Protected B (Canada)
Conformità Protected B di Google Cloud
Il Canadian Center for Cyber Security (Cyber Centre) ha sviluppato un framework per valutare la sicurezza dei servizi cloud chiamato Government of Canada: Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program. L'obiettivo principale del programma di valutazione ITS è fornire ai dipartimenti e alle agenzie del Governo del Canada (GC) la garanzia che i servizi cloud soddisfino i requisiti di sicurezza del cloud pubblico del GC per le informazioni e i servizi fino a Protected B. Il programma di valutazione ITS valuta la postura di sicurezza, i controlli e le prassi operative di specifici servizi cloud offerti dai CSP. Non certifica l'intera azienda, ma valuta servizi specifici in base a profili di controllo della sicurezza definiti dal Governo del Canada.
La valutazione del CSP in materia di ITS è composta da tre componenti, condotti da diversi gruppi all'interno del Governo del Canada: 1) il team Supply Chain Integrity (SCI) del Cyber Centre valuta i rischi relativi alla proprietà, alla geolocalizzazione e al prodotto/servizio di un'azienda; 2) la valutazione della sicurezza fisica e del personale è a cura del Public Services and Procurement Canada - Contract Security Program (PSPC CSP); 3) il Cyber Centre valuta i servizi cloud in base ai profili di controllo del cloud di Google (Protected B Medium e Protected B High Value Asset Overlay).
Google Cloud ha completato tutti e tre i componenti della valutazione ITS, tra cui le procedure di valutazione dell'integrità della catena di fornitura e della sicurezza del cloud IT del Cyber Center, nonché le valutazioni richieste per la sicurezza fisica e del personale. I clienti del governo federale canadese che acquistano servizi cloud in conformità con il Contract Security Program devono utilizzare il pacchetto di funzionalità Data Boundary for Canada Protected B.
Introduzione
Il governo del Canada (GC) classifica i dati utilizzando vari livelli di categorizzazione della sicurezza (ad es. Protected A, Protected B, Confidential, Secret e Top Secret) a seconda della sensibilità delle informazioni e del potenziale danno che si verificherebbe se la riservatezza, l'integrità e/o la disponibilità delle informazioni fossero compromesse. Sebbene i servizi cloud possano essere utilizzati dai dipartimenti e dalle agenzie del Governo del Canada, i dipartimenti del Governo del Canada devono prima identificare e categorizzare le informazioni per comprendere i controlli di sicurezza che devono essere applicati.
Che cos'è Protected B?
Le informazioni "protette" possono essere classificate come Protected A, Protected B o Protected C e si applicano a informazioni personali, informazioni commerciali riservate o qualsiasi altra informazione o asset che, se compromessi, potrebbero ragionevolmente causare danni a un interesse non nazionale. Più precisamente, Protected B può includere informazioni personali sensibili come: cartelle cliniche, report di valutazione del rendimento, informazioni finanziarie dettagliate e così via. La divulgazione non autorizzata di questo tipo di informazioni potrebbe causare gravi danni a una persona o organizzazione, come ansia, perdite finanziarie o danni alla reputazione.
Il Governo del Canada ha pubblicato strumenti normativi come la policy sulla sicurezza governativa, la policy, la direttiva e le linee guida sui servizi e sul digitale, il manuale sulla sicurezza dei contratti e la direttiva sull'uso sicuro dei servizi cloud commerciali: avviso sull'applicazione delle norme sulla sicurezza (SPIN) che descrivono i requisiti di sicurezza fisica, del personale e dell'IT e i controlli che i dipartimenti, le agenzie e le organizzazioni del settore privato dovrebbero prendere in considerazione per salvaguardare le informazioni sensibili del governo.
Quali sono i requisiti di controllo della sicurezza relativi al cloud per Protected B?
Per il cloud, i requisiti di controllo della sicurezza sono descritti nell'Allegato 3 di Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach. Il profilo di controllo della sicurezza del cloud di livello medio del Cyber Center viene utilizzato come base per i requisiti di sicurezza IT. Inoltre, il Governo del Canada ha sviluppato un profilo di controllo della sicurezza Cloud Protected B High Value Assets (PBHVA) che definisce controlli aggiuntivi di integrità e disponibilità che possono essere applicati come funzionalità avanzata per supportare i carichi di lavoro Protected B che sono stati identificati come sistemi di asset di alto valore.
Public Services and Procurement Canada (PSPC) Contract Security Program (CSP)
Il PSPC CSP verifica la sicurezza fisica e del personale per i contratti di servizi cloud. Ciò comporta la verifica che Google Cloud sia registrato nel PSPC CSP e disponga dell'autorizzazione di sicurezza organizzativa richiesta e faciliti le autorizzazioni di sicurezza del personale per i dipendenti che hanno una necessità aziendale di accedere a informazioni o zone operative protette. Inoltre, il PSPC effettua ispezioni di sicurezza fisica presso le sedi dei data center canadesi di Google Cloud per verificare che siano soddisfatti i requisiti di sicurezza delle zone operative, della protezione dei dati, dell'accesso controllato e della sicurezza contrattuale.
Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)
Il team SCI del Cyber Center valuta i fattori di rischio legati all'azienda, come proprietà, località e pratiche commerciali, oltre ai rischi tecnici del prodotto o del servizio stesso. Il team SCI utilizza varie fonti per generare un rating di rischio, che contribuisce alla determinazione finale della valutazione della sicurezza del cloud. Ulteriori informazioni sul processo SCI sono disponibili in ITSAP.10.070, Cyber supply chain: An approach to assessing risk.
Procedura di valutazione della sicurezza informatica del Canadian Centre for Cyber Security (CCCS) per i CSP
Il Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Process (ITSM.50.100) consiste in una valutazione dettagliata della soluzione cloud rispetto ai controlli di sicurezza, come il profilo Medium Cloud e/o il profilo Overlay Protected B High Value Asset. Google Cloud è responsabile della fornitura di prove che dimostrino la conformità a ciascuno dei controlli di sicurezza nel profilo di controllo pertinente. Il CCCS rilascia quindi un report sulla valutazione della sicurezza che riassume i risultati.
Conformità Protected B di Google Cloud
Google Cloud ha superato la valutazione dei requisiti di sicurezza organizzativa, fisica e del personale del CSP PSPC. Google Cloud ha anche completato le procedure di valutazione della sicurezza informatica dei fornitori di servizi cloud (CSP) e di integrità della catena di fornitura (SCI) del Centro canadese per la cybersicurezza (CCCS) e ha ottenuto l'approvazione per supportare sia i carichi di lavoro Protected B Medium che Protected B High Value Asset. Puoi accedere al report riassuntivo del CCCS on demand, senza costi aggiuntivi, tramite la Gestione dei report di conformità.
Ospitare carichi di lavoro Protected B su Google Cloud
L'investimento di Google Cloud nella nostra infrastruttura di sicurezza predefinita garantisce che i controlli di sicurezza siano integrati e preconfigurati per consentire ai clienti di raggiungere vari livelli di conformità senza una tradizionale infrastruttura cloud governativa isolata.
Assured Workloads è un'offerta di conformità di Google Cloud progettata per aiutare i clienti a soddisfare vari framework normativi come CJIS, FedRAMP (Moderate e High), Department of Defense IL2 / IL4 / IL5, Protected B e molti altri.
I clienti del governo federale canadese interessati a utilizzare i servizi Google Cloud per elaborare i carichi di lavoro Protected in conformità con i requisiti del Contract Security Program devono utilizzare il pacchetto di funzionalità Data Boundary for Canada Protected B. I servizi autorizzati Protected B resi disponibili tramite Assured Workloads for Canada Protected B semplificano la sicurezza e la conformità per i dipartimenti e le agenzie del governo canadese grazie all'implementazione di controlli come: limiti per limitare la località dei dati dei clienti Protected B al Canada e supporto tecnico fornito solo da personale con autorizzazione di sicurezza verificata con stato di affidabilità (o superiore). L'elenco di prodotti e servizi supportati da Assured Workloads per Canada Protected B è disponibile qui.
Servizi inclusi nell'ambito
I seguenti servizi Google Cloud sono stati sottoposti a una valutazione di sicurezza IT Protected B da parte del Canadian Centre for Cyber Security:
Google Cloud
Protected B Medium
Console di amministrazione (incluso SDK Admin, Directory Sync)
AI Platform Neural Architecture Search
AI Platform Training e AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (nota: è stato separato dalla console Cloud)
BigQuery Data Transfer Service
Care Studio (precedentemente Cloud Healthcare Search)
Chronicle (prodotto per la sicurezza)
Console Cloud (senza BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (in precedenza Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (completamente gestito)
GCP Marketplace (in precedenza Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio (incluso Pro, in precedenza Google Data Studio)
Notebooks (in precedenza Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (incluso Web Security Scanner) (in precedenza Cloud Security Scanner)
Vertex AI Search (include Agentspace)
Vertex Online e Previsione in batch
Federazione delle identità per la forza lavoro (BYOID)
Protected B High Value Asset (PBHVA)
Console di amministrazione (incluso SDK Admin, Directory Sync)
AI Platform Neural Architecture Search
AI Platform Training e AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (nota: è stato separato dalla console Cloud)
BigQuery Data Transfer Service
Care Studio (precedentemente Cloud Healthcare Search)
Chronicle (prodotto per la sicurezza)
Console Cloud (senza BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (in precedenza Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (completamente gestito)
GCP Marketplace (in precedenza Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio (incluso Pro, in precedenza Google Data Studio)
Notebooks (in precedenza Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (incluso Web Security Scanner) (in precedenza Cloud Security Scanner)
Google Workspace
Protected B Medium
Offerte correlate
ISO/IEC 27001La famiglia di standard ISO/IEC 27000 contribuisce a proteggere le informazioni. Google Cloud e Google Workspace sono conformi allo standard ISO/IEC 27001:2022.- ISO/IEC 27017ISO/IEC 27017 fornisce linee guida per i controlli di sicurezza delle informazioni. Google Cloud e Google Workspace sono conformi allo standard ISO/IEC 27017:2015.
SOC 2Google Cloud viene sottoposta a un regolare processo di controllo di terze parti per certificare singoli prodotti in base allo standard SOC 2.
FedRAMPGoogle Cloud mantiene le autorizzazioni provvisorie a operare (P-ATO) FedRAMP High e FedRAMP Moderate per i prodotti Google Cloud e Google Workspace.
Fai il prossimo passo
Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.
Scopri le best practice per la sicurezza
Guarda le nostre best practiceRisolvi i problemi più comuni
Guarda i video di casi d'uso sulla sicurezzaCollabora con un partner
Scopri i nostri partner per la sicurezza
