Protected B (Canadá)
Conformidade com o Protected B do Google Cloud
O Canadian Center for Cyber Security (Cyber Centre) desenvolveu um framework para avaliar a segurança dos serviços de nuvem chamado Programa de Avaliação de Segurança de Tecnologia da Informação (ITS) do Governo do Canadá: Provedor de Serviços de Nuvem (CSP). O objetivo principal do Programa de Avaliação do ITS é garantir aos departamentos e agências do Governo do Canadá (GC) que os serviços de nuvem atendem aos requisitos de segurança de nuvem pública do GC para informações e serviços até o nível Protected B. O Programa de Avaliação de ITS avalia a postura de segurança, os controles e as práticas operacionais de serviços de nuvem específicos oferecidos por CSPs. Ele não certifica a empresa inteira, mas avalia serviços específicos em relação a perfis de controle de segurança do GC definidos.
A avaliação de ITS de um CSP tem três componentes conduzidos por diferentes grupos do GC: 1) a equipe de Integridade da Cadeia de Suprimentos (SCI) do Centro de Cibersegurança avalia os riscos relacionados à propriedade, localização geográfica e produto/serviço de uma empresa; 2) a avaliação de segurança física e de pessoal é feita pelo Programa de Segurança de Contratos (PSPC, na sigla em inglês) do Public Services and Procurement Canada (PSPC); e 3) o Centro de Cibersegurança avalia os serviços de nuvem de acordo com os perfis de controle de nuvem do GC: Protected B Medium (antigamente conhecido como PBMM) e a sobreposição Protected B High Value Asset (PBHVA).
O Google Cloud concluiu os três componentes da avaliação ITS, incluindo os processos de avaliação de integridade da cadeia de suprimentos e segurança de nuvem de TI do Cyber Center, além das avaliações de segurança física e de pessoal necessárias. Os clientes do governo federal canadense que adquirem serviços de nuvem de acordo com o Programa de segurança do contrato precisam usar o pacote de recursos Data Boundary for Canada Protected B.
Introdução
O Governo do Canadá (GC) classifica os dados usando vários níveis de categorização de segurança (por exemplo, Protected A, Protected B, Confidential, Secret e Top Secret) do dano potencial que ocorreria se a confidencialidade, integridade e/ou disponibilidade delas fosse comprometida. Embora os serviços de nuvem possam ser usados por departamentos e agências do GC, os departamentos do GC precisam primeiro identificar e categorizar as informações para entender os controles de segurança que devem ser aplicados.
O que é o Protected B?
As informações "protegidas" podem ser categorizadas como Protected A, Protected B ou Protected C e se aplicam a informações pessoais, comerciais confidenciais ou qualquer outro ativo ou informação que, se comprometida, possa causar danos a um interesse não nacional. Mais especificamente, o Protected B pode incluir informações pessoais sensíveis, como: registros médicos, relatórios de avaliação de desempenho, informações financeiras detalhadas etc. A divulgação não autorizada desse tipo de informação pode causar danos graves a uma pessoa ou organização, como angústia, perda financeira ou danos à reputação.
O GC publicou instrumentos de políticas, como a Política de Segurança do Governo Política, Diretiva e Diretriz sobre serviços e tecnologia digital, Manual de segurança de contrato e Diretriz sobre o uso seguro de serviços de nuvem comerciais: Aviso de implementação da política de segurança (SPIN, na sigla em inglês) que descrevem os requisitos de segurança física, de pessoal e de TI e os controles que departamentos, agências e organizações do setor privado devem considerar para proteger informações sensíveis do governo.
Quais são os requisitos de controle de segurança relacionados à nuvem para Protected B?
Para a nuvem, os requisitos de controle de segurança estão descritos no Anexo 3 do Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach. O perfil de controle de segurança de nuvem médio do Cyber Center é usado como base dos requisitos de segurança de TI. Além disso, o GC desenvolveu um perfil de controle de segurança na nuvem para ativos de alto valor (PBHVA) que define controles de integridade e disponibilidade adicionais que podem ser aplicados como uma melhoria para oferecer suporte a cargas de trabalho de proteção B que foram identificadas como sistemas de ativos de alto valor.
Programa de segurança de contratos (CSP) dos Serviços Públicos e Compras do Canadá (PSPC)
O CSP do PSPC verifica a segurança física e de pessoal para contratos de serviços de nuvem. Isso envolve garantir que o Google Cloud esteja registrado no PSPC CSP e tenha a autorização de segurança organizacional necessária, além de facilitar as autorizações de segurança pessoal para funcionários que precisam acessar informações protegidas ou zonas de operação. O PSPC também realiza inspeções de segurança física nos locais dos data centers canadenses do Google Cloud para confirmar que as zonas de operação seguras, a proteção adequada dos dados, o acesso controlado e os requisitos de segurança do contrato são atendidos.
Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)
A equipe de SCI do Cyber Center avalia os fatores de risco relacionados à empresa, como propriedade, localização e práticas comerciais, além dos riscos técnicos do produto ou serviço em si. A equipe de SCI usa várias fontes para gerar uma classificação de risco, que contribui para a determinação final da avaliação de segurança da nuvem. Mais informações sobre o processo de SCI podem ser encontradas em ITSAP.10.070, Cyber supply chain: An approach to assessing risk.
Processo de avaliação de segurança de TI do Centro Canadense de Segurança Cibernética (CCCS)
O processo de avaliação da segurança da tecnologia da informação (ITS) do provedor de serviços de nuvem (CSP) (ITSM.50.100) consiste em uma avaliação detalhada da solução de nuvem em relação aos controles de segurança, como o perfil de nuvem médio e/ou o perfil de sobreposição de recursos de alto valor protegido B. O Google Cloud é responsável por fornecer evidências que demonstrem a adesão a cada um dos controles de segurança no perfil de controle relevante. O CCCS emite um relatório de avaliação de segurança resumindo as descobertas.
Conformidade com o Protected B do Google Cloud
O Google Cloud passou por uma avaliação dos requisitos de segurança organizacional, física e de pessoal do CSP do PSPC. O Google Cloud também concluiu os processos de avaliação de segurança de TI do provedor de serviços em nuvem (CSP) e integridade da cadeia de suprimentos (SCI) do Centro Canadense de Segurança Cibernética (CCCS) e foi aprovado para oferecer suporte a cargas de trabalho de Protected B Medium e Protected B High Value Asset. É possível acessar o relatório de resumo do CCCS sob demanda, sem custo adicional, pelo Gerenciador de relatórios de compliance.
Como hospedar cargas de trabalho protegidas B no Google Cloud
O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que os clientes alcancem vários níveis de conformidade sem uma infraestrutura de nuvem governamental isolada tradicional.
O Assured Workloads é uma solução de compliance do Google Cloud projetada para ajudar os clientes a atender a vários frameworks regulatórios, como CJIS, FedRAMP (moderado e alto), Departamento de Defesa IL2 / IL4 / IL5, Protected B e muitos outros.
Os clientes do governo federal canadense interessados em usar os serviços do Google Cloud para processar cargas de trabalho protegidas em alinhamento com os requisitos do Programa de segurança do contrato precisam usar o pacote de recursos Data Boundary for Canada Protected B. Serviços autorizados pelo Protected B disponibilizados pelo Assured Workloads para o Canadá O Protected B simplifica a segurança e a conformidade para departamentos e agências do GC implementando controles como: limites para restringir a localização dos dados do cliente Protected B ao Canadá e suporte técnico fornecido apenas por pessoal de segurança julgado e aprovado para o status de confiabilidade (ou superior). A lista de produtos e serviços compatíveis com o Assured Workloads para o Canadá Protected B está disponível aqui.
Serviços no escopo
Os seguintes serviços do Google Cloud passaram na avaliação de segurança de TI Protected B do Canadian Centre for Cyber Security:
Google Cloud
Protected B Medium
Admin Console (incluindo SDK Admin, Directory Sync)
Serviço de rotulagem de dados do AI Platform
Pesquisa de arquitetura neural do AI Platform
ao AI Platform Training e Prediction
Anthos Config Management (ACM)
Serviço de identidade do Anthos (ACS)
BeyondCorp Enterprise (observação: separação do console do Cloud)
Serviço de transferência de dados do BigQuery
Care Studio (antigo Cloud Healthcare Search)
Chronicle (produto de segurança)
Inventário de recursos do Cloud
Console do Cloud (sem o BeyondCorp Enterprise)
Aplicativo do Console do Cloud
Gerenciador de chaves externas do Cloud (Cloud EKM)
Cloud Life Sciences (antigo Google Genomics)
Cloud NAT: (conversão de endereços de rede)
Cloud Run (totalmente gerenciado)
GCP Marketplace (antigo Cloud Launcher)
Gerenciamento de identidade e acesso
Justificativa para acesso às chaves (soberania de acesso)
Looker Studio (incluindo o Pro, antigo Google Data Studio)
Notebooks (antigo Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - incluindo o Web Security Scanner (antigo Cloud Security Scanner)
Serviço de transferência do Cloud Storage
Vertex AI para Pesquisa (inclui o Agentspace)
Monitoramento de modelos do Vertex
Vertex on-line e previsão em lote
Federação de identidade de colaboradores (BYOID)
Benefício Protected B de alto valor (PBHVA)
Admin Console (incluindo SDK Admin, Directory Sync)
Serviço de rotulagem de dados do AI Platform
Pesquisa de arquitetura neural do AI Platform
ao AI Platform Training e Prediction
Anthos Config Management (ACM)
Serviço de identidade do Anthos (ACS)
BeyondCorp Enterprise (observação: separação do console do Cloud)
Serviço de transferência de dados do BigQuery
Care Studio (antigo Cloud Healthcare Search)
Chronicle (produto de segurança)
Inventário de recursos do Cloud
Console do Cloud (sem o BeyondCorp Enterprise)
Aplicativo do Console do Cloud
Gerenciador de chaves externas do Cloud (Cloud EKM)
Cloud Life Sciences (antigo Google Genomics)
Cloud NAT: (conversão de endereços de rede)
Cloud Run (totalmente gerenciado)
GCP Marketplace (antigo Cloud Launcher)
Gerenciamento de identidade e acesso
Justificativa para acesso às chaves (soberania de acesso)
Looker Studio (incluindo o Pro, antigo Google Data Studio)
Notebooks (antigo Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - incluindo o Web Security Scanner (antigo Cloud Security Scanner)
Serviço de transferência do Cloud Storage
Monitoramento de modelos do Vertex
Google Workspace
Protected B Medium
Ofertas relacionadas
ISO/IEC 27001A família de normas ISO/IEC 27000 ajuda as organizações a proteger os próprios dados. O Google Cloud e o Google Workspace estão em conformidade com a ISO/IEC 27001:2022.- ISO/IEC 27017A norma ISO/IEC 27017 define diretrizes para os controles de segurança da informação. O Google Cloud e o Google Workspace estão em conformidade com a ISO/IEC 27017:2015.
SOC 2O Google Cloud é submetido a uma auditoria regular conduzida por terceiros para certificar produtos individuais de acordo com os padrões SOC 2.
FedRAMPO Google Cloud mantém P-ATOs moderados do FedRAMP para os produtos do Google Cloud e do Google Workspace.
Vá além
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.
Conheça práticas recomendadas de segurança
Confira nossas práticas recomendadasResolva problemas comuns
Confira vídeos de casos de uso de segurançaTrabalhe com um parceiro
Conheça nossos parceiros de segurança
