Večanje obsega infrastruktur in storitev v oblačnem računalništvu, skupaj s hitro se spreminjajočim pravnim okvirom, vse bolj vpliva na stopnjo zagotavljanja informacijske varnosti, upravljanje sistemov in skladnost delovanja storitev računalniških oblakov.

Za Ministrstvo za javno upravo, kot partnerja pri projektu EU-SEC (angl. The European Security Certification Framework), je bilo sodelovanje koristno z vidika sodelovanja pri pripravi enotne in medsebojno priznane certifikacijske sheme, izmenjave znanja in najboljših praks, neodvisne presoje sistema upravljanja Državnega računalniškega oblaka (DRO) in uporabe orodij, razvitih za potrebe presoje oblačnih storitev.

Potek projekta

Stanje

Ponudniki storitev informacijske varnosti so poskušali oblikovati različne rešitve, s katerimi bi učinkovito reševali:

• pomanjkanje finančnih sredstev za zagotavljanje ustrezne stopnje zanesljivosti in skladnosti delovanja (neprekinjeno spremljanje delovanja in revidiranje),
• neustrezno zaščito zasebnosti,
• pomanjkanje transparentnosti,
• pomanjkanje sredstev za racionalno upravljanje s tveganji.

Na področju certifikacijskih shem za oblačne storitve to povzroča nastanek številnih novih certifikacijskih shem, kar predstavlja dodatno težavo z vidika širjenja in prepoznavnosti optimalnih rešitev.

Namen projekta

Tri glavne ideje projekta EU-SEC, s katerimi se bo zvišala učinkovitost in uspešnost pristopa za zagotavljanje zaupanja, zanesljivosti in skladnosti, so:

• uravnotežiti nacionalne in sektorsko specifične zahteve glede posebnih certifikacijskih shem z zahtevami ponudnikov oblačnih rešitev po zmanjšanju stroškov za zagotavljanje skladnosti;
• omogočiti večjo uporabo strojnih rešitev v procesih preverjanja skladnosti (na primer računalniško zbiranje podatkov o skladnosti delovanja);
• omogočiti uporabo zbranih informacij pooblaščenim osebam (auditorji) v najkrajšem možnem času na avtomatiziran način.

Cilji projekta

Certifikacijski okvir EU-SEC bo vsem deležnikom na področju informacijske varnosti zagotovil medsebojno sprejeto strukturo upravljanja, referenčno arhitekturo in ustrezen nabor orodij za izboljšanje učinkovitosti in uspešnosti trenutnega pristopa pri zagotavljanju informacijske varnosti, upravljanju tveganj in zagotavljanju skladnosti. Povečanje zaupanja in transparentnosti razvitega certifikacijskega okvira v projektu EU-SEC bo preizkušena na pilotnih primerih deležnikov, ki sodelujejo v projektu.

Vloga Ministrstva za javno upravo v projektu

Ministrstvo za javno upravo je eden od partnerjev v mednarodnem konzorciju. Mednarodni konzorcij je v Okvirnem programu za raziskave in inovacije Obzorje 2020 prijavil projekt »The European Security Certification Framework« v trajanju 36 mesecev (od 1. 1. 2017 do 31. 12. 2019), ki je pridobil nepovratna sredstva v višini 100 % iz Obzorja 2020 po pogodbi številka 731845.

Na projektu sodelujejo:

• Fraunhofer Gesellschaft zur Förderung der Angewandten Forschung (FRAUNHOFER), Nemčija,
• Cloud Security Alliance Europe (CSA), Združeno kraljestvo,
• SixSq SARL, Švica,
• NIXU OY, Finska,
• PwC Germany (PwC), Nemčija,
• Caixa Bank, Španija,
• Ministry of Finance of the Slovak Republic (MF SR), Slovaška,
• Fabasoft Cloud GmbH, Avstrija,
• Ministrstvo za javno upravo, Slovenija.

Zaključek projekta

Projekt “European Security Certification Framework” (EU-SEC) smo uspešno zaključili konec leta 2019. Ministrstvo za javno upravo je pri projektu sodelovalo tri leta.