Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27017-2021



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services



ОКС 35.040

Дата введения 2021-11-30



Предисловие

     

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Специальные разработки и интеграция" (АО "Спин") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 389-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27017:2015*"Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб" (ISO/IEC 27017:2015 "Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27017 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Руководящие принципы, содержащиеся в настоящем стандарте, дополняют руководящие принципы, приведенные в ИСО/МЭК 27002.

В частности, в настоящем стандарте представлено руководство по реализации мер обеспечения информационной безопасности (ИБ) для потребителей и поставщиков облачных служб. Некоторые руководящие принципы предназначены для потребителей облачных служб, внедряющих меры обеспечения ИБ, а другие - для поставщиков облачных служб с целью поддержки реализации этих мер. Выбор соответствующих мер обеспечения ИБ и применение предоставленных рекомендаций по их реализации будут зависеть от оценки рисков, а также правовых, договорных, нормативных и иных требований ИБ в сфере облачных вычислений.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения


В настоящем стандарте приведены руководящие указания по обеспечению ИБ, применимые к облачным службам, благодаря использованию:

- дополнительного руководства по реализации соответствующих мер обеспечения ИБ, приведенных в ИСО/МЭК 27002;

- дополнительных мер обеспечения ИБ, а также соответствующих рекомендаций по их реализации, относящихся непосредственно к облачным службам.

В настоящем стандарте представлено руководство по реализации мер обеспечения ИБ как для потребителей, так и для поставщиков облачных служб.

     2 Нормативные ссылки


В настоящем стандарте использованы следующие нормативные ссылки. Для датированных ссылок применяют только указанное издание. Для недатированных - последнее издание (включая все изменения).

     2.1 Идентичные стандарты, касающиеся облачных вычислений


ISO/IEC 17788, Information technology - Cloud computing - Overview and Vocabulary (Информационные технологии. Облачные вычисления. Общие положения и терминология)

ISO/IEC 17789, Information technology - Cloud computing - Reference architecture (Информационные технологии. Облачные вычисления. Эталонная архитектура)

     2.2 Дополнительные ссылки


ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности)

     3 Термины, определения и сокращения

     3.1 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 17788, ИСО/МЭК 17789, а также следующие термины с соответствующими определениями:

3.1.1 способность (capability): Качество, характеризующее способность осуществлять данный вид деятельности.

[ИСО 19440, статья 3.1.5]

3.1.2 компрометация данных (data breach): Нарушение безопасности, которое приводит к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к защищаемым данным, передаваемым, хранимым или иным образом обрабатываемым.

[ИСО/МЭК 27040, статья 3.7]

3.1.3 защищенная совместно арендуемая среда (secure multi-tenancy): Совместно арендуемая среда, в которой используются меры ИБ, обеспечивающие непосредственную защиту от компрометации данных (3.1.2), и осуществляется проверка указанных мер с целью надлежащей защиты

Примечания

1 Совместно арендуемая среда является защищенной, если уровень риска отдельного арендатора не превышает уровня его риска в одной выделенной арендной среде.

2 В наиболее защищенных средах не раскрывается даже личность пользователей.

[ИСО/МЭК 27040, статья 3.39]

3.1.4 виртуальная машина (virtual machine): Полная среда, которая поддерживает выполнение гостевого программного обеспечения.

Примечание - Виртуальная машина - это полная инкапсуляция виртуального аппаратного обеспечения, виртуальных дисков и связанных с ними метаданных. Виртуальные машины позволяют мультиплексировать возможности базовой физической машины посредством уровня программного обеспечения, называемого гипервизором.

[ИСО/МЭК 17203, статья 3.20]

     3.2 Сокращения


В настоящем стандарте применены следующие сокращения:

laaS - инфраструктура как услуга (Infrastructure as a Service);

PaaS - платформа как услуга (Platform as a Service);

SaaS - программное обеспечение как услуга (Software as a Service);

SLA - соглашение об уровне обслуживания (Service Level Agreement);

ВМ - виртуальная машина;

ПДн - персональные данные.

     4 Концепции облачных вычислений

     4.1 Обзор


Использование технологии облачных вычислений способствует развитию новых подходов к оценке и снижению рисков ИБ. Это связано со значительными изменениями в техническом проектировании вычислительных ресурсов, их эксплуатации и управлении ими. Настоящий стандарт содержит схожие руководящие принципы по реализации мер обеспечения ИБ в сфере облачных вычислений, основанные на ИСО/МЭК 27002, и предоставляет дополнительные меры для устранения специфичных для облачных служб угроз и рисков ИБ.

Пользователям настоящего стандарта следует обращаться к ИСО/МЭК 27002 (разделы 5-18), в котором содержатся описание мер обеспечения ИБ, рекомендации по их реализации и дополнительная информация. Поскольку ИСО/МЭК 27002 носит универсальный характер, многие меры обеспечения ИБ, рекомендации по их реализации и дополнительная информация применимы организациями как в общем контексте, так и в контексте облачных вычислений. Так, в пункте 6.1.2 "Разделение обязанностей" ИСО/МЭК 27002 предусмотрены меры обеспечения ИБ, которые могут применяться независимо от того, действует ли организация в качестве поставщика облачных служб. Кроме того, на основе этих мер потребитель облачных служб может определить требования к разделению обязанностей в облачной среде, например разделить обязанности администраторов, клиентов и пользователей облачных служб.

В качестве дополнения к ИСО/МЭК 27002 настоящий стандарт также предоставляет специальные меры обеспечения ИБ в сфере облачных вычислений, руководство по их реализации и дополнительную информацию (подраздел 4.5), которые предназначены для снижения рисков, связанных с техническими и эксплуатационными характеристиками облачных служб (приложение В). Потребители и поставщики облачных служб могут обращаться к ИСО/МЭК 27002 и настоящему стандарту для выбора мер обеспечения ИБ, использования руководства по их реализации, а также добавлять другие меры и средства при необходимости. Этот процесс может быть выполнен путем оценки и обработки рисков в области ИБ в организационной и бизнес-среде, где используются или предоставляются услуги в сфере облачных вычислений (подраздел 4.4).

     4.2 Взаимоотношения с поставщиками облачных служб


В разделе 15 "Взаимоотношения с поставщиками" ИСО/МЭК 27002 приведены меры обеспечения ИБ, рекомендации по их реализации и дополнительная информация по управлению ИБ в рамках взаимоотношений с поставщиком. Обеспечение и использование облачных служб представляет собой такие отношения с поставщиком, в которых потребитель облачных служб выступает в качестве приобретателя, а поставщик облачных служб - в качестве поставщика. Таким образом, указанный раздел распространяется на потребителей и поставщиков облачных служб.

Потребители и поставщики облачных служб могут формировать целые цепочки поставок. Например, один поставщик облачных служб предоставляет определенный тип возможностей облака, например тип возможностей инфраструктуры. При этом другой поставщик облачных служб может предоставить другой тип возможностей облака, например тип возможностей приложения. В этом случае второй поставщик является потребителем облачных служб по отношению к первому и поставщиком облачных служб - по отношению к потребителю облачных служб, использующему эту службу. Приведенный пример описывает ситуацию, когда настоящий стандарт применим как к организации, выступающей потребителем, так к поставщику облачных служб. Поскольку потребители и поставщики облачных служб образуют цепочку поставок посредством проектирования и реализации облачных служб, могут быть применимы положения пункта 15.1.3 "Цепочка поставок информационно-коммуникационных технологий" ИСО/МЭК 27002.

ИСО/МЭК 27036 (все части) "Информационная безопасность во взаимоотношениях с поставщиками" содержит подробное руководство по обеспечению ИБ во взаимоотношениях с поставщиком, которое может быть применено как для потребителя, так и для поставщика товаров и услуг. ИСО/МЭК 27036-4 непосредственно касается вопросов безопасности облачных служб в рамках взаимоотношений с поставщиками. Указанный стандарт также применим к потребителям облачных служб, выступающим в качестве приобретателей, и поставщикам облачных служб, выступающим в качестве поставщиков.

     4.3 Взаимоотношения между потребителями и поставщиками облачных служб


В среде облачных вычислений данные потребителей облачных служб хранятся, передаются и обрабатываются облачными службами. Таким образом, ИБ облачных служб может оказывать влияние на бизнес-процессы потребителя этих служб. В отсутствие достаточных мер обеспечения ИБ облачными службами потребителю этих служб может потребоваться принять дополнительные меры предосторожности в части обеспечения ИБ.

Прежде чем вступить во взаимоотношения с поставщиком, потребитель облачных служб должен выбрать службу, принимая во внимание возможные расхождения между требованиями потребителя к ИБ, возможностями поставщика и предоставляемыми услугами. После выбора облачной службы потребитель должен осуществлять управление использованием службы таким образом, чтобы соответствовать требованиям к ИБ, предъявляемым к службе. При этом поставщик облачной службы должен обеспечить информационную и техническую поддержку, необходимую для удовлетворения требований к ИБ потребителя облачной службы. Если меры обеспечения ИБ, предоставляемые поставщиком облачной службы, заданы заранее и не могут быть изменены потребителем облачной службы, то для снижения рисков потребителю может потребоваться реализовать собственные дополнительные меры обеспечения ИБ.

     4.4 Управление рисками информационной безопасности в облачных службах


Потребители и поставщики облачных служб должны внедрить процессы управления рисками ИБ. Для получения информации о требованиях к управлению рисками в системах менеджмента информационной безопасности (СМИБ) рекомендуется обратиться к ИСО/МЭК 27001, а для получения дополнительного руководства по менеджменту рисков ИБ - к ИСО/МЭК 27005. Для общего понимания менеджмента рисков следует обратиться к ИСО 31000, положения которого соответствуют положениям ИСО/МЭК 27001 и ИСО/МЭК 27005.

В отличие от общей применимости процессов управления рисками ИБ, для технологии облачных вычислений характерны отдельные типы источников риска, в том числе угрозы и уязвимости, связанные с функциональными особенностями этой технологии, такими как сетевое взаимодействие, масштабируемость и эластичность систем, совместное обеспечение услуг, системы самообслуживания, администрирование по требованию, обеспечение услуг между юрисдикциями и ограниченная видимость процессов реализации мер обеспечения ИБ.

В приложении B приводятся ссылки, в которых содержится информация о таких источниках риска и соответствующих рисках при обеспечении и использовании облачных служб.

Меры обеспечения ИБ, касающиеся конкретных источников рисков облачных вычислений, и рекомендации по их реализации приведены в разделах 5-18 и приложении A.

Доступ к полной версии документа ограничен
Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.
Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs