ГОСТ Р ИСО/МЭК 27036-4-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВО ВЗАИМООТНОШЕНИЯХ С ПОСТАВЩИКАМИ

Часть 4

Рекомендации по обеспечению безопасности облачных услуг

Information technology. Security techniques. Information security for supplier relationships. Part 4. Guidelines for security of cloud services

ОКС 35.020

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО "Эшелон") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 26 ноября 2020 г. N 1190-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-4:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг" (ISO/IEC 27036-4:2016 "Information technology - Security techniques - Information security for supplier relationships - Part 4: Guidelines for security of cloud services", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1.

Процедуры, использованные для разработки настоящего стандарта и предназначенные для его дальнейшего сопровождения, описаны в части 1 директив ИСО/МЭК. В частности, следует отметить различающиеся правила утверждения разных типов документов. Настоящий стандарт подготовлен в соответствии с редакционными правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).

Следует обратить внимание на возможность того, что некоторые элементы настоящего стандарта могут быть объектами патентных прав. ИСО и МЭК не несут ответственности за выявление каких-либо патентных прав. Подробная информация о любых патентных правах, выявленных в ходе разработки настоящего стандарта, содержится во введении и/или в списке полученных патентных деклараций ИСО (см. www.iso.org/patents).

Наименование любой торговой марки, используемое в настоящем стандарте, предоставляется в информационных целях для удобства пользователей и не является рекомендацией.

Для разъяснения значения конкретных терминов и выражений ИСО, связанных с оценкой соответствия, а также информации о приверженности ИСО принципам ВТО в области технических барьеров в торговле (ТБТ) см. следующий веб-сайт: www.iso.org/iso/foreword.html.

ИСО/МЭК 27036-4 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ". Подробности по серии стандартов ИСО/МЭК 27036 можно найти на веб-сайте ИСО.

Настоящий стандарт содержит рекомендации по обеспечению информационной безопасности для потребителей и поставщиков облачных услуг. Его применение должно привести к:

- более глубокому пониманию и улучшенному определению информационной безопасности в предоставлении облачных услуг;

- лучшему пониманию потребителями рисков, связанных с облачными услугами, для большей детализации требований к информационной безопасности;

- повышению возможностей поставщиков обеспечивать для потребителей уверенность в том, что они идентифицировали риски в облачных услугах и связанных с ними цепях поставок и приняли меры по управлению этими рисками.

Настоящий стандарт предназначен для использования всеми типами организаций, которые приобретают или предоставляют облачные услуги. Стандарт предназначен преимущественно для владельцев рисков среди потребителей облачных услуг, которые в итоге соглашаются с использованием облачных услуг, и для физических лиц, ответственных за предоставляемые поставщиком облачные услуги. Стандарт в первую очередь ориентирован на начальную связь первого потребителя облачных услуг и поставщика облачных услуг, но основные шаги должны применяться по всей цепи поставок, начиная с момента, когда первый поставщик облачных услуг меняет свою роль на роль потребителя облачных услуг и т.д. Способ, с использованием которого это изменение ролей повторяется, и способ, с которым те же самые шаги повторяются для каждого нового соединения потребитель - поставщик облачных услуг, являются центральными в настоящем стандарте. Следуя рекомендациям, содержащимся в настоящем стандарте, должна быть обеспечена возможность тесной взаимосвязи приоритетов информационной безопасности по всей цепи поставок. Проблемы информационной безопасности, связанные с взаимоотношениями с поставщиками, охватывают широкий спектр сценариев. Организации, желающие повысить уровень доверия в рамках предоставления облачных услуг, должны определить свои границы доверия, оценить риски, связанные с деятельностью в рамках цепи поставок, а затем определить и внедрить соответствующие методы идентификации рисков, снижения риска возникновения уязвимостей в рамках предоставления облачных услуг и смягчения возможных негативных последствий.

Основные положения и меры по обеспечению информационной безопасности, предусмотренные ИСО/МЭК 27001 и ИСО/МЭК 27002, служат отправной точкой для определения соответствующих требований к потребителям и поставщикам облачных услуг. ИСО/МЭК 27017 и ИСО/МЭК 27018 предоставляют рекомендации о том, как потребитель и поставщик могут внедрять, управлять и поддерживать информационную безопасность облачных услуг. Серия стандартов ИСО/МЭК 27036 содержит дополнительную информацию о конкретных требованиях, которые должны использоваться при установлении и контроле взаимоотношений с поставщиками. В настоящем стандарте сделано допущение о том, что у клиента облачных услуг для обеспечения информационной безопасности применяется система менеджмента информационной безопасности (по ИСО/МЭК 27001). В результате большая часть информационного наполнения сосредоточена у поставщика облачных услуг и зависит от типа возможностей, категории услуг и используемой модели развертывания облачных услуг.

Как правило, облачные услуги приобретаются "как есть". Потребитель облачных услуг не имеет возможности оговорить или запросить внесения изменений в приобретаемую услугу. Однако в некоторых случаях потребитель имеет возможность указать услугу и детали этой услуги, включая меры по обеспечению информационной безопасности, требуемые от поставщика. Серия стандартов ИСО/МЭК 27036 построена так, чтобы охватить оба этих возможных случая. Настоящий стандарт охватывает первый из этих случаев. Тогда, когда могут быть определены организационные меры по обеспечению безопасности, приводятся ссылки на ИСО/МЭК 27036-1, ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

Для потребителя облачных услуг это означает, что следует обратить внимание на то, что настоящий стандарт касается только процессов и мер обеспечения безопасности, характерных для облачных услуг. Предполагается, что все другие общие процессы и меры обеспечения информационной безопасности, необходимые для организации облачных услуг, уже используются для обеспечения информационной безопасности или же будут использоваться. Общие процессы и меры обеспечения информационной безопасности содержатся в других стандартах ИСО/МЭК, в частности в ИСО/МЭК 27036-1, ИСО/МЭК 27036-2, ИСО/МЭК 27036-3, ИСО/МЭК 27017 и ИСО/МЭК 27018.

     1 Область применения

Настоящий стандарт содержит рекомендации потребителям и поставщикам облачных услуг:

a) по получению информации о рисках в области информационной безопасности, связанных с использованием облачных услуг, и по эффективному управлению этими рисками;

b) по реагированию на риски, связанные с приобретением или предоставлением облачных услуг, которые могут оказать влияние на информационную безопасность организаций, использующих эти сервисы.

В настоящем стандарте не рассматриваются вопросы управления непрерывностью бизнеса/ отказоустойчивости, связанные с облачными услугами. Вопросы непрерывности бизнеса см. в ИСО/МЭК 27031.

Настоящий стандарт не содержит указаний о том, как поставщику облачных услуг следует руководить и достигать информационной безопасности. Рекомендации по этим вопросам можно найти в ИСО/МЭК 27002 и ИСО/МЭК 27017.

Цель настоящего стандарта заключается в предоставлении рекомендаций для управления информационной безопасностью при использовании облачных услуг.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему)]:

ISO/IEC 17788, Information technology - Cloud computing - Overview and vocabulary (Информационные технологии. Облачные вычисления. Общие положения и терминология)

ISO/IEC 27017, Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по управлению информационной безопасностью на основе ИСО/МЭК 27002 для облачных услуг)

ISO/IEC 27036-1, Information technology - Security techniques - Information security for supplier relationships - Part 1: Overview and concepts (Информационные технологии. Методы обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия)

ISO/IEC 27036-2, Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования)

ISO/IEC 27036-3, Information technology - Security techniques - Information security in supplier relationships - Part 3: Guidelines for information and communication technology supply chain security (Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27036-1, ИСО/МЭК 27036-2, ИСО/МЭК 27036-3 и ИСО/МЭК 17788.

ИСО и МЭК ведут терминологические базы данных для использования в стандартизации по следующим адресам:

- IEC Electropedia: доступно по адресу http://www.electropedia.org/;

- Платформа просмотра ISO Online: доступна по адресу https://www.iso.org/obp.

     4 Структура стандарта

Настоящий стандарт следует использовать вместе с другими частями серии стандартов ИСО/МЭК 27036. Для реализации рекомендаций, указанных в настоящем стандарте, необходимо следовать ИСО/МЭК 27036-1, ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3. Настоящий стандарт следует использовать в качестве дополнительных рекомендаций по информационной безопасности, в частности в отношении облачных услуг и мер обеспечения безопасности облачных услуг, которые содержатся в ИСО/МЭК 27017 и ИСО/МЭК 27018. Сопоставление мер обеспечения безопасности можно найти в приложении A. Структура настоящего стандарта согласована с требованиями ИСО/МЭК/IEEE 15288 и ИСО/МЭК 12207. Раздел 6 отражает процессы жизненного цикла, предусмотренные в этих двух стандартах. Настоящий стандарт согласован с ИСО/МЭК 27017 и обеспечивает сопоставление мер обеспечения информационной безопасности ИСО/МЭК 27017 с процессами жизненного цикла, описанными в приложении B.

Примечания

1 Раздел 6 применим к моделям развертывания публичного облака.

2 В каждой таблице, представленной в разделе 6, пустая графа расположена между графами "Потребитель облачных услуг" и "Поставщик облачных услуг". Эта пустая графа указывает на то, что рекомендации, приведенные для потребителя облачных услуг и поставщика облачных услуг, не связаны между собой.

Ссылочные документы, указанные в настоящем стандарте, носят общий характер и не нуждаются в их детализации. Организации должны использовать существующие документы для обеспечения безопасности предоставления облачных услуг.

     5 Основные понятия облака, угрозы и риски в области безопасности

     5.1 Характеристика облачных вычислений

Согласно определению облачных вычислений в основе типов возможностей облака и категорий облачных услуг лежит ряд технологий (таких, как виртуализация серверов и сервис-ориентированная архитектура), которые позволяют предоставлять услуги. Эти облачные услуги обычно используют общие ресурсы, в которые поставщик может перемещать информацию потребителя облачных услуг и обрабатывать ее для того, чтобы обеспечить наиболее эффективное обслуживание при минимальных затратах.

В ИСО/МЭК 17788 определены три типа возможностей облака, которые обычно используются совместно многими потребителями облачных услуг в отношениях с поставщиками:

a) тип возможностей приложений;

b) тип возможностей инфраструктуры;

c) тип возможностей платформы.

В серии стандартов ИСО/МЭК 27036 термин "приобретающая сторона" используется для обозначения заинтересованной стороны, которая приобретает продукцию или услугу у другой стороны и организации; термин "поставщик" используется для обозначения физического лица, которое заключает с приобретающей стороной соглашение о поставке продукции или услуги соответственно. В настоящем стандарте термины "потребитель облачных услуг" (для приобретающей стороны) и "поставщик облачных услуг" используются для разграничения ролей в отношениях и выделения конкретных ролей, относящихся к облачным услугам.

Существуют различия и сходства в процессе приобретения между моделями развертывания публичного облака и аутсорсингом информационных и коммуникационных технологий (ИКТ), как показано на рисунке 1. Ниже показаны различия между использованием облачных услуг, основанных на модели развертывания публичного облака, и другими информационными услугами:

a) облачная услуга обычно стандартизирована с ограниченной гибкостью для настройки;

b) поставщик облачных услуг предоставляет потребителям облачных услуг заранее определенные меры обеспечения информационной безопасности;

c) поставщик облачных услуг, как правило, не соглашается с аудитом, проводимым по индивидуальным требованиям потребителя;

d) информационная безопасность потребителя облачных услуг зависит от способности поставщика реализовать информационную безопасность в облачной услуге для потребителя;

e) поставщик предлагает услугу потребителю облачных услуг по заранее определенному соглашению, которое будет использоваться без изменений.

Для гибридных или частных моделей развертывания облачных услуг эти утверждения могут оказаться неприменимыми и могут иметь место возможность согласования предоставляемой услуги и меры обеспечения информационной безопасности, которые должны быть реализованы, а также соглашения об использовании облачных услуг.