Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27036-4-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Введение


ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1.

Процедуры, использованные для разработки настоящего стандарта и предназначенные для его дальнейшего сопровождения, описаны в части 1 директив ИСО/МЭК. В частности, следует отметить различающиеся правила утверждения разных типов документов. Настоящий стандарт подготовлен в соответствии с редакционными правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).

Следует обратить внимание на возможность того, что некоторые элементы настоящего стандарта могут быть объектами патентных прав. ИСО и МЭК не несут ответственности за выявление каких-либо патентных прав. Подробная информация о любых патентных правах, выявленных в ходе разработки настоящего стандарта, содержится во введении и/или в списке полученных патентных деклараций ИСО (см. www.iso.org/patents).

Наименование любой торговой марки, используемое в настоящем стандарте, предоставляется в информационных целях для удобства пользователей и не является рекомендацией.

Для разъяснения значения конкретных терминов и выражений ИСО, связанных с оценкой соответствия, а также информации о приверженности ИСО принципам ВТО в области технических барьеров в торговле (ТБТ) см. следующий веб-сайт: www.iso.org/iso/foreword.html.

ИСО/МЭК 27036-4 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ". Подробности по серии стандартов ИСО/МЭК 27036 можно найти на веб-сайте ИСО.

Настоящий стандарт содержит рекомендации по обеспечению информационной безопасности для потребителей и поставщиков облачных услуг. Его применение должно привести к:

- более глубокому пониманию и улучшенному определению информационной безопасности в предоставлении облачных услуг;

- лучшему пониманию потребителями рисков, связанных с облачными услугами, для большей детализации требований к информационной безопасности;

- повышению возможностей поставщиков обеспечивать для потребителей уверенность в том, что они идентифицировали риски в облачных услугах и связанных с ними цепях поставок и приняли меры по управлению этими рисками.

Настоящий стандарт предназначен для использования всеми типами организаций, которые приобретают или предоставляют облачные услуги. Стандарт предназначен преимущественно для владельцев рисков среди потребителей облачных услуг, которые в итоге соглашаются с использованием облачных услуг, и для физических лиц, ответственных за предоставляемые поставщиком облачные услуги. Стандарт в первую очередь ориентирован на начальную связь первого потребителя облачных услуг и поставщика облачных услуг, но основные шаги должны применяться по всей цепи поставок, начиная с момента, когда первый поставщик облачных услуг меняет свою роль на роль потребителя облачных услуг и т.д. Способ, с использованием которого это изменение ролей повторяется, и способ, с которым те же самые шаги повторяются для каждого нового соединения потребитель - поставщик облачных услуг, являются центральными в настоящем стандарте. Следуя рекомендациям, содержащимся в настоящем стандарте, должна быть обеспечена возможность тесной взаимосвязи приоритетов информационной безопасности по всей цепи поставок. Проблемы информационной безопасности, связанные с взаимоотношениями с поставщиками, охватывают широкий спектр сценариев. Организации, желающие повысить уровень доверия в рамках предоставления облачных услуг, должны определить свои границы доверия, оценить риски, связанные с деятельностью в рамках цепи поставок, а затем определить и внедрить соответствующие методы идентификации рисков, снижения риска возникновения уязвимостей в рамках предоставления облачных услуг и смягчения возможных негативных последствий.

Основные положения и меры по обеспечению информационной безопасности, предусмотренные ИСО/МЭК 27001 и ИСО/МЭК 27002, служат отправной точкой для определения соответствующих требований к потребителям и поставщикам облачных услуг. ИСО/МЭК 27017 и ИСО/МЭК 27018 предоставляют рекомендации о том, как потребитель и поставщик могут внедрять, управлять и поддерживать информационную безопасность облачных услуг. Серия стандартов ИСО/МЭК 27036 содержит дополнительную информацию о конкретных требованиях, которые должны использоваться при установлении и контроле взаимоотношений с поставщиками. В настоящем стандарте сделано допущение о том, что у клиента облачных услуг для обеспечения информационной безопасности применяется система менеджмента информационной безопасности (по ИСО/МЭК 27001). В результате большая часть информационного наполнения сосредоточена у поставщика облачных услуг и зависит от типа возможностей, категории услуг и используемой модели развертывания облачных услуг.

Как правило, облачные услуги приобретаются "как есть". Потребитель облачных услуг не имеет возможности оговорить или запросить внесения изменений в приобретаемую услугу. Однако в некоторых случаях потребитель имеет возможность указать услугу и детали этой услуги, включая меры по обеспечению информационной безопасности, требуемые от поставщика. Серия стандартов ИСО/МЭК 27036 построена так, чтобы охватить оба этих возможных случая. Настоящий стандарт охватывает первый из этих случаев. Тогда, когда могут быть определены организационные меры по обеспечению безопасности, приводятся ссылки на ИСО/МЭК 27036-1, ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

Для потребителя облачных услуг это означает, что следует обратить внимание на то, что настоящий стандарт касается только процессов и мер обеспечения безопасности, характерных для облачных услуг. Предполагается, что все другие общие процессы и меры обеспечения информационной безопасности, необходимые для организации облачных услуг, уже используются для обеспечения информационной безопасности или же будут использоваться. Общие процессы и меры обеспечения информационной безопасности содержатся в других стандартах ИСО/МЭК, в частности в ИСО/МЭК 27036-1, ИСО/МЭК 27036-2, ИСО/МЭК 27036-3, ИСО/МЭК 27017 и ИСО/МЭК 27018.