agosty.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р ИСО/МЭК 27036-4-2020 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Обозначение:
ГОСТ Р ИСО/МЭК 27036-4-2020
Наименование:
Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг
Статус:
Действует
Дата введения:
06.01.2021
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р ИСО/МЭК 27036-4-2020 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

ГОСТ Р ИСО/МЭК 27036-4-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВО ВЗАИМООТНОШЕНИЯХ С ПОСТАВЩИКАМИ

Часть 4

Рекомендации по обеспечению безопасности облачных услуг

Information technology. Security techniques. Information security for supplier relationships. Part 4. Guidelines for security of cloud services

ОКС 35.020

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО "Эшелон") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 26 ноября 2020 г. N 1190-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-4:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг" (ISO/IEC 27036-4:2016 "Information technology - Security techniques - Information security for supplier relationships - Part 4: Guidelines for security of cloud services", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1.

Процедуры, использованные для разработки настоящего стандарта и предназначенные для его дальнейшего сопровождения, описаны в части 1 директив ИСО/МЭК. В частности, следует отметить различающиеся правила утверждения разных типов документов. Настоящий стандарт подготовлен в соответствии с редакционными правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).

Следует обратить внимание на возможность того, что некоторые элементы настоящего стандарта могут быть объектами патентных прав. ИСО и МЭК не несут ответственности за выявление каких-либо патентных прав. Подробная информация о любых патентных правах, выявленных в ходе разработки настоящего стандарта, содержится во введении и/или в списке полученных патентных деклараций ИСО (см. www.iso.org/patents).

Наименование любой торговой марки, используемое в настоящем стандарте, предоставляется в информационных целях для удобства пользователей и не является рекомендацией.

Для разъяснения значения конкретных терминов и выражений ИСО, связанных с оценкой соответствия, а также информации о приверженности ИСО принципам ВТО в области технических барьеров в торговле (ТБТ) см. следующий веб-сайт: www.iso.org/iso/foreword.html.

ИСО/МЭК 27036-4 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ". Подробности по серии стандартов ИСО/МЭК 27036 можно найти на веб-сайте ИСО.

Настоящий стандарт содержит рекомендации по обеспечению информационной безопасности для потребителей и поставщиков облачных услуг. Его применение должно привести к:

- более глубокому пониманию и улучшенному определению информационной безопасности в предоставлении облачных услуг;

- лучшему пониманию потребителями рисков, связанных с облачными услугами, для большей детализации требований к информационной безопасности;

- повышению возможностей поставщиков обеспечивать для потребителей уверенность в том, что они идентифицировали риски в облачных услугах и связанных с ними цепях поставок и приняли меры по управлению этими рисками.

Настоящий стандарт предназначен для использования всеми типами организаций, которые приобретают или предоставляют облачные услуги. Стандарт предназначен преимущественно для владельцев рисков среди потребителей облачных услуг, которые в итоге соглашаются с использованием облачных услуг, и для физических лиц, ответственных за предоставляемые поставщиком облачные услуги. Стандарт в первую очередь ориентирован на начальную связь первого потребителя облачных услуг и поставщика облачных услуг, но основные шаги должны применяться по всей цепи поставок, начиная с момента, когда первый поставщик облачных услуг меняет свою роль на роль потребителя облачных услуг и т.д. Способ, с использованием которого это изменение ролей повторяется, и способ, с которым те же самые шаги повторяются для каждого нового соединения потребитель - поставщик облачных услуг, являются центральными в настоящем стандарте. Следуя рекомендациям, содержащимся в настоящем стандарте, должна быть обеспечена возможность тесной взаимосвязи приоритетов информационной безопасности по всей цепи поставок. Проблемы информационной безопасности, связанные с взаимоотношениями с поставщиками, охватывают широкий спектр сценариев. Организации, желающие повысить уровень доверия в рамках предоставления облачных услуг, должны определить свои границы доверия, оценить риски, связанные с деятельностью в рамках цепи поставок, а затем определить и внедрить соответствующие методы идентификации рисков, снижения риска возникновения уязвимостей в рамках предоставления облачных услуг и смягчения возможных негативных последствий.

Основные положения и меры по обеспечению информационной безопасности, предусмотренные ИСО/МЭК 27001 и ИСО/МЭК 27002, служат отправной точкой для определения соответствующих требований к потребителям и поставщикам облачных услуг. ИСО/МЭК 27017 и ИСО/МЭК 27018 предоставляют рекомендации о том, как потребитель и поставщик могут внедрять, управлять и поддерживать информационную безопасность облачных услуг. Серия стандартов ИСО/МЭК 27036 содержит дополнительную информацию о конкретных требованиях, которые должны использоваться при установлении и контроле взаимоотношений с поставщиками. В настоящем стандарте сделано допущение о том, что у клиента облачных услуг для обеспечения информационной безопасности применяется система менеджмента информационной безопасности (по ИСО/МЭК 27001). В результате большая часть информационного наполнения сосредоточена у поставщика облачных услуг и зависит от типа возможностей, категории услуг и используемой модели развертывания облачных услуг.

Как правило, облачные услуги приобретаются "как есть". Потребитель облачных услуг не имеет возможности оговорить или запросить внесения изменений в приобретаемую услугу. Однако в некоторых случаях потребитель имеет возможность указать услугу и детали этой услуги, включая меры по обеспечению информационной безопасности, требуемые от поставщика. Серия стандартов ИСО/МЭК 27036 построена так, чтобы охватить оба этих возможных случая. Настоящий стандарт охватывает первый из этих случаев. Тогда, когда могут быть определены организационные меры по обеспечению безопасности, приводятся ссылки на ИСО/МЭК 27036-1, ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

Для потребителя облачных услуг это означает, что следует обратить внимание на то, что настоящий стандарт касается только процессов и мер обеспечения безопасности, характерных для облачных услуг. Предполагается, что все другие общие процессы и меры обеспечения информационной безопасности, необходимые для организации облачных услуг, уже используются для обеспечения информационной безопасности или же будут использоваться. Общие процессы и меры обеспечения информационной безопасности содержатся в других стандартах ИСО/МЭК, в частности в ИСО/МЭК 27036-1, ИСО/МЭК 27036-2, ИСО/МЭК 27036-3, ИСО/МЭК 27017 и ИСО/МЭК 27018.

1 Область применения

Настоящий стандарт содержит рекомендации потребителям и поставщикам облачных услуг:

a) по получению информации о рисках в области информационной безопасности, связанных с использованием облачных услуг, и по эффективному управлению этими рисками;

b) по реагированию на риски, связанные с приобретением или предоставлением облачных услуг, которые могут оказать влияние на информационную безопасность организаций, использующих эти сервисы.

В настоящем стандарте не рассматриваются вопросы управления непрерывностью бизнеса/ отказоустойчивости, связанные с облачными услугами. Вопросы непрерывности бизнеса см. в ИСО/МЭК 27031.

Настоящий стандарт не содержит указаний о том, как поставщику облачных услуг следует руководить и достигать информационной безопасности. Рекомендации по этим вопросам можно найти в ИСО/МЭК 27002 и ИСО/МЭК 27017.

Цель настоящего стандарта заключается в предоставлении рекомендаций для управления информационной безопасностью при использовании облачных услуг.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему)]:

ISO/IEC 17788, Information technology - Cloud computing - Overview and vocabulary (Информационные технологии. Облачные вычисления. Общие положения и терминология)

ISO/IEC 27017, Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по управлению информационной безопасностью на основе ИСО/МЭК 27002 для облачных услуг)

ISO/IEC 27036-1, Information technology - Security techniques - Information security for supplier relationships - Part 1: Overview and concepts (Информационные технологии. Методы обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия)

ISO/IEC 27036-2, Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования)

ISO/IEC 27036-3, Information technology - Security techniques - Information security in supplier relationships - Part 3: Guidelines for information and communication technology supply chain security (Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27036-1, ИСО/МЭК 27036-2, ИСО/МЭК 27036-3 и ИСО/МЭК 17788.

ИСО и МЭК ведут терминологические базы данных для использования в стандартизации по следующим адресам:

- IEC Electropedia: доступно по адресу //www.electropedia.org/;

- Платформа просмотра ISO Online: доступна по адресу https://www.iso.org/obp.

4 Структура стандарта

Настоящий стандарт следует использовать вместе с другими частями серии стандартов ИСО/МЭК 27036. Для реализации рекомендаций, указанных в настоящем стандарте, необходимо следовать ИСО/МЭК 27036-1, ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3. Настоящий стандарт следует использовать в качестве дополнительных рекомендаций по информационной безопасности, в частности в отношении облачных услуг и мер обеспечения безопасности облачных услуг, которые содержатся в ИСО/МЭК 27017 и ИСО/МЭК 27018. Сопоставление мер обеспечения безопасности можно найти в приложении A. Структура настоящего стандарта согласована с требованиями ИСО/МЭК/IEEE 15288 и ИСО/МЭК 12207. Раздел 6 отражает процессы жизненного цикла, предусмотренные в этих двух стандартах. Настоящий стандарт согласован с ИСО/МЭК 27017 и обеспечивает сопоставление мер обеспечения информационной безопасности ИСО/МЭК 27017 с процессами жизненного цикла, описанными в приложении B.

Примечания

1 Раздел 6 применим к моделям развертывания публичного облака.

2 В каждой таблице, представленной в разделе 6, пустая графа расположена между графами "Потребитель облачных услуг" и "Поставщик облачных услуг". Эта пустая графа указывает на то, что рекомендации, приведенные для потребителя облачных услуг и поставщика облачных услуг, не связаны между собой.

Ссылочные документы, указанные в настоящем стандарте, носят общий характер и не нуждаются в их детализации. Организации должны использовать существующие документы для обеспечения безопасности предоставления облачных услуг.

5 Основные понятия облака, угрозы и риски в области безопасности

5.1 Характеристика облачных вычислений

Согласно определению облачных вычислений в основе типов возможностей облака и категорий облачных услуг лежит ряд технологий (таких, как виртуализация серверов и сервис-ориентированная архитектура), которые позволяют предоставлять услуги. Эти облачные услуги обычно используют общие ресурсы, в которые поставщик может перемещать информацию потребителя облачных услуг и обрабатывать ее для того, чтобы обеспечить наиболее эффективное обслуживание при минимальных затратах.

В ИСО/МЭК 17788 определены три типа возможностей облака, которые обычно используются совместно многими потребителями облачных услуг в отношениях с поставщиками:

a) тип возможностей приложений;

b) тип возможностей инфраструктуры;

c) тип возможностей платформы.

В серии стандартов ИСО/МЭК 27036 термин "приобретающая сторона" используется для обозначения заинтересованной стороны, которая приобретает продукцию или услугу у другой стороны и организации; термин "поставщик" используется для обозначения физического лица, которое заключает с приобретающей стороной соглашение о поставке продукции или услуги соответственно. В настоящем стандарте термины "потребитель облачных услуг" (для приобретающей стороны) и "поставщик облачных услуг" используются для разграничения ролей в отношениях и выделения конкретных ролей, относящихся к облачным услугам.

Существуют различия и сходства в процессе приобретения между моделями развертывания публичного облака и аутсорсингом информационных и коммуникационных технологий (ИКТ), как показано на рисунке 1. Ниже показаны различия между использованием облачных услуг, основанных на модели развертывания публичного облака, и другими информационными услугами:

a) облачная услуга обычно стандартизирована с ограниченной гибкостью для настройки;

b) поставщик облачных услуг предоставляет потребителям облачных услуг заранее определенные меры обеспечения информационной безопасности;

c) поставщик облачных услуг, как правило, не соглашается с аудитом, проводимым по индивидуальным требованиям потребителя;

d) информационная безопасность потребителя облачных услуг зависит от способности поставщика реализовать информационную безопасность в облачной услуге для потребителя;

e) поставщик предлагает услугу потребителю облачных услуг по заранее определенному соглашению, которое будет использоваться без изменений.

Для гибридных или частных моделей развертывания облачных услуг эти утверждения могут оказаться неприменимыми и могут иметь место возможность согласования предоставляемой услуги и меры обеспечения информационной безопасности, которые должны быть реализованы, а также соглашения об использовании облачных услуг.

Рисунок 1 - Различия и сходства между аутсорсингом ИКТ и моделями развертывания публичного облака

5.2 Угрозы и связанные с ними риски для потребителя облачных услуг

Потребители облачных услуг несут ответственность за риски в области информационной безопасности, связанные с использованием услуг информационных систем, предлагаемых внешними поставщиками, включая поставщиков облачных услуг. Потребители облачных услуг несут ответственность за оценку рисков в области использования облачных услуг, принятие решения об использовании облачного сервиса и выбор конкретного поставщика. Риски, связанные с облачными услугами, различаются в зависимости от сочетания типа возможностей облака, категории услуги и модели развертывания. Угрозы облачных услуг аналогичны угрозам, связанным с ИКТ, облачная среда лишь изменяет последствия для потребителя, которые могут возникнуть в результате какого-либо инцидента. Например, "отсутствие прозрачности", которое будет иметь место для потребителя при предоставлении услуги, означает, что потребителю будет более сложно определить развитие инцидента. А это может задержать применение защитных мер и соответствующее исправление. Последнее, в свою очередь, увеличивает негативные последствия (и, следовательно, риск), хотя угроза не изменилась (например, угроза атаки со стороны вредоносных программ).

С точки зрения потребителя облачных услуг, важно, чтобы риски рассматривались в рамках оценки рисков для потребителя. Оценка риска зависит от активов, которые будут переданы и использованы в облачной услуге, а также от значимости этих активов для бизнеса.

Угрозы и риски зависят от факторов, рассмотренных выше, и от сектора экономики, в котором применяются облачные услуги и модель их развертывания. Например, в секторе здравоохранения могут существовать различные риски и угрозы, сравнимые с аналогичными рисками и угрозами из строительного сектора. Потребителям облачных услуг могут потребоваться различные уровни доверия к информационной безопасности в зависимости от критериев допустимого риска для потребителя, а также от сектора, в котором применяются облачные услуги и модель их развертывания.

Потребители облачных услуг имеют ограниченный контроль над расположением, доступом, обработкой и защитой информации, размещенной в облачной услуге. Кроме того, потребители облачных услуг не могут своевременно получать информацию об инцидентах, нарушениях, сбоях или других проблемах, влияющих на оказание услуги. Ограниченный контроль в сочетании с отсутствием информации о производительности и безопасности облачных услуг представляет собой заметный риск в использовании облачных услуг. Принимая решение о приобретении, потребитель облачных услуг должен будет оценить эти риски не только в отношении информации, которая будет размещена в облаке, но и зависимости своего бизнеса от этой информации и облачных услуг.

Поскольку большинство облачных услуг не могут быть проверены потребителем, сторонние доказательства могут оказаться полезными для оценки и, возможно, снижения рисков, при условии, что объем доказательств, предоставленных третьей стороной, имеет отношение к фактической облачной услуге.

5.3 Угрозы и связанные с ними риски для модели развертывания публичного облака

Угрозы и связанные с ними риски для потребителя облачных услуг различаются в зависимости от типа возможностей облака и модели развертывания. Типовые угрозы и риски для модели развертывания публичного облака представлены в таблице 1.

Таблица 1 - Типовые угрозы, риски и связанные с ними возможности в модели развертывания публичного облака

Типовые угрозы и риски

Тип возможностей инфраструктуры

Тип возможностей платформы

Тип возможностей приложений

Отсутствие контроля того, где хранятся данные потребителя облачных услуг

Где хранятся данные потребителя облачных услуг (касающиеся свойств данных: целостности, прослеживаемости и неприкосновенности частной жизни)

Неустановленный доступ к сохраненным данным потребителя облачных услуг

Кто имеет доступ или доступность хранимых данных потребителя облачных услуг (доступность)

Неустановленный процесс передачи данных

Как передаются данные потребителей облачных услуг (конфиденциальность, неприкосновенность частной жизни и целостность)

Неустановленный привилегированный пользователь, администратор или привилегированный доступ

Кто имеет более высокие привилегии (целостность, прослеживаемость, конфиденциальность и неприкосновенность частной жизни)

Отсутствие защиты от вредоносных программ

Вредоносные программы и т.д. (все аспекты)

Вредоносные программы, связанные с незащищенными платформами (все аспекты)

Вредоносные программы, связанные с приложениями (все аспекты)

Неустановленные права доступа к данным потребителя облачных услуг

Неприменимо

Доступ и права через права администратора (конфиденциальность, неприкосновенность частной жизни и целостность)

Доступ и права через права пользователя (конфиденциальность, неприкосновенность частной жизни и целостность)

Отсутствие данных журнала

Неприменимо

Отсутствие данных журнала (прослеживае-
мость и целостность)

Отсутствие данных журнала из приложения (прослеживаемость и целостность)

Отсутствие информации о целостности платформ

Неприменимо

Целостность платформ (все аспекты)

Неконтролируемые приложения прикладного уровня

Неприменимо

Неприменимо

Неконтролируемые изменения (целостность)

Отсутствие требований безопасности при разработке прикладного уровня

Неприменимо

Неприменимо

Отсутствие требований безопасности при разработке (все аспекты)

Невозможность получения данных потребителя облачных услуг во время предоставления услуги

Неприменимо

Неприменимо

Отсутствие услуг или другая проблема, останавливающая извлечение данных потребителя облачных услуг (доступность)

Неопределенность в отношении контроля над данными потребителей облачных услуг во время и после предоставления услуг

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация о сетевом трафике (доступность)

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация пользователей и т.д. (доступность)

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация пользователей и т.д. (доступность)

Невозможность определить, были ли данные потребителя облачных услуг полностью удалены при прекращении/завершении услуги

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как обработка, хранение или использование сети) были удалены (конфиденциальность и доступность)

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как использование приложения, тип обрабатываемых данных и данные пользователя приложения) были удалены (конфиденциальность и доступность)

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как использование приложения, тип обрабатываемых данных и данные пользователя приложения) были удалены (конфиденциальность и доступность)

Примечание - В настоящей таблице показано, какие риски возникают в модели развертывания публичного облака.

5.4 Угрозы и связанные с ними риски для модели развертывания гибридного облака

Типовые угрозы и риски, перечисленные в 5.3, применяются в зависимости от услуг. Даже если общие меры обеспечения безопасности могут быть применены к гибридному облаку, в зависимости от услуги может потребоваться определенная информационная безопасность облачных услуг.

5.5 Угрозы и связанные с ними риски для модели развертывания частного облака

Типовые угрозы и риски, перечисленные в 5.3, применяются в зависимости от услуги. Эти риски могут быть скорректированы путем диалога между сторонами. В этом диалоге потребитель облачных услуг может сообщить свои требования к частному облаку, в то время как поставщик облачных услуг может адаптировать меры обеспечения безопасности для снижения прикладных рисков, которые необходимо будет принимать потребителю. Важно учесть меры по ИСО/МЭК 27002 и соответствующие процессы по ИСО/МЭК 27036-3, касающиеся извлечения и уничтожения информации.

6 Меры обеспечения информационной безопасности в жизненном цикле приобретения облачных услуг

6.1 Процессы соглашения

6.1.1 Процесс приобретения

Потребителю облачных услуг в процессе приобретения в дополнение к требованиям и рекомендациям, приведенным в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, следует учитывать требования и рекомендации, представленные ниже (см. таблицу 2).

Таблица 2

Потребитель облачных услуг

Поставщик облачных услуг

а) Разработать стратегию взаимоотношений с поставщиками, чтобы:

1) позволить потребителю понять информационную безопасность на месте у конкретного поставщика облачных услуг;

2) обеспечить бесперебойную связь между потребителем облачных услуг и поставщиком облачных услуг путем назначения пунктов связи для контакта между потребителем облачных услуг и поставщиком;

3) определить четкое распределение ролей и обязанностей между потребителем и поставщиком облачных услуг;

4) включить рекомендации по снижению рисков, связанных с облаком, согласно 5.2;

5) расширить существующую политику безопасности для охвата облачных услуг

Неприменимо

6.1.2 Процесс поставки

Поставщики облачных услуг в процессе поставки, в дополнение к требованиям и рекомендациям, приведенным в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, должны учитывать следующее (см. таблицу 3).

Таблица 3

Потребитель облачных услуг

Поставщик облачных услуг

Неприменимо

a) Определить сферу ответственности, которую должен принять поставщик облачных услуг. Если поставщик облачных услуг является потребителем других облачных услуг, он также должен указать ответственность за использование таких услуг.

b) Объявить и опубликовать свою ответственность за поставляемую облачную услугу.

c) Предоставлять информацию и функциональные возможности для защиты поставщиком информации потребителя облачных услуг.

d) Предоставлять, если это возможно, свидетельства от третьей стороны (предпочтительно), которая обеспечивает надежность защиты информации потребителя поставщиком облачных услуг и определенность в части мер обеспечения информационной безопасности поставщика облачных услуг.

e) Описывать возможность безопасного облачного резервного копирования.

f) Описывать меры устойчивости (включая планы обеспечения непрерывности бизнеса и аварийного восстановления) для предоставляемых облачных услуг.

g) Указывать процесс уведомления потребителей об изменениях у поставщиков облачных услуг.

h) Представлять доказательства обеспечения ревизии сторонних производителей или аудиторской проверки/отчетности и т.д. для облачных услуг.

i) Установить требования к работе с несколькими арендаторами и к обеспечению логического и физического разделения информации для потребителей облачных услуг.

j) Установить требования к безопасной передаче активов потребителя облачных услуг:

1) установить требования по ограничению перемещения, передачи и хранения информации потребителя;

2) определить методы и критерии приемки для оценки поставщиков облачных услуг в отношении способности обеспечить логическое и физическое разделение информации для потребителей;

3) определить процессы перехода активов потребителя облачных услуг к другому поставщику облачных услуг;

4) определить процесс изъятия или подтверждения изъятия активов потребителя облачных услуг в вычислительной среде поставщика облачных услуг при расторжении договора.

k) Определить процессы сбора и анализа договорных документов, связанных с информационной безопасностью облачных услуг, которые могут включать соглашения об уровне обслуживания

6.2 Процессы организационного обеспечения проекта

В отношении процессов организационного обеспечения проекта, способствующих реализации проектов, следует руководствоваться ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3 Процессы проектов

6.3.1 Процесс планирования проекта

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.2 Процесс оценки и контроля проекта

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.3 Процесс управления решениями

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.4 Процесс управления рисками

Потребители и поставщики облачных услуг должны учитывать в процессе управления рисками следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 4).

Таблица 4

Потребитель облачных услуг

Поставщик облачных услуг

a) Указать тип, классификацию и важность информации, которая может обрабатываться в облаке (например, коммерческая информация, интеллектуальная собственность, правовая, нормативная и конфиденциальная информация, логистическая информация, управленческая информация или личная информация).

b) Указать правовые/нормативные риски для организации (например, авторское право, защита информации, финансовое регулирование, нарушение конфиденциальности и корпоративное управление), связанные с информацией, подлежащей обработке в облачной услуге.

c) Провести оценивание риска и принять остаточный риск

a) Обеспечить уровень безопасности, указанный в соглашении об уровне обслуживания, согласованном с потребителем облачных услуг.

b) Управлять процессом расторжения и связанным с ним возвратом и/или удалением информации при облачной услуге

6.3.5 Процесс управления конфигурацией

Потребители и поставщики облачных услуг должны учитывать в процессе управления конфигурацией следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 5).

Таблица 5

Потребитель облачных услуг

Поставщик облачных услуг

a) Определить влияние изменений на услуги

a) Следует анализировать и сравнивать любые изменения с согласованными условиями по услуге.

b) Следует осуществлять уведомление потребителя облачных услуг о любых изменениях в услуге

6.3.6 Процесс управления информацией

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3. Кроме того, как часть процесса управления информацией, настоящие рекомендации состоят в том, что конфиденциальность данных должна быть рассмотрена и определена как с точки зрения потребителя облачных услуг, так и с точки зрения поставщика облачных услуг для аутентификации и других соответствующих информационных процессов.

Поставщик облачных услуг должен, в частности, определить, существуют ли какие-либо идентификационные данные, которые также считаются конфиденциальной информацией из-за технического решения аутентификации, предоставляемой облачной услугой. Этот тип информации, если он не сообщается, обычно известен только поставщику, но не потребителю облачных услуг. Определение того, являются ли аутентификационные данные также информацией о конфиденциальности, может варьироваться в зависимости от различных юридических аспектов, определяющих данные как информацию о конфиденциальности и фактическую модель облачных услуг.

6.3.7 Процесс измерения

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4 Технические процессы

6.4.1 Процесс определения требований заинтересованных сторон

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.2 Процесс анализа требований

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.3 Процесс определения архитектуры

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.4 Процесс реализации

Для обеспечения надлежащего управления рисками безопасности со стороны потребителя и поставщика облачных услуг в дополнение к требованиям и рекомендациям, содержащимся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, в процесс реализации следует включить требования и рекомендации, представленные ниже (см. таблицу 6).

Таблица 6

Потребитель облачных услуг

Поставщик облачных услуг

a) Внедрять облачные услуги постепенно, особенно если в облачной услуге должна храниться или обрабатываться конфиденциальная или критическая информация. Для снижения рисков потребитель облачных услуг должен использовать поэтапный подход во внедрении облачных услуг. Сначала потребитель должен задействовать часть облачных услуг, которая имеет меньший риск. И далее расширять использование облачных услуг, анализируя конкретную ситуацию

a) Внедрять, управлять и выполнять меры по безопасности

6.4.5 Процесс комплексирования

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.6 Процесс верификации

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.7 Процесс передачи

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.8 Процесс валидации (аттестации)

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.9 Процесс функционирования

Для обеспечения надлежащего управления рисками безопасности со стороны потребителя и поставщика облачных услуг в дополнение к требованиям и рекомендациям, содержащимся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, в процесс функционирования следует включить следующее (см. таблицу 7).

Таблица 7

Потребитель облачных услуг

Поставщик облачных услуг

a) Внедрить "политику использования облака" и организовать обучение персонала.

b) Отслеживать изменения в облачных услугах и устранять последствия этих изменений.

c) Собирать информацию и реагировать на инциденты информационной безопасности, связанные с облачными услугами

a) Предоставлять информацию и функциональные возможности, определенные в процессе поставки потребителю облачных услуг:

1) организовать процесс работы таким образом, чтобы предоставлять информацию и функциональные возможности потребителям облачных услуг;

2) предоставлять информацию и функциональные возможности через процесс функционирования;

3) контролировать, чтобы убедиться, что процесс работает надлежащим образом, и оценивать процесс, когда это необходимо.

b) Осуществлять мониторинг деятельности потребителей облачных услуг в рамках соглашения между поставщиком и потребителем и уведомлять соответствующего потребителя о том, когда такая деятельность может повлиять на предоставление облачных услуг.

c) Контролировать деятельность поставщика и обеспечивать подотчетность всех действий, выполняемых в отношении облачных услуг или инфраструктуры для предоставления облачных услуг

6.4.10 Процесс сопровождения

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.11 Процесс изъятия и списания

Потребителям облачных услуг и поставщикам облачных услуг следует учитывать в процессе изъятия и списания следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 8).

Таблица 8

Потребитель облачных услуг

Поставщик облачных услуг

a) Подтвердить удаление информации при прекращении использования облачной услуги

a) Установить процесс регистрации удаления информации при изъятии активов потребителя облачных услуг с согласия потребителя, прекращающего использование облачных услуг.

b) Установить процесс надлежащего ведения журнала изъятия и списания.

c) Установить процедуру раскрытия журналов изъятия и списания по запросу потребителя облачных услуг

7 Меры по обеспечению информационной безопасности поставщиками облачных услуг

7.1 Общие положения

7.1.1 Наборы мер обеспечения безопасности, связанных с моделью развертывания облачных услуг

Меры обеспечения безопасности, применяемые для уменьшения угроз и рисков, связанных с облачными услугами, могут отличаться в зависимости от сочетания типа возможностей, категории услуг, модели развертывания и профиля целевого потребителя. Поставщику облачных услуг следует применять меры для реагирования на риски и удовлетворения требований потребителя облачных услуг.

Поставщик облачных услуг, который хочет привлечь потребителей облачных услуг с высокими требованиями к безопасности, должен применять больше мер защиты и обеспечивать более высокий уровень доверия на рынке. Это означает, что поставщик облачных услуг должен предвидеть потребности потребителя в безопасности облачных услуг на основе отраслевой среды (сектора экономики), географии, правового контекста и т.д. Поставщик облачных услуг должен также иметь в виду, что, хотя именно потребитель должен соблюдать правовые и нормативные требования, возможности поставщика облачных услуг отвечать этим требованиям определяют успех поставщика.

В настоящем разделе рассматривается набор мер обеспечения безопасности, связанных с моделью развертывания публичного облака в сочетании с различными типами возможностей. Конкретные и подробные меры обеспечения безопасности можно найти в других стандартах, таких как ИСО/МЭК 27017 или ИСО/МЭК 27018.

7.1.2 Установка мер обеспечения информационной безопасности у поставщика облачных услуг

Вполне вероятно, что потребитель облачных услуг уже имеет набор требований, которые должны быть выполнены. Используя стандарты и ссылаясь на них, поставщик облачных услуг может более легко продемонстрировать, как эти требования могут быть выполнены, а затем получить признание от потребителя облачных услуг.

Любой поставщик облачных услуг должен предусматривать наличие:

a) системы управления информационной безопасностью (по ИСО/МЭК 27001);

b) необходимого набора мер обеспечения безопасности для организации;

c) необходимого набора мер для реальных облачных услуг;

d) политики, утвержденного положения или другого метода связи при обеспечении информационной безопасности услуг для реальных и потенциальных потребителей облачных услуг.

Наличие системы управления информационной безопасностью должно быть основой обеспечения информационной безопасности в рамках организации поставщика облачных услуг.

Фактический набор мер безопасности должен варьироваться в зависимости от облачных услуг в сочетании с моделью развертывания и ожидаемыми критериями принятия потребителем облачных услуг. Кроме того, следует учитывать, как реализуемые меры обеспечения безопасности, определяемые поставщиком облачных услуг, доводятся до сведения предполагаемых потребителей. Следует заметить, что отсутствие мер обеспечения безопасности для текущих облачных услуг приведет к ослаблению информационной безопасности, и это может быть действительно выбором поставщика облачных услуг по бизнес-причинам.

Поставщик облачных услуг может повысить доверие потребителей облачных услуг (существующих и потенциальных), сформулировав свои методы защиты информации следующим образом:

a) демонстрация соответствия части организации, предоставляющей облачные услуги, применимому стандарту управления информационной безопасностью, такому как ИСО/МЭК 27001;

b) демонстрация соответствия с применимыми мерами обеспечения безопасности, основанными на характере услуги и требованиях рынка, на котором предоставляется услуга.

Поставщик облачных услуг должен сообщать потенциальным потребителям облачных услуг о соответствии стандартам управления информационной безопасностью и мерам обеспечения безопасности. Это может быть достигнуто путем указания конкретных стандартов и мер обеспечения безопасности, с которыми согласована облачная услуга. Хотя такое выравнивание уменьшит риски для потребителя облачных услуг, оно не устранит их.

На рисунке 2 показано, как поставщик облачных услуг может использовать стандарты информационной безопасности для защиты как организации поставщика, так и возможностей облака и категорий услуг, предлагаемых потребителям облачных услуг.

Дополнительные сведения о сопоставлении соответствующих мер обеспечения безопасности облачных услуг с моделями развертывания см. в приложении A.

Рисунок 2 - Пример использования стандартов безопасности поставщиком облачных услуг

7.2 Модели развертывания публичного облака

7.2.1 Тип возможностей инфраструктуры

Поставщик облачных услуг должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности инфраструктуры, предоставляемой потребителям.

Основные меры обеспечения безопасности следующие:

a) меры обеспечения безопасности сети (включая доступ к сети);

b) меры обеспечения безопасности связи (включая криптографию);

c) меры обеспечения безопасности хранения (включая физическое хранение и безопасность в течение жизненного цикла);

d) защита от вредоносных программ;

e) мониторинг;

f) управление производительностью;

g) управление идентичностью;

h) управление инцидентами;

i) установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования.

Кроме того, поставщику облачных услуг следует применять меры, предусмотренные в ИСО/МЭК 27017, для выполнения обязанностей, разделяемых с его потребителями облачных услуг.

7.2.2 Тип возможностей платформы

Поставщик облачных услуг должен обеспечить, чтобы безопасность инфраструктуры и платформы, используемой для предоставления их функциональных возможностей, была на одном уровне с безопасностью предоставляемых ими услуг. Кроме того, поставщик должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности услуг платформы, предоставляемой потребителям облачных услуг.

Основные меры обеспечения безопасности следующие:

a) контроль доступа (пользовательский и административный доступ как для потребителя, так и для поставщика облачных услуг);

b) управление регистрациями;

c) контроль целостности операционной системы;

d) контроль за изменением операционной системы;

e) установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования.

Кроме того, поставщик должен применять меры, предусмотренные в ИСО/МЭК 27017, для выполнения обязанностей, разделяемых с потребителями облачных услуг.

7.2.3 Тип возможностей приложения

Поставщик облачных услуг должен обеспечить, чтобы безопасность инфраструктуры и платформы, используемой для предоставления возможностей приложения, была на одном уровне с безопасностью предоставляемых прикладных услуг. Кроме того, поставщик облачных услуг должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности прикладных услуг, предоставляемых потребителям.

Основные меры обеспечения безопасности следующие:

a) контроль доступа и прав пользователя;

b) контроль изменений приложений;

c) контроль использования и передачи услуг приложений.

Поставщики облачных услуг должны реализовывать меры обеспечения безопасности, предусмотренные в ИСО/МЭК 27017. Дополнительную информацию о безопасности приложений в их жизненном цикле можно найти в ИСО/МЭК 27034.

7.3 Модель развертывания гибридного облака

Все меры обеспечения безопасности, перечисленные выше для трех типов возможностей облака, должны применяться в зависимости от используемых фактических типов возможностей и категорий служб.

7.4 Модель развертывания частного облака

Применяются все меры обеспечения безопасности для поставщика, указанного в ИСО/МЭК 27017.

Приложение A
(справочное)

Стандарты информационной безопасности для поставщиков облачных услуг

Целью управления информационной безопасностью для потребителя облачных услуг является последовательная защита его собственной информации, независимо от того, используется облачная услуга или нет.

С другой стороны, целью управления информационной безопасностью для поставщика облачных услуг является обеспечение лучшего качества облачных услуг, а также защита собственной информации. Поэтому поставщику облачных услуг необходимо развивать меры информационной безопасности, чтобы защитить информацию потребителя облачных услуг в рамках управления услугами.

В таблице A.1 приведены перекрестные ссылки на модели развертывания облачных услуг, а также соответствующие стандарты информационной безопасности. При рассмотрении типов возможностей платформы и приложения перечисленные меры обеспечения безопасности считаются иерархическими. Некоторые меры обеспечения безопасности напрямую (а некоторые - косвенно) связаны с типом возможностей облака и моделью развертывания. Таблица A.1 отражает рекомендации для анализа и определения важности соответствующих мер обеспечения безопасности.

Следует отметить, что таблица А.1 содержит лишь рекомендации. Могут существовать другие приемлемые меры обеспечения безопасности и другие стандарты, приведенные в последней графе таблицы А.1 ("дополнительная ссылка на другие вспомогательные стандарты ИСО/МЭК").

Таблица А.1 - Перекрестные ссылки на модели развертывания облачных услуг и соответствующие стандарты

Тип возмож-
ностей облака

Модель

Предмет информационной безопасности (7.2.1 в целом и 7.2.3, если указано)

Меры обеспе-
чения безопас-
ности по ИСО/МЭК 27002

Дополни-
тельная облачная информация или меры по ИСО/МЭК 27017 по сравнению с ИСО/МЭК 27002

Конфиден-
циальность по ИСО/МЭК 27018 (прило-
жение А)

Дополни-
тельная ссылка на другие вспомога-
тельные стандарты ИСО/МЭК

Инфра-
структура

Публич-
ное облако

а) Меры обеспечения безопасности сети (включая доступ к сети)

9.2.3, 9.2.5, 9.2.6, 12.6.1, 13.1.1, 13.1.2, 13.1.3

9.2.3, 13.1.3

А.1.1, А.2.1, А.4.1, А.5.1, А.5.2, А.9.1

27032, 27033, 29115, 29003

Инфра-
структура

Публич-
ное облако

b) Меры обеспечения безопасности связи (включая криптографию)

10.1.1, 10.1.2, 13.1.2, 13.2.3, 18.1.5

10.1.1, 18.1.5

А.9.1

27033

Инфра-
структура

Публич-
ное облако

с) Меры обеспечения безопасности хранения (включая физическое хранение и безопасность в течение жизненного цикла)

8.1.1, 8.1.2, 8.1.3, 8.3.2, 11.2.7, 17.2

8.1.1, 8.2.2, CLD.8.1.5

А.1.1, А.4.1, А.5.1, А.5.2

27031, 27040

Инфра-
структура

Публич-
ное облако

d) Защита от вредоносных программ

12.2.1

Отсут-
ствует

Отсут-
ствует

Отсут-
ствует

Инфра-
структура

Публич-
ное облако

е) Мониторинг

12.4.3, 12.4.4

12.4.4

Отсут-
ствует

27033

Инфра-
структура

Публич-
ное облако

f) Управление производи-
тельностью

12.1.3

12.1.3

Отсут-
ствует

Отсут-
ствует

Инфра-
структура

Публич-
ное облако

g) Управление идентификацией

Отсут-
ствует

Отсут-
ствует

А.1.1, А.2.1, А.4.1, А.5.1, А.5.2, А.9.1

24760, 29115, 29003

Инфра-
структура

Публич-
ное облако

h) Управление инцидентами

16.1.1, 16.1.2, 16.1.4, 16.1.5, 16.1.6, 16.1.7

16.1.1, 16.1.7

А.7.1, А.9.1

27035

Инфра-
структура

Публич-
ное облако

i) Установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования

18.1.2

18.1.2

А.1.1, А.7.1, А.9.1

Отсут-
ствует

Платформа

Публич-
ное облако

а) Меры обеспечения безопасности доступа (пользовательский и административный доступ как для облачных услуг, так и для поставщика облачных услуг)

9.2.1, 9.2.2, 9.2.4, 9.3.1, 9.4.2, 9.4.3, 9.4.5

9.2.1, 9.2.2, 9.2.3, 9.2.4

А.1.1, А.2.1, А.4.1, А.5.1, А.5.2, А.9.1

29115, 29003

Платформа

Публич-
ное облако

b) Управление регистрациями

12.4.1, 12.4.2

12.4.1

А.1.1, А.2.1, А.5.1, А.5.2, А.9.1

Отсут-
ствует

Платформа

Публич-
ное облако

с) Контроль целостности операционной системы

12.6.1

Отсут-
ствует

Отсут-
ствует

Отсут-
ствует

Платформа

Публич-
ное облако

d) Контроль за изменением операционной системы

12.1.1, 12.1.2, 12.5.1, 14.2.2

12.1.2

Отсут-
ствует

Отсут-
ствует

Платформа

Публич-
ное облако

е) Установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования

18.1.2

18.1.2

А.1.1, А.7.1, А.9.1

Отсут-
ствует

Приложение

Публич-
ное облако

а) Меры обеспечения безопасности доступа и прав пользователя

9.4.1, 9.4.4

9.4.1, 9.4.4

А.1.1, А.2.1, А.4.1, А.5.1, А.5.2, А.9.1

27032, 29115, 29003

Приложение

Публич-
ное облако

b) Меры обеспечения безопасности изменений в приложении

12.6.2

12.1.2

А.2.1, А.7.1

27032

Приложение

Публич-
ное облако

с) Управление использованием и передачей служб приложений

14.1.2, 14.1.3

14.1.2, 14.1.3

А.2.1, А.2.2, А.4.1, А.5.1, А.5.2, А.7.1

27032

Приложение

Публич-
ное облако

7.2.3 Управление разработкой приложений

14.2.1, 14.2.4, 14.2.5, 14.2.6, 14.2.8, 14.2.9, 14.3.1

14.2.1

А.2.1, А.7.1

27032, 27034

Приложение B
(справочное)

Сопоставление мер обеспечения безопасности настоящего стандарта с мерами обеспечения безопасности по ИСО/МЭК 27017

Настоящий стандарт связан с жизненным циклом облачных услуг. При применении мер обеспечения безопасности в соответствии с ИСО/МЭК 27017 в настоящем приложении содержатся рекомендации относительно того, когда в процессе жизненного цикла применяются меры обеспечения безопасности, а также в некоторых случаях, когда конкретные меры управления неприемлемы (см. таблицу В.1).

Таблица B.1 - Сопоставление подразделов/пунктов настоящего стандарта с разделами/подразделами ИСО/МЭК 27017

Настоящий стандарт

ИСО/МЭК 27017 (указано, если есть ссылка на ИСО/МЭК 27002)

Раздел 6 Меры обеспечения информационной безопасности в жизненном цикле приобретения облачных услуг

6.1 Процессы соглашения

Раздел 5 Политики информационной безопасности

Раздел 6 Организация информационной безопасности

Раздел 15 Взаимоотношения с поставщиками

Раздел 18 Соответствие

Приложение А, CLD.6.3 Взаимоотношения между потребителем облачных услуг и поставщиком облачных услуг

6.1.1 Процесс приобретения

См. отражение в 6.1

6.1.2 Процесс поставки

См. отражение в 6.1

6.2 Процессы организационного обеспечения проекта

Нет

6.3 Процессы проектов

6.3.1 Процесс планирования проекта

Нет

6.3.2 Процесс оценки и контроля проекта

Нет

6.3.3 Процесс управления решениями

Нет

6.3.4 Процесс управления рисками

Нет

6.3.5 Процесс управления конфигурацией

12.1.2 Управление изменениями (ссылка на ИСО/МЭК 27002)

14.2.2 Процедуры системы управления изменениями

12.1.5 Операционная безопасность администратора

6.3.6 Процесс управления информацией

8.2 Классификация информации

9.1 Требования бизнеса к контролю доступа

10 Криптография

12.3 Резервное копирование (ссылка на ИСО/МЭК 27002)

13.2.1 Политики и процедуры передачи информации

6.3.7 Процесс измерения

Нет

6.4 Технические процессы

6.4.1 Процесс определения требований заинтересованных сторон

14.1 Требования безопасности информационных систем

6.4.2 Процесс анализа требований

14.1 Требования безопасности информационных систем

6.4.3 Процесс определения архитектуры

Нет

6.4.4 Процесс реализации

14.2 Безопасность в процессах разработки и поддержки

6.4.5 Процесс комплексирования

14.2 Безопасность в процессах разработки и поддержки

6.4.6 Процесс верификации

14.2 Безопасность в процессах разработки и поддержки (ссылка на ИСО/МЭК 27002)

14.3 Данные испытаний (ссылка на ИСО/МЭК 27002)

6.4.7 Процесс передачи

14.2.8 Тестирование безопасности системы

6.4.8 Процесс валидации (аттестации)

14.2 Безопасность в процессах разработки и поддержки (ссылка на ИСО/МЭК 27002)

14.3 Тестовые данные

6.4.9 Процесс функционирования

8 Управление активами

9 Контроль доступа

10 Криптография

12 Безопасность операций

13 Безопасность связи

16 Управление инцидентами в области информационной безопасности

17 Аспекты информационной безопасности в управлении непрерывностью бизнеса

18 Соответствие

Приложение А:

- CLD.9.5 Контроль доступа к данным потребителя облачных услуг в общей виртуальной среде;

- CLD.9.5.2 Усиление виртуальных машин;

- CLD.12.1.5 Операционная безопасность администратора;

- CLD.12.4.5 Мониторинг облачных услуг;

- CLD.13.1.4 Согласование управления безопасностью для виртуальных и физических сетей

6.4.10 Процесс сопровождения

ИСО/МЭК 27002, 8.3 Работа со средствами массовой информации

13 Безопасность связи (ссылка на ИСО/МЭК 27002)

17 Аспекты информационной безопасности в управлении непрерывностью бизнеса

6.4.11 Процесс изъятия и списания

8 Управление активами (ссылка на ИСО/МЭК 27002)

13.2 Передача информации

Приложение А, CLD.8.1.5 Удаление активов потребителей облачных услуг

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального, межгосударственного стандарта

ISO/IEC 17788

-

*

ISO/IEC 27017

-

*

ISO/IEC 27036-1

-

*

ISO/IEC 27036-2

IDT

ГОСТ Р ИСО/МЭК 27036-2-2020 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования"

ISO/IEC 27036-3

NEQ

ГОСТ Р 59215-2020 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий"

* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде стандартов.

Примечание - В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов:

- IDT - идентичные стандарты;

- NEQ - неэквивалентные стандарты.

Библиография

[1]

ISO/IEC 17789|ITU-T Rec. Y.3502, Information technology - Cloud computing - Reference architecture (ИСО/МЭК 17789 Информационные технологии. Облачные вычисления. Эталонная архитектура)

[2]

ISO/IEC 19086-1, Information technology - Cloud computing - Service level agreement (SLA) framework and technology - Part 1: Overview and concepts

[3]

ISO/IEC 27018, Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

[4]

ISO/IEC 29003, Information technology - Security techniques - Identity proofing

[5]

ISO/IEC 29115, Information technology - Security techniques - Entity authentication assurance framework

________________

Официальный перевод этого стандарта находится в Федеральном информационном фонде стандартов.

УДК 006.34:004.056:004.056.5:004.056.53:006.354

ОКС 35.020

Ключевые слова: информационная безопасность, информационные технологии, методы и средства обеспечения безопасности, облачные услуги, поставщик, приобретающая сторона, риск, система

Электронный текст документа
и сверен по:

, 2020