edk, pre potreby pochopenia mo\u017enej rizikovosti pou\u017e\u00edvania cloud slu\u017eieb je nutn\u00e9 spomen\u00fa\u0165 nieko\u013eko d\u00f4le\u017eit\u00fdch pojmov, bez ktor\u00fdch sa pri identifik\u00e1cii riz\u00edk a ich mo\u017en\u00fdch dopadov nezaob\u00eddeme:<\/p>\n\n\n\n
Citlivos\u0165 d\u00e1t<\/strong><\/p>\n\n\n\n
D\u00e1ta \u2013 v z\u00e1vislosti od ich povahy alebo obsahu \u2013 maj\u00fa r\u00f4znu \u00farove\u0148 citlivosti. Niektor\u00e9 s\u00fa verejne pr\u00edstupn\u00e9, in\u00e9 s\u00fa predmetom tajomstva. Pozn\u00e1me nieko\u013eko \u00farovn\u00ed citlivosti d\u00e1t:<\/p>\n\n\n\n
- Verejn\u00e9 \u2013 d\u00e1ta, ktor\u00e9 nie s\u00fa citliv\u00e9, ka\u017ed\u00fd m\u00f4\u017ee ma\u0165 k nim pr\u00edstup<\/li>
- Intern\u00e9 \u2013 d\u00e1ta, ktor\u00e9 s\u00fa dostupn\u00e9 uzavretej spolo\u010dnosti alebo skupine, napr. vn\u00fatro-firemn\u00e9 inform\u00e1cie, ktor\u00e9 s\u00fa dostupn\u00e9 v\u0161etk\u00fdm zamestnancom, av\u0161ak na verejnos\u0165 nepatria<\/li>
- Citliv\u00e9 \u2013 d\u00e1ta, ktor\u00e9 s\u00fa predmetom ochrany, v\u00e4\u010d\u0161inou s\u00fa k dispoz\u00edcii len definovan\u00fdm opr\u00e1vnen\u00fdm osob\u00e1m a ich prezradenie m\u00f4\u017ee sp\u00f4sobi\u0165 napr\u00edklad prezradenie obchodn\u00e9ho tajomstva, po\u0161kodenie dobr\u00e9ho mena, alebo sa m\u00f4\u017ee jedna\u0165 o \u00fadaje, ktor\u00e9 s\u00fa predmetom ochrany zo z\u00e1kona ako napr\u00edklad z\u00e1kon o ochrane osobn\u00fdch \u00fadajov (Z\u00e1k 18\/2018 z.z.) alebo obchodn\u00fd z\u00e1konn\u00edk a pod.<\/li>
- Ve\u013emi citliv\u00e9 \u2013 d\u00e1ta, ktor\u00e9 s\u00fa predmetom utajenia \u010di u\u017e z legislat\u00edvnych, alebo aj in\u00fdch d\u00f4vodov, m\u00f4\u017eu ma\u0165 strategick\u00fd v\u00fdznam pre spolo\u010dnos\u0165, organiz\u00e1ciu alebo z\u00e1ujmov\u00fa skupinu. Ich prezradenie m\u00f4\u017ee sp\u00f4sobi\u0165 z\u00e1va\u017en\u00e9 dopady na \u013eud\u00ed, zdravie alebo majetok<\/li><\/ul>\n\n\n\n
Pri identifik\u00e1cii riz\u00edk je prvorad\u00e9 pochopi\u0165, s ak\u00fdmi d\u00e1tami m\u00e1me do\u010dinenia, t.j. d\u00e1ta ktorej \u00farovne citlivosti sa v cloud slu\u017ebe alebo aplik\u00e1cii maj\u00fa sprac\u00fava\u0165. \u00darove\u0148 citlivosti d\u00e1t definuje rozsah a mieru ochrann\u00fdch a bezpe\u010dnostn\u00fdch opatren\u00ed, ktor\u00e9 m\u00e1 ma\u0165 cloud slu\u017eba, pomocou ktorej chceme d\u00e1ta spracov\u00e1va\u0165, alebo v ktorej chceme d\u00e1ta uklada\u0165.<\/p>\n\n\n\n
Sk\u00f4r, ako sa rozhodneme vy\u017e\u00edva\u0165 konkr\u00e9tnu cloud slu\u017ebu, je d\u00f4le\u017eit\u00e9 pos\u00fadi\u0165 nielen citlivos\u0165 d\u00e1t, ktor\u00e9 do cloudu vlo\u017e\u00edme, ale aj bezpe\u010dnostn\u00e9 funkcie, ktor\u00e9 m\u00e1 cloudov\u00e1 slu\u017eba k dispoz\u00edcii. M\u00e1me na mysli existuj\u00face bezpe\u010dnostn\u00e9 funkcie cloudovej slu\u017eby, ale aj tie, ktor\u00e9 sme sami schopn\u00ed ovplyvni\u0165 tak, aby bolo cel\u00e9 pou\u017eitie dostato\u010dne bezpe\u010dn\u00e9 (slu\u017eby, ktor\u00e9 sami zapneme, alebo inak nastav\u00edme \u2013 napr\u00edklad nastavenie dostato\u010dne siln\u00e9ho pou\u017e\u00edvate\u013esk\u00e9ho hesla).<\/p>\n\n\n\n
Pri hodnoten\u00ed cloud slu\u017eby sa m\u00f4\u017ee sta\u0165, \u017ee zist\u00edme, \u017ee ochrann\u00e9 funkcie aplik\u00e1cie v cloude s\u00fa do takej miery nedostato\u010dn\u00e9, \u017ee sa rozhodneme rad\u0161ej dan\u00fa slu\u017ebu nepou\u017e\u00edva\u0165, ne\u017e by sme mali podst\u00fapi\u0165 pr\u00edli\u0161 ve\u013ek\u00e9 riziko, ktor\u00e9 by mohlo vies\u0165 k neprimeran\u00fdm negat\u00edvnym dopadom. Toto sa st\u00e1va hlavne pri SaaS slu\u017eb\u00e1ch (vi\u010f. SaaS \u2013 Software-as-a-Service v \u010dl\u00e1nku <\/em>Cloud \u2013 stavebn\u00fd prvok firiem<\/em><\/a>), ktor\u00e9 s\u00fa stavan\u00e9 tak, \u017ee miera mo\u017enosti ovplyvni\u0165 ich bezpe\u010dnos\u0165 zo strany odberate\u013ea je takmer nulov\u00e1.<\/p>\n\n\n\n
- auditovania (z\u00edskavanie z\u00e1znamov o tom, \u010do sa s d\u00e1tami stalo \u2013 stopovanie\/trekovanie)<\/li><\/ul>
- riadenia pr\u00edstupu k d\u00e1tam (len opr\u00e1vnen\u00fd pou\u017e\u00edvate\u013e uvid\u00ed d\u00e1ta, aj to len tie, na ktor\u00e9 m\u00e1 povolenie)<\/li><\/ul>
- \u0161ifrovania (zamedzenia \u010ditate\u013enosti d\u00e1t pre toho, kto nem\u00e1 pr\u00edstup k \u0161ifrovaciemu k\u013e\u00fa\u010du)<\/li><\/ul>