Dostawca czy klient chmury – kto za co odpowiada? Podział ról według ISO 27017

Wyobraź sobie, że wynajmujesz biuro. Właściciel budynku odpowiada za zamki w drzwiach, monitoring korytarzy i ochronę całego obiektu. Ty natomiast odpowiadasz za to, kto ma klucz do Twojego pokoju, jak przechowujesz dokumenty i kogo wpuszczasz na swoje piętro. Chmura działa podobnie. I właśnie tę analogię porządkuje norma ISO 27017 – precyzując, gdzie kończy się odpowiedzialność dostawcy, a zaczyna odpowiedzialność klienta.

Problem, który norma rozwiązuje

Przez lata jednym z największych źródeł nieporozumień w relacjach chmurowych było przekonanie klientów, że skoro płacą za usługę, to dostawca „ogarnia całe bezpieczeństwo”. Dostawcy z kolei zakładali, że klient wie, co robi ze swoimi danymi i jak zarządza dostępem.

W praktyce prowadziło to do sytuacji, w której nikt nie czuł się odpowiedzialny za pewne obszary – a luki w bezpieczeństwie powstawały dokładnie tam, gdzie zacierała się granica odpowiedzialności. ISO 27017 wprowadza w tym obszarze konkretny porządek.

Co należy do dostawcy usług chmurowych?

Dostawca (CSP) odpowiada przede wszystkim za bezpieczeństwo infrastruktury, na której działają usługi. Według wytycznych normy powinien on m.in.:

• zapewnić klientowi pełną i rzetelną informację o tym, jak zbudowana jest platforma chmurowa – technologiach, lokalizacji danych, wdrożonych zabezpieczeniach,
• utrzymywać procedury związane z monitorowaniem i reagowaniem na incydenty bezpieczeństwa,
• jasno określić, jakie dane są zbierane podczas świadczenia usługi i w jakim celu,
• po zakończeniu współpracy – umożliwić klientowi odzyskanie jego danych i potwierdzić ich usunięcie ze swoich systemów.

Co leży po stronie klienta?

Klient (CSC) nie jest biernym odbiorcą usługi – ma własną listę obowiązków. Norma wskazuje, że klient powinien m.in.:

• zrozumieć i zweryfikować elementy środowiska chmurowego, które mogą wpływać na bezpieczeństwo lub zgodność z przepisami (lokalizacja danych, szyfrowanie, kontrola dostępu),
• samodzielnie zarządzać dostępem swoich użytkowników do zasobów chmurowych,
• wiedzieć, jak zgłaszać incydenty bezpieczeństwa i jak śledzić ich obsługę po stronie dostawcy.

Innymi słowy: dostawca buduje i zabezpiecza budynek, ale klient sam decyduje, komu daje klucze.

Podział odpowiedzialności opisany w ISO 27017 to nie biurokratyczny zabieg – to praktyczne narzędzie, które chroni obie strony. Klient wie, czego może wymagać od dostawcy. Dostawca wie, co musi zapewnić. A tam, gdzie wcześniej były niejasności i potencjalne luki – pojawia się przejrzystość i wzajemne zaufanie.