ГОСТ Р ИСО/МЭК 27036-4-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

     5.2 Угрозы и связанные с ними риски для потребителя облачных услуг

Потребители облачных услуг несут ответственность за риски в области информационной безопасности, связанные с использованием услуг информационных систем, предлагаемых внешними поставщиками, включая поставщиков облачных услуг. Потребители облачных услуг несут ответственность за оценку рисков в области использования облачных услуг, принятие решения об использовании облачного сервиса и выбор конкретного поставщика. Риски, связанные с облачными услугами, различаются в зависимости от сочетания типа возможностей облака, категории услуги и модели развертывания. Угрозы облачных услуг аналогичны угрозам, связанным с ИКТ, облачная среда лишь изменяет последствия для потребителя, которые могут возникнуть в результате какого-либо инцидента. Например, "отсутствие прозрачности", которое будет иметь место для потребителя при предоставлении услуги, означает, что потребителю будет более сложно определить развитие инцидента. А это может задержать применение защитных мер и соответствующее исправление. Последнее, в свою очередь, увеличивает негативные последствия (и, следовательно, риск), хотя угроза не изменилась (например, угроза атаки со стороны вредоносных программ).

С точки зрения потребителя облачных услуг, важно, чтобы риски рассматривались в рамках оценки рисков для потребителя. Оценка риска зависит от активов, которые будут переданы и использованы в облачной услуге, а также от значимости этих активов для бизнеса.

Угрозы и риски зависят от факторов, рассмотренных выше, и от сектора экономики, в котором применяются облачные услуги и модель их развертывания. Например, в секторе здравоохранения могут существовать различные риски и угрозы, сравнимые с аналогичными рисками и угрозами из строительного сектора. Потребителям облачных услуг могут потребоваться различные уровни доверия к информационной безопасности в зависимости от критериев допустимого риска для потребителя, а также от сектора, в котором применяются облачные услуги и модель их развертывания.

Потребители облачных услуг имеют ограниченный контроль над расположением, доступом, обработкой и защитой информации, размещенной в облачной услуге. Кроме того, потребители облачных услуг не могут своевременно получать информацию об инцидентах, нарушениях, сбоях или других проблемах, влияющих на оказание услуги. Ограниченный контроль в сочетании с отсутствием информации о производительности и безопасности облачных услуг представляет собой заметный риск в использовании облачных услуг. Принимая решение о приобретении, потребитель облачных услуг должен будет оценить эти риски не только в отношении информации, которая будет размещена в облаке, но и зависимости своего бизнеса от этой информации и облачных услуг.

Поскольку большинство облачных услуг не могут быть проверены потребителем, сторонние доказательства могут оказаться полезными для оценки и, возможно, снижения рисков, при условии, что объем доказательств, предоставленных третьей стороной, имеет отношение к фактической облачной услуге.