Protected B (Canadá)
Cumplimiento de Google Cloud de Protected B
El Centro Canadiense de Seguridad Cibernética (Cyber Centre) desarrolló un marco para evaluar la seguridad de los servicios en la nube llamado Programa de evaluación de seguridad de la tecnología de la información (ITS) del proveedor de servicios en la nube (CSP) del Gobierno de Canadá. El objetivo principal del Programa de evaluación de ITS es brindar seguridad a los departamentos y agencias del Gobierno de Canadá (GC) de que los servicios en la nube cumplen con los requisitos de seguridad de la nube pública del GC para información y servicios hasta la categoría Protected B. El programa de evaluación de ITS evalúa la postura de seguridad, los controles y las prácticas operativas de servicios en la nube específicos que ofrecen los CSP. No certifica a toda la empresa, sino que evalúa servicios particulares en función de los perfiles de control de seguridad del GC definidos.
Hay tres componentes de la evaluación de ITS de un CSP que llevan a cabo diferentes grupos dentro del GC: 1) el equipo de Integridad de la cadena de suministro (SCI) del Cyber Centre evalúa los riesgos relacionados con la propiedad, la ubicación geográfica y el producto/servicio de una empresa; 2) la evaluación de la seguridad física y del personal la realiza el Programa de Seguridad Contractual de Servicios Públicos y Adquisiciones de Canadá (CSP de PSPC); y 3) el Cyber Centre evalúa los servicios en la nube en función de los perfiles de control de la nube del GC: la superposición de activos de alto valor de Protected B (PBHVA) y Protected B Medium (PBMM).
Google Cloud completó los tres componentes de la evaluación de ITS, incluidos los procesos de evaluación de la integridad de la cadena de suministro y la seguridad de la nube de TI del Cyber Center, así como las evaluaciones de seguridad física y del personal requeridas. Los clientes del Gobierno federal canadiense que adquieren servicios en la nube de acuerdo con el Programa de seguridad contractual deben usar el paquete de capacidades Data Boundary for Canada Protected B.
Introducción
El Gobierno de Canadá (GC) clasifica los datos con varios niveles de categorización de seguridad (p. ej., Protected A, Protected B, Confidential, Secret y Top Secret) según la sensibilidad de la información y el daño potencial que se produciría si la información viera comprometida su confidencialidad, integridad o disponibilidad. Si bien los departamentos y las agencias del GC pueden usar los servicios de nube, los departamentos primero deben identificar y categorizar la información para comprender los controles de seguridad que se deben aplicar.
¿A qué se refiere la categoría Protected B?
La información “protegida” puede clasificarse como Protected A, Protected B o Protected C, y se aplica a la información personal, la información comercial confidencial o cualquier otra información o activo que, si se ve comprometido, podría causar daños a un interés no nacional. Más específicamente, Protected B puede incluir información personal sensible, como historias clínicas, informes de evaluación del rendimiento, información financiera detallada, etc. La divulgación no autorizada de este tipo de información podría causar daños graves a una persona o a una organización, como angustia, pérdida financiera o daño a su reputación.
El GC publicó instrumentos de políticas como la Política de Seguridad del Gobierno Política, Directiva y Lineamiento sobre el Servicio y lo Digital, el Manual de Seguridad Contractual y la Directiva sobre el Uso Seguro de los Servicios de Nube Comercial: Aviso de Implementación de la Política de Seguridad (SPIN) que describen los requisitos de seguridad física, personal y de TI, y los controles que los departamentos, las agencias y las organizaciones del sector privado deben considerar para proteger la información gubernamental sensible.
¿Cuáles son los requisitos de los controles de seguridad relacionados con la nube para Protected B?
En el caso de la nube, los requisitos de control de seguridad se describen en el Anexo 3 de la guía de seguridad de la tecnología de la información (ITSG-33) – Administración de riesgos de seguridad de TI: Un enfoque del ciclo de vida. El perfil de control de seguridad de la nube de nivel medio del Cyber Center se usa como referencia de los requisitos de seguridad de TI. Además, el GC desarrolló un perfil de control de seguridad de la nube de activos de alto valor de Protected B (PBHVA), que define controles de integridad y disponibilidad adicionales que se pueden aplicar como una mejora para admitir cargas de trabajo de Protected B que se identificaron como sistemas de activos de alto valor.
Programa de seguridad contractual (CSP) de Servicios Públicos y Adquisiciones de Canadá (PSPC)
El CSP de PSPC verifica la seguridad física y del personal para los contratos de servicios en la nube. Esto implica garantizar que Google Cloud esté registrado en el CSP de PSPC y que tenga la autorización de seguridad organizacional requerida, y facilita las autorizaciones de seguridad del personal para los empleados que tienen una necesidad comercial de acceder a información o zonas de operación protegidas. El PSPC también realiza inspecciones de seguridad física en las ubicaciones de los centros de datos canadienses de Google Cloud para confirmar que se cumplen los requisitos de seguridad de los contratos, las zonas de operación seguras, la protección adecuada de los datos y el acceso controlado.
Integridad de la cadena de suministro (SCI) del Centro Canadiense de Seguridad Cibernética (CCCS)
El equipo de SCI del Cyber Centre evalúa los factores de riesgo relacionados con la empresa, como la propiedad, la ubicación y las prácticas comerciales, junto con los riesgos técnicos del producto o servicio en sí. El equipo de SCI usa varias fuentes para generar una calificación de riesgo, que contribuye a la determinación final de la evaluación de seguridad en la nube. Para obtener más información sobre el proceso de SCI, consulta ITSAP.10.070, Cyber supply chain: An approach to assessing risk.
Proceso de evaluación de la seguridad de TI de CSP del Centro Canadiense de Seguridad Cibernética (CCCS)
El proceso de evaluación de la seguridad de la tecnología de la información (ITS) del proveedor de servicios en la nube (CSP) (ITSM.50.100) consiste en una evaluación detallada de la solución en la nube en función de los controles de seguridad, como el perfil de nube medio o el perfil de superposición de activos de alto valor Protected B. Google Cloud es responsable de proporcionar evidencia para demostrar el cumplimiento de cada uno de los controles de seguridad en el perfil de control pertinente. Luego, el CCCS emite un informe de evaluación de seguridad en el que se resumen los hallazgos.
Cumplimiento de Google Cloud de Protected B
Google Cloud se sometió a la evaluación de los requisitos de seguridad organizativa, física y del personal del CSP de PSPC. Google Cloud también completó los procesos de evaluación de la seguridad de TI y de integridad de la cadena de suministro (SCI) de los proveedores de servicios en la nube (CSP) del Centro Canadiense de Seguridad Cibernética (CCCS), y se aprobó para admitir cargas de trabajo de Protected B High Value Asset y Protected B Medium. Puedes acceder al informe de resumen del CCCS a pedido, sin costo adicional, a través del Administrador de informes de cumplimiento.
Alojamiento de cargas de trabajo de Protected B en Google Cloud
La inversión de Google Cloud en nuestra infraestructura de seguridad de forma predeterminada garantiza que los controles de seguridad estén integrados y preconfigurados para permitir que los clientes alcancen varios niveles de cumplimiento sin una infraestructura de nube gubernamental aislada tradicional.
Assured Workloads es una oferta de cumplimiento de Google Cloud diseñada para ayudar a los clientes a cumplir con varios marcos regulatorios, como CJIS, FedRAMP (Moderate y High), Department of Defense IL2, IL4 y IL5, Protected B y muchos otros.
Los clientes del Gobierno federal canadiense que deseen usar los servicios de Google Cloud para procesar cargas de trabajo protegidas de acuerdo con los requisitos del Programa de seguridad de contratos deben usar el paquete de capacidades de Data Boundary for Canada Protected B. Los servicios autorizados de Protected B disponibles a través de Assured Workloads for Protected B de Canadá simplifican la seguridad y el cumplimiento para los departamentos y las agencias del GC a través de la implementación de controles como: protecciones para restringir la ubicación de los datos del cliente de Protected B a Canadá y asistencia técnica que solo proporcionan los miembros del personal de seguridad adjudicados y examinados con el Estado de confiabilidad (o superior). La lista de productos y servicios que admite Assured Workloads for Canada Protected B se encuentra aquí.
Servicios incluidos en el alcance
Los siguientes servicios de Google Cloud se sometieron a la evaluación de seguridad de TI de Protected B del Centro Canadiense de Seguridad Cibernética:
Google Cloud
Protected B Medium
Consola del administrador (incluidos el SDK de Admin y Directory Sync)
Servicio de etiquetado de datos de AI Platform
Búsqueda de arquitectura neuronal de AI Platform
AI Platform Training and Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (Nota: Se separó de la consola de Cloud)
Servicio de transferencia de datos de BigQuery
Care Studio (anteriormente Cloud Healthcare Search)
Chronicle (producto de seguridad)
Consola de Cloud (sin BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (antes Google Genomics)
Cloud NAT (traducción de direcciones de red)
Cloud Run (completamente administrado)
Google Cloud Marketplace (anteriormente Cloud Launcher)
Key Access Justifications (soberanía de acceso)
Looker Studio (incluido Pro, anteriormente Google Data Studio)
Notebooks (anteriormente Vertex AI Workbench/AI Platform Notebooks)
Security Command Center, incluido Web Security Scanner (anteriormente Cloud Security Scanner)
Servicio de transferencia de almacenamiento
Registro de modelos de Vertex AI
Vertex AI Search (incluye Agentspace)
Predicción en línea y por lotes de Vertex
Federación de identidades de personal (BYOID)
Protected B High Value Asset (PBHVA)
Consola del administrador (incluidos el SDK de Admin y Directory Sync)
Servicio de etiquetado de datos de AI Platform
Búsqueda de arquitectura neuronal de AI Platform
AI Platform Training and Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (Nota: Se separó de la consola de Cloud)
Servicio de transferencia de datos de BigQuery
Care Studio (anteriormente Cloud Healthcare Search)
Chronicle (producto de seguridad)
Consola de Cloud (sin BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (antes Google Genomics)
Cloud NAT (traducción de direcciones de red)
Cloud Run (completamente administrado)
Google Cloud Marketplace (anteriormente Cloud Launcher)
Key Access Justifications (soberanía de acceso)
Looker Studio (incluido Pro, anteriormente Google Data Studio)
Notebooks (anteriormente Vertex AI Workbench/AI Platform Notebooks)
Security Command Center, incluido Web Security Scanner (anteriormente Cloud Security Scanner)
Servicio de transferencia de almacenamiento
Registro de modelos de Vertex AI
Google Workspace
Protected B Medium
Ofertas relacionadas
ISO/IEC 27001La serie de normas ISO/IEC 27000 ayuda a mantener la seguridad de la información. Google Cloud y Google Workspace cumplen con la norma ISO/IEC 27001:2022.- ISO/IEC 27017El estándar ISO/IEC 27017 proporciona lineamientos sobre los controles de seguridad de la información. Google Cloud y Google Workspace cumplen con la norma ISO/IEC 27017:2015.
SOC 2Google Cloud se somete a una auditoría externa periódica para certificar que sus productos satisfagan los estándares SOC 2.
FedRAMPGoogle Cloud mantiene P-ATO de FedRAMP High y FedRAMP Moderate para productos de Google Cloud y Google Workspace.
Da el siguiente paso
Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.
Conoce las prácticas recomendadas sobre seguridad
Consultar nuestras prácticas recomendadasSoluciona problemas comunes
Mirar videos de casos de uso sobre la seguridadTrabaja con un socio
Consultar nuestros socios de seguridad
