Protected B (Kanada)

Pengantar

Pemerintah Kanada (GC) mengklasifikasikan data menggunakan berbagai level kategorisasi keamanan (misalnya, Protected A, Protected B, Confidential, Secret, dan Top Secret) bergantung pada tingkat kerahasiaan informasi, dan potensi kerugian yang akan terjadi jika kerahasiaan, integritas, dan/atau ketersediaan informasi tersebut terganggu. Meskipun layanan cloud dapat digunakan oleh departemen dan lembaga GC, departemen GC harus terlebih dahulu mengidentifikasi dan mengategorikan informasi untuk memahami kontrol keamanan yang harus diterapkan.

Apa itu Protected B?

Informasi "Protected" dapat dikategorikan sebagai Protected A, Protected B, atau Protected C, dan berlaku untuk informasi pribadi, informasi rahasia komersial, atau informasi atau aset lainnya yang, jika disusupi, dapat secara wajar diperkirakan akan menyebabkan kerugian terhadap kepentingan non-nasional. Lebih spesifiknya, Protected B dapat mencakup informasi pribadi sensitif seperti: rekam medis, laporan evaluasi performa, informasi keuangan mendetail, dll. Pengungkapan jenis informasi ini tanpa izin dapat menyebabkan kerugian serius bagi seseorang atau organisasi seperti tekanan, kerugian finansial, atau kerusakan reputasi.

GC telah menerbitkan instrumen kebijakan seperti Kebijakan Keamanan Pemerintah Kebijakan, Arahan, dan Panduan tentang Layanan dan Digital, Manual Keamanan Kontrak, dan Arahan tentang Penggunaan Layanan Cloud Komersial yang Aman: Security Policy Implementation Notice (SPIN) yang menjelaskan persyaratan keamanan fisik, personel, dan IT, serta kontrol yang harus dipertimbangkan departemen, lembaga, dan organisasi sektor swasta untuk melindungi informasi pemerintah yang sensitif.

Apa saja persyaratan kontrol keamanan terkait cloud untuk Protected B?

Untuk cloud, persyaratan kontrol keamanan dijelaskan di Lampiran 3 Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach. Profil Kontrol Keamanan Cloud Medium Pusat Cyber digunakan sebagai dasar persyaratan keamanan IT. Selain itu, GC telah mengembangkan Profil Kontrol Keamanan Cloud Protected B High Value Assets (PBHVA) yang menentukan kontrol integritas dan ketersediaan tambahan yang dapat diterapkan sebagai peningkatan untuk mendukung workload Protected B yang telah diidentifikasi sebagai sistem aset bernilai tinggi.

Public Services and Procurement Canada (PSPC) Contract Security Program (CSP)

CSP PSPC memverifikasi keamanan personel dan fisik untuk kontrak layanan cloud. Hal ini mencakup memastikan Google Cloud terdaftar di CSP PSPC dan memiliki izin keamanan organisasi yang diperlukan, serta memfasilitasi izin keamanan personel bagi karyawan yang memiliki kebutuhan bisnis untuk mengakses informasi atau zona operasi yang Dilindungi. PSPC juga melakukan inspeksi keamanan fisik di lokasi pusat data Google Cloud di Kanada untuk memastikan zona operasi yang aman, pengamanan data yang tepat, akses yang terkontrol, dan persyaratan keamanan kontrak terpenuhi.

Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)

Tim SCI Cyber Center menilai faktor risiko terkait perusahaan seperti kepemilikan, lokasi, dan praktik bisnis, bersama dengan risiko teknis produk atau layanan itu sendiri. Tim SCI menggunakan berbagai sumber untuk menghasilkan peringkat risiko, yang berkontribusi terhadap penentuan penilaian akhir keamanan cloud. Informasi lebih lanjut tentang proses SCI dapat ditemukan di ITSAP.10.070, Cyber supply chain: An approach to assessing risk.

Proses Penilaian Keamanan IT CSP Canadian Centre for Cyber Security (CCCS)

Proses Penilaian Keamanan Teknologi Informasi (ITS) Penyedia Layanan Cloud (CSP) (ITSM.50.100) terdiri dari penilaian mendetail solusi cloud terhadap kontrol keamanan, seperti Medium Cloud Profile dan/atau Protected B High Value Asset Overlay Profile. Google Cloud bertanggung jawab untuk memberikan bukti yang menunjukkan kepatuhan terhadap setiap kontrol keamanan dalam profil kontrol yang relevan. CCCS kemudian mengeluarkan laporan penilaian keamanan yang merangkum temuan mereka.