ГОСТ Р ИСО/МЭК 19086-4-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ

Структура соглашения об уровне обслуживания (SLA)

Часть 4

Компоненты информационной безопасности и защиты персональных данных

Information technology. Cloud computing. Service level agreement framework (SLA). Part 4. Components of information security and of protection of Pll

ОКС 35.210

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2020 г. N 1040-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 19086-4:2019* "Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты безопасности и защиты персональных данных" (ISO/IEC 19086-4:2019 "Cloud computing - Service level agreement (SLA) framework - Part 4: Components of security and of protection of Pll", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 19086-4 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт может использоваться любой организацией или физическим лицом, участвующими в создании, модификации или интерпретации соглашения об уровне обслуживания (SLA) для служб облачных вычислений, соответствующего требованиям ИСО/МЭК 19086 (все части). Облачное SLA обуславливает ключевые характеристики предоставляемых вычислительных услуг и служит основой взаимопонимания между поставщиками (CSP) и потребителями (CSC) облачных служб.

Настоящий стандарт основан на основополагающих концепциях и определениях, содержащихся в ИСО/МЭК 19086-1.

     Рисунок 1 - Взаимосвязи между частями ИСО/МЭК 19086 и другими стандартами, относящимися к облачным вычислениям

На рисунке 1 представлен обзор содержания частей ИСО/МЭК 19086 и взаимосвязей между частями ИСО/МЭК 19086 и другими ключевыми стандартами, относящимися к облачным вычислениям.

     1 Область применения

Настоящий стандарт описывает компоненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в соглашениях об уровне обслуживания облачных служб (облачное SLA), включая соответствующие требования и рекомендации.

Настоящий стандарт предназначен для использования как поставщиками, так и потребителями облачных служб.

     2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения).

ISO/IEC 17788:2014, Information technology - Cloud computing - Overview and vocabulary (Информационные технологии. Облачные вычисления. Общие положения и терминология)

ISO/IEC 19086-1, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts (Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 1. Обзор и концепции)

ISO/IEC 27017, Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по управлению информационной безопасностью на основе ИСО/МЭК 27002 для облачных служб)

ISO/IEC 27018, Information technology - Security techniques - Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors" (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки)

ISO/IEC 29100, Information technology - Security techniques - Privacy framework (Информационные технологии. Методы и средства обеспечения безопасности. Основы обеспечения приватности)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17788, ИСО/МЭК 19086-1, ИСО/МЭК 27017, ИСО/МЭК 27018 и ИСО/МЭК 29100.

ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации в следующих адресах:

- платформа ИСО для онлайн-просмотра: доступна по адресу http://www.iso.org/obp

- МЭК Электропедия (IEC Electropedia): доступна по адресу http://www.electropedia.org/

     4 Обозначения и сокращения

CSC - потребитель облачной службы (cloud service customer);

CSP - поставщик облачной службы (cloud service provider);

CSA - соглашение об облачной службе (cloud service agreement);

SLA - соглашение об уровне обслуживания (service level agreement);

Облачное SLA - соглашение об уровне обслуживания облачной службы (service level agreement);

SLO - целевые параметры уровня обслуживания облачной службы (cloud service level objective);

SQO - целевые параметры качества обслуживания облачной службы (cloud service qualitative objective);

VPN - виртуальная частная сеть (virtual private network);

ПДн - персональные данные (Pll).

     5 Взаимосвязь настоящего стандарта с другими частями ИСО/МЭК 19086

     5.1 Общая информация

ИСО/МЭК 19086-1 содержит обзор, основополагающие концепции и определения структуры облачного SLA. В частности, определяются следующие фундаментальные понятия структуры облачного SLA:

- соглашение об облачной службе (CSA);

- соглашение об уровне обслуживания облачной службы (облачное SLA);

- целевые параметры уровня обслуживания облачной службы (SLO);

- целевые параметры качества обслуживания облачной службы (SQO).

ИСО/МЭК 19086-1 также описывает предметные области и компоненты, которые состоят из перечня SLO и SQO.

ИСО/МЭК 19086-2 содержит модель метрик, которая будет применяться для определения метрик, используемых в облачных SLA.

ИСО/МЭК 19086-3 содержит основные требования к соответствию, основанные на SLO и SQO, определенных в настоящем стандарте.

Настоящий стандарт основан на основополагающих концепциях и определениях компонентов информационной безопасности и защиты ПДн, приведенных в ИСО/МЭК 19086-1.

ИСО/МЭК 19086 (все части) предназначен содействовать установлению взаимопонимания между потребителями и поставщиками облачных служб. CSA и соответствующие облачные SLA различаются в зависимости от поставщиков облачных служб; кроме того, в некоторых случаях отдельные потребители облачных служб могут согласовывать разные условия для конкретной облачной службы с одним и тем же поставщиком. Настоящий стандарт призван помочь потребителям сравнивать облачные службы, предлагаемые разными поставщиками, с точки зрения информационной безопасности и защиты персональных данных. Для лучшего понимания облачных SLA настоящий стандарт следует использовать совместно с ИСО/МЭК 19086-1.

     5.2 Соответствие требованиям

В разделе 5 ИСО/МЭК 19086-3:2017 установлены требования к соответствию облачных SLA в контексте ИСО/МЭК 19086-1. Настоящий стандарт применяет те же принципы в отношении соответствующих облачных SLA. В каждом из компонентов, указанных в настоящем стандарте, в областях обеспечения информационной безопасности (раздел 7) и защиты ПДн (раздел 8) описывается один или несколько SLO или SQO. При использовании одного из компонентов, приведенных в разделе 7 или 8, в соответствующем облачном SLA не требуется использовать SLO или SQO, описанные в этих компонентах. В соответствующем облачном SLA следует использовать SLO или SQO, определенные в настоящем стандарте, в зависимости от ситуации. Независимо от того, используется ли SLO или SQO, поставщик облачных служб должен использовать термины, определения, концепции и иные сущности таким образом, чтобы они не противоречили соответствующим положениям ИСО/МЭК 19086-1 или настоящего стандарта.

ИСО/МЭК 19086-2 описывает модель определения метрик для соглашений об уровне обслуживания облачных служб (облачное SLA). При определении метрик SLO в соответствующих облачных SLA должна использоваться модель, приведенная в ИСО/МЭК 19086-2.

В соответствующем облачном SLA может использоваться подмножество компонентов, приведенных в настоящем стандарте (разделы 7 и 8), а также компоненты, выходящие за рамки настоящего стандарта. Однако соответствующее облачное SLA должно соответствовать определению терминов, компонентов или предметных областей, приведенных в настоящем стандарте и в ИСО/МЭК 19086-1, а также требованиям, установленным в настоящем стандарте. Если облачное SLA содержит определенный компонент или предметную область, то они должны соответствовать всем требованиям, указанным для такого компонента или предметной области. Для обеспечения соответствия настоящему стандарту не требуется внедрение каких-либо специальных технологий.

     6 Обзор

     6.1 Общая информация

Настоящий стандарт основан на основополагающих концепциях облачного SLA, общее описание которых содержится в ИСО/МЭК 19086-1. В описании каждого компонента соглашения, посвященного обеспечению информационной безопасности или защите ПДн, приводятся соответствующие SLO и SQO. В соответствии с ИСО/МЭК 19086-1 поставщик облачной службы может предоставлять более одного SLO и/или SQO.

Настоящий стандарт рассматривает требования конкретных компонентов и требования соответствия для SLO и SQO в области обеспечения информационной безопасности и защиты ПДн. Компоненты обеспечения информационной безопасности (см. 7.1-7.13) соответствуют структуре ИСО/МЭК 27002 и мерам обеспечения информационной безопасности в облачных средах, определенным в ИСО/МЭК 27017. Компоненты защиты ПДн (см. 8.1-8.9) соответствуют структуре ИСО/МЭК 29100 и мерам защиты ПДн в облачных средах, определенным в ИСО/МЭК 27018.

Поставщик облачной службы может определять SLO и SQO, используя описания SLO и SQO, приведенные в ИСО/МЭК 19086-1, и модель метрик, приведенную в ИСО/МЭК 19086-2. Затем потребитель облачной службы может установить свои требования к предоставляемым службам, используя те же SLO и SQO, что и поставщик. Это позволяет потребителю облачной службы напрямую сравнивать свои требования с возможностями поставщика и определять, какие возможности поставщика лучше всего соответствуют его требованиям. Дополнительные рекомендации по оценке SQO и SLO и принятию облачных SLA содержатся в ИСО/МЭК 19086-1:2016, подраздел 7.3.

     6.2 Структура настоящего стандарта

Порядок следования разделов в настоящем стандарте не подразумевает их важности или приоритета. Каждый компонент облачного SLA, посвященный обеспечению информационной безопасности или защите ПДн, должен рассматриваться в соответствии с категориями, типами облачных возможностей и моделями развертывания облачных служб (см. ИСО/МЭК 17788).

Компоненты структурированы следующим образом:

1) Описание: описывается конкретный компонент. Приводится описание основных требований к соответствию и рекомендации по этим требованиям для каждого конкретного компонента.

2) Перечень SLO и SQO: описываются соответствующие SLO и SQO.

В ИСО/МЭК 19086-1 приведено следующее определение SLO: "обязательство поставщика службы облачных вычислений для конкретной количественной характеристики службы облачных вычислений, где значение представлено посредством интервальной или пропорциональной шкалы".