ГОСТ Р ИСО/МЭК 27017-2021 Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

ГОСТ Р ИСО/МЭК 27017-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ОКС 35.040

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Специальные разработки и интеграция" (АО "Спин") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 389-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27017:2015*"Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб" (ISO/IEC 27017:2015 "Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services", IDT).

ИСО/МЭК 27017 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

Введение

Руководящие принципы, содержащиеся в настоящем стандарте, дополняют руководящие принципы, приведенные в ИСО/МЭК 27002.

В частности, в настоящем стандарте представлено руководство по реализации мер обеспечения информационной безопасности (ИБ) для потребителей и поставщиков облачных служб. Некоторые руководящие принципы предназначены для потребителей облачных служб, внедряющих меры обеспечения ИБ, а другие - для поставщиков облачных служб с целью поддержки реализации этих мер. Выбор соответствующих мер обеспечения ИБ и применение предоставленных рекомендаций по их реализации будут зависеть от оценки рисков, а также правовых, договорных, нормативных и иных требований ИБ в сфере облачных вычислений

.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.

1 Область применения

В настоящем стандарте приведены руководящие указания по обеспечению ИБ, применимые к облачным службам, благодаря использованию:

- дополнительного руководства по реализации соответствующих мер обеспечения ИБ, приведенных в ИСО/МЭК 27002;

- дополнительных мер обеспечения ИБ, а также соответствующих рекомендаций по их реализации, относящихся непосредственно к облачным службам.

В настоящем стандарте представлено руководство по реализации мер обеспечения ИБ как для потребителей, так и для поставщиков облачных служб.

2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки. Для датированных ссылок применяют только указанное издание. Для недатированных - последнее издание (включая все изменения).

2.1 Идентичные стандарты, касающиеся облачных вычислений

ISO/IEC 17788, Information technology - Cloud computing - Overview and Vocabulary (Информационные технологии. Облачные вычисления. Общие положения и терминология)

ISO/IEC 17789, Information technology - Cloud computing - Reference architecture (Информационные технологии. Облачные вычисления. Эталонная архитектура)

2.2 Дополнительные ссылки

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности)

3 Термины, определения и сокращения

3.1 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 17788, ИСО/МЭК 17789, а также следующие термины с соответствующими определениями:

3.1.1 способность (capability): Качество, характеризующее способность осуществлять данный вид деятельности.

[ИСО 19440, статья 3.1.5]

3.1.2 компрометация данных (data breach): Нарушение безопасности, которое приводит к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к защищаемым данным, передаваемым, хранимым или иным образом обрабатываемым.

[ИСО/МЭК 27040, статья 3.7]

3.1.3 защищенная совместно арендуемая среда (secure multi-tenancy): Совместно арендуемая среда, в которой используются меры ИБ, обеспечивающие непосредственную защиту от компрометации данных (3.1.2), и осуществляется проверка указанных мер с целью надлежащей защиты

Примечания

1 Совместно арендуемая среда является защищенной, если уровень риска отдельного арендатора не превышает уровня его риска в одной выделенной арендной среде.

2 В наиболее защищенных средах не раскрывается даже личность пользователей.

[ИСО/МЭК 27040, статья 3.39]

3.1.4 виртуальная машина (virtual machine): Полная среда, которая поддерживает выполнение гостевого программного обеспечения.

Примечание - Виртуальная машина - это полная инкапсуляция виртуального аппаратного обеспечения, виртуальных дисков и связанных с ними метаданных. Виртуальные машины позволяют мультиплексировать возможности базовой физической машины посредством уровня программного обеспечения, называемого гипервизором.

[ИСО/МЭК 17203, статья 3.20]

3.2 Сокращения

В настоящем стандарте применены следующие сокращения:

laaS - инфраструктура как услуга (Infrastructure as a Service);

PaaS - платформа как услуга (Platform as a Service);

SaaS - программное обеспечение как услуга (Software as a Service);

SLA - соглашение об уровне обслуживания (Service Level Agreement);

ВМ - виртуальная машина;

ПДн - персональные данные.

4 Концепции облачных вычислений

4.1 Обзор

Использование технологии облачных вычислений способствует развитию новых подходов к оценке и снижению рисков ИБ. Это связано со значительными изменениями в техническом проектировании вычислительных ресурсов, их эксплуатации и управлении ими. Настоящий стандарт содержит схожие руководящие принципы по реализации мер обеспечения ИБ в сфере облачных вычислений, основанные на ИСО/МЭК 27002, и предоставляет дополнительные меры для устранения специфичных для облачных служб угроз и рисков ИБ.

Пользователям настоящего стандарта следует обращаться к ИСО/МЭК 27002 (разделы 5-18), в котором содержатся описание мер обеспечения ИБ, рекомендации по их реализации и дополнительная информация. Поскольку ИСО/МЭК 27002 носит универсальный характер, многие меры обеспечения ИБ, рекомендации по их реализации и дополнительная информация применимы организациями как в общем контексте, так и в контексте облачных вычислений. Так, в пункте 6.1.2 "Разделение обязанностей" ИСО/МЭК 27002 предусмотрены меры обеспечения ИБ, которые могут применяться независимо от того, действует ли организация в качестве поставщика облачных служб. Кроме того, на основе этих мер потребитель облачных служб может определить требования к разделению обязанностей в облачной среде, например разделить обязанности администраторов, клиентов и пользователей облачных служб.

В качестве дополнения к ИСО/МЭК 27002 настоящий стандарт также предоставляет специальные меры обеспечения ИБ в сфере облачных вычислений, руководство по их реализации и дополнительную информацию (подраздел 4.5), которые предназначены для снижения рисков, связанных с техническими и эксплуатационными характеристиками облачных служб (приложение В). Потребители и поставщики облачных служб могут обращаться к ИСО/МЭК 27002 и настоящему стандарту для выбора мер обеспечения ИБ, использования руководства по их реализации, а также добавлять другие меры и средства при необходимости. Этот процесс может быть выполнен путем оценки и обработки рисков в области ИБ в организационной и бизнес-среде, где используются или предоставляются услуги в сфере облачных вычислений (подраздел 4.4).

4.2 Взаимоотношения с поставщиками облачных служб

В разделе 15 "Взаимоотношения с поставщиками" ИСО/МЭК 27002 приведены меры обеспечения ИБ, рекомендации по их реализации и дополнительная информация по управлению ИБ в рамках взаимоотношений с поставщиком. Обеспечение и использование облачных служб представляет собой такие отношения с поставщиком, в которых потребитель облачных служб выступает в качестве приобретателя, а поставщик облачных служб - в качестве поставщика. Таким образом, указанный раздел распространяется на потребителей и поставщиков облачных служб.

Потребители и поставщики облачных служб могут формировать целые цепочки поставок. Например, один поставщик облачных служб предоставляет определенный тип возможностей облака, например тип возможностей инфраструктуры. При этом другой поставщик облачных служб может предоставить другой тип возможностей облака, например тип возможностей приложения. В этом случае второй поставщик является потребителем облачных служб по отношению к первому и поставщиком облачных служб - по отношению к потребителю облачных служб, использующему эту службу. Приведенный пример описывает ситуацию, когда настоящий стандарт применим как к организации, выступающей потребителем, так к поставщику облачных служб. Поскольку потребители и поставщики облачных служб образуют цепочку поставок посредством проектирования и реализации облачных служб, могут быть применимы положения пункта 15.1.3 "Цепочка поставок информационно-коммуникационных технологий" ИСО/МЭК 27002.

ИСО/МЭК 27036 (все части) "Информационная безопасность во взаимоотношениях с поставщиками" содержит подробное руководство по обеспечению ИБ во взаимоотношениях с поставщиком, которое может быть применено как для потребителя, так и для поставщика товаров и услуг. ИСО/МЭК 27036-4 непосредственно касается вопросов безопасности облачных служб в рамках взаимоотношений с поставщиками. Указанный стандарт также применим к потребителям облачных служб, выступающим в качестве приобретателей, и поставщикам облачных служб, выступающим в качестве поставщиков.

4.3 Взаимоотношения между потребителями и поставщиками облачных служб

В среде облачных вычислений данные потребителей облачных служб хранятся, передаются и обрабатываются облачными службами. Таким образом, ИБ облачных служб может оказывать влияние на бизнес-процессы потребителя этих служб. В отсутствие достаточных мер обеспечения ИБ облачными службами потребителю этих служб может потребоваться принять дополнительные меры предосторожности в части обеспечения ИБ.

Прежде чем вступить во взаимоотношения с поставщиком, потребитель облачных служб должен выбрать службу, принимая во внимание возможные расхождения между требованиями потребителя к ИБ, возможностями поставщика и предоставляемыми услугами. После выбора облачной службы потребитель должен осуществлять управление использованием службы таким образом, чтобы соответствовать требованиям к ИБ, предъявляемым к службе. При этом поставщик облачной службы должен обеспечить информационную и техническую поддержку, необходимую для удовлетворения требований к ИБ потребителя облачной службы. Если меры обеспечения ИБ, предоставляемые поставщиком облачной службы, заданы заранее и не могут быть изменены потребителем облачной службы, то для снижения рисков потребителю может потребоваться реализовать собственные дополнительные меры обеспечения ИБ.

4.4 Управление рисками информационной безопасности в облачных службах

Потребители и поставщики облачных служб должны внедрить процессы управления рисками ИБ. Для получения информации о требованиях к управлению рисками в системах менеджмента информационной безопасности (СМИБ) рекомендуется обратиться к ИСО/МЭК 27001, а для получения дополнительного руководства по менеджменту рисков ИБ - к ИСО/МЭК 27005. Для общего понимания менеджмента рисков следует обратиться к ИСО 31000, положения которого соответствуют положениям ИСО/МЭК 27001 и ИСО/МЭК 27005.

В отличие от общей применимости процессов управления рисками ИБ, для технологии облачных вычислений характерны отдельные типы источников риска, в том числе угрозы и уязвимости, связанные с функциональными особенностями этой технологии, такими как сетевое взаимодействие, масштабируемость и эластичность систем, совместное обеспечение услуг, системы самообслуживания, администрирование по требованию, обеспечение услуг между юрисдикциями и ограниченная видимость процессов реализации мер обеспечения ИБ.

В приложении B приводятся ссылки, в которых содержится информация о таких источниках риска и соответствующих рисках при обеспечении и использовании облачных служб.

Меры обеспечения ИБ, касающиеся конкретных источников рисков облачных вычислений, и рекомендации по их реализации приведены в разделах 5-18 и приложении A.

4.5 Структура стандарта

Структура настоящего стандарта аналогична структуре ИСО/МЭК 27002. Настоящий стандарт включает в себя положения ИСО/МЭК 27002 (разделы 5-18) с указанием их применимости в каждом разделе и пункте.

Если цель и мера обеспечения ИБ, определенные в ИСО/МЭК 27002, применимы без необходимости получения какой-либо дополнительной информации, то указывается только ссылка на ИСО/МЭК 27002.

Если в дополнение к указанным целям и мерам обеспечения ИБ из ИСО/МЭК 27002 требуются дополнительные цели и меры из ИСО/МЭК 27002, то они приводятся в приложении A. Если в отношении мер обеспечения ИБ из ИСО/МЭК 27002 или приложения A требуются дополнительные рекомендации по реализации соответствующих мер обеспечения ИБ, то такие рекомендации приводятся под заголовком "Рекомендации по реализации для облачных служб". Руководство приводится в виде одного из следующих типов.

Тип 1 используется в случаях, когда для потребителя и поставщика облачных служб применяются отдельные руководящие принципы.

Тип 2 используется в случаях, когда для потребителя и поставщика облачных служб применяются одни и те же руководящие принципы.

Тип 1

Тип 2

Дополнительная информация, которую возможно потребуется учитывать, приводится под заголовком "Дополнительная информация для облачных служб".

5 Политики информационной безопасности

5.1 Руководящие указания в части информационной безопасности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 5.1).

5.1.1 Политики информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 5.1.1. Также применяются следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Политика ИБ в сфере облачных вычислений приведена в пункте 5.1.1 ИСО/МЭК 27002 в качестве специализированной политики. Действие политики ИБ организации охватывает ее информационные и бизнес-процессы. Если организация становится потребителем облачных служб, она может определить соответствующую политику при использовании облачных вычислений. В среде облачных вычислений организация может хранить информацию или управлять бизнес-процессами. Требования политики в сфере облачных вычислений соответствуют общим требованиям к ИБ, изложенным в основной политике ИБ.

При этом политика ИБ для предоставления облачных служб охватывает только информационные и бизнес-процессы потребителя облачных служб и не охватывает информационные и бизнес-процессы поставщика облачных служб. Требования к ИБ для обеспечения облачных служб должны соответствовать требованиям потенциальных потребителей облачных служб. В результате такие требования могут не соответствовать требованиям к безопасности информационных и бизнес-процессов поставщика облачных служб. Область применения политики зачастую определяется соответственно с точки зрения службы, а не только организационной структурой или физическим местоположением.

Безопасность виртуализации в сфере облачных вычислений имеет несколько аспектов, включая в себя управление жизненным циклом экземпляров виртуальных машин, хранение и контроль доступа для виртуализированных образов, обработку неактивных или отключенных экземпляров ВМ, мгновенных снимков, защиту гипервизоров и средства управления безопасностью использования порталов самообслуживания.

5.1.2 Пересмотр политик информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 5.1.2.

6 Организация деятельности по информационной безопасности

6.1 Внутренняя организация деятельности по обеспечению информационной безопасности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 6.1).

6.1.1 Роли и обязанности по обеспечению информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Хотя обязанности определяются взаимоотношениями сторон, ответственность за решение об использовании облачных служб несет потребитель. Такое решение должно приниматься в соответствии с ролями и обязанностями, определенными в организации потребителя облачных служб. Поставщик облачных служб несет ответственность за обеспечение ИБ, предусмотренной в соглашении о предоставлении облачной службы. Реализация и обеспечение ИБ должны осуществляться в соответствии с ролями и обязанностями, определенными в организации поставщика облачных служб.

Неоднозначность в определении ролей, а также в определении и разделении обязанностей, связанных с такими вопросами, как владение данными, управление доступом и обслуживание инфраструктуры, могут привести к возникновению коммерческих и юридических споров, особенно при работе с третьими сторонами.

Данные и файлы в системах поставщика облачных служб, создаваемые или изменяемые в процессе использования облачных служб, могут иметь решающее значение для обеспечения безопасной и бесперебойной работы службы, а также ее восстановления в случае сбоев. Права собственности на все активы, а также стороны, ответственные за соответствующие операции, такие как резервное копирование и восстановление данных, должны быть определены и задокументированы. В противном случае существует риск утечки данных в результате того, что поставщик облачных служб будет полагать, что эти критически важные задачи выполняет потребитель облачных служб (или наоборот).

6.1.2 Разделение обязанностей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.2.

6.1.3 Взаимодействие с органами власти

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Информация о географическом расположении мест, в которых могут храниться, обрабатываться или передаваться данные потребителя облачных служб, может помочь ему в определении контролирующих инстанций и юрисдикций.

6.1.4 Взаимодействие с профессиональными сообществами

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.4.

6.1.5 Информационная безопасность при управлении проектом

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.5.

6.2 Мобильные устройства и дистанционная работа

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 6.2).

6.2.1 Политика использования мобильных устройств

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.2.1.

6.2.2 Дистанционная работа

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.2.2.

7 Безопасность, связанная с персоналом

7.1 При приеме на работу

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 7.1).

7.1.1 Поверка

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.1.1.

7.1.2 Правила и условия работы

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.1.2.

7.2 Во время работы

Применяется цель, определенная в ИСО/МЭК (подраздел 7.2).

7.2.1 Обязанности руководства организации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.2.1.

7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.2.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

7.2.3 Дисциплинарный процесс

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.2.3.

7.3 Увольнение и смена места работы

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 7.3).

7.3.1 Прекращение или изменение трудовых обязанностей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 7.3.1.

8 Менеджмент активов

8.1 Ответственность за активы

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 8).

8.1.1 Инвентаризация активов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Существуют приложения облачных служб, которые предоставляют функции управления информацией путем добавления данных, полученных из облачных служб, к данным потребителей облачных служб. Идентификация данных, полученных из облачных служб, в качестве активов и их соответствующий учет могут способствовать повышению ИБ.

8.1.2 Владение активами

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.1.2.

Дополнительная информация для облачных служб

Право собственности на активы, скорее всего, будет варьироваться в зависимости от категории используемой облачной службы. При использовании службы PaaS или laaS прикладное программное обеспечение будет принадлежать потребителю облачных служб, а при использовании службы SaaS - поставщику облачных служб.

8.1.3 Допустимое использование активов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.1.3.

8.1.4 Возврат активов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.1.4.

8.2 Категорирование информации

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 8.2).

8.2.1 Категорирование информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.2.1.

8.2.2 Маркировка информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.2.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

8.2.3 Обращение с активами

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.2.3.

8.3 Обращение с носителями информации

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 8.3).

8.3.1 Управление сменными носителями информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.3.1.

8.3.2 Утилизация носителей информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.3.2.

8.3.3 Перемещение физических носителей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 8.3.3.

9 Управление доступом

9.1 Требования бизнеса по управлению доступом

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.1).

9.1.1 Политика управления доступом

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002 (раздел 11).

9.1.2 Доступ к сетям и сетевым сервисам

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

9.2 Процесс управления доступом пользователей

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.2).

9.2.1 Регистрация и отмена регистрации пользователей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

9.2.2 Предоставление пользователю права доступа

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Поставщик облачных служб должен обеспечить поддержку сторонних технологий идентификации и управления доступом для своих облачных служб и соответствующих интерфейсов администрирования. Эти технологии позволяют упростить интеграцию и администрирование удостоверений пользователей между системами потребителя облачной службы и облачной службой, а также упростить использование нескольких облачных служб за счет поддержки таких возможностей, как единый вход.

9.2.3 Управление привилегированными правами доступа

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

9.2.4 Процесс управления секретной аутентификационной информацией пользователей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.4. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Потребитель облачных служб должен контролировать управление секретной аутентификационной информацией, используя собственные или сторонние технологии идентификации и управления доступом.

9.2.5 Пересмотр прав доступа пользователей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.5.

9.2.6 Аннулирование или корректировка прав доступа

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.6.

9.3 Ответственность пользователей

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.3).

9.3.1 Использование секретной аутентификационной информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.3.1.

9.4 Управление доступом к системам и приложениям

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.4).

9.4.1 Ограничение доступа к информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Специфика среды облачных вычислений требует дополнительного управления доступом в некоторых областях. Например, в рамках облачных служб или функций службы в таком дополнительном управлении доступом могут нуждаться функции управления гипервизором и административные консоли.

9.4.2 Безопасные процедуры входа в систему

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.2.

9.4.3 Система управления паролями

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.3.

9.4.4 Использование привилегированных служебных программ

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.4. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

9.4.5 Управление доступом к исходному коду программы

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.5.

10 Криптография

10.1 Средства криптографической защиты информации

________________

Применение средств криптографической защиты информации осуществляется в соответствии с законодательством Российской Федерации.

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 10.1).

10.1.1 Политика использования средств криптографической защиты информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 10.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

В некоторых юрисдикциях применение криптографических средств защиты информации может быть обязательным для определенных видов информации, таких как медицинские данные, регистрационные номера резидентов, номера паспортов и водительских прав.

10.1.2 Управление ключами

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 10.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

11 Физическая безопасность и защита от воздействия окружающей среды

11.1 Зоны безопасности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 11.1).

11.1.1 Физический периметр безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.1.

11.1.2 Меры и средства контроля и управления физическим доступом

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.2.

11.1.3 Безопасность зданий, помещений и оборудования

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.3.

11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.4.

11.1.5 Работа в зонах безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.5.

11.1.6 Зоны погрузки и разгрузки

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.1.6.

11.2 Оборудование

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 11.2).

11.2.1 Размещение и защита оборудования

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.1.

11.2.2 Вспомогательные услуги

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.2.

11.2.3 Безопасность кабельной сети

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.3.

11.2.4 Техническое обслуживание оборудования

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.4.

11.2.5 Перемещение активов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.5.

11.2.6 Безопасность оборудования и активов вне помещений организации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.6.

11.2.7 Безопасная утилизация или повторное использование оборудования

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.7. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Дополнительная информация о безопасной утилизации содержится в ИСО/МЭК 27040.

11.2.8 Оборудование, оставленное пользователем без присмотра

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.8.

11.2.9 Политика "чистого стола" и "чистого экрана"

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 11.2.9.

12 Безопасность при эксплуатации

12.1 Эксплуатационные процедуры и обязанности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.1).

12.1.1 Документально оформленные эксплуатационные процедуры

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.1.

12.1.2 Процесс управления изменениями

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Список параметров, которые должны содержаться в уведомлении, может быть включен в соглашение, например основное соглашение о службе или соглашение об уровне обслуживания (SLA).

12.1.3 Управление производительностью

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

В облачных службах задействуются ресурсы, контролируемые поставщиком облачных служб и предоставляемые потребителю на условиях основного соглашения о службе и соответствующего соглашения об уровне обслуживания. К таким ресурсам относятся программное обеспечение, аппаратное обеспечение, хранилище данных и возможности сетевого подключения.

Гибкое, масштабируемое выделение ресурсов по запросу в рамках облачных служб, как правило, повышает производительность службы. При этом потребителю облачных служб следует знать о возможных ограничениях предоставляемых ресурсов. Примерами ограничений в отношении ресурсов могут быть количество ядер процессора для приложения, объем доступного хранилища или производительность сети.

Ограничения могут быть разными, в зависимости от конкретной облачной службы или типа абонентского обслуживания, приобретаемого потребителем облачной службы. При наличии у потребителя службы требований, превосходящих существующие ограничения, потребителю необходимо сменить облачную службу или тип абонентского обслуживания.

Для управления производительностью облачных служб их потребителю необходим доступ к соответствующей статистике использования ресурсов, например:

- статистике за определенные периоды времени;

- максимальным уровням использования ресурсов.

12.1.4 Разделение сред разработки, тестирования и эксплуатации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.4.

12.2 Защита от вредоносных программ

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.2).

12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.2.1.

12.3 Резервное копирование

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.3).

12.3.1 Резервное копирование информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.3.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Разделение обязанностей по созданию резервных копий в среде облачных вычислений не всегда бывает четким. При предоставлении инфраструктуры как услуги (laaS) обязанности по созданию резервных копий обычно выполняет потребитель облачных служб. Однако потребитель облачных служб может не знать о своей обязанности делать резервные копии всех своих данных, создаваемых в облачной вычислительной системе, в частности исполняемых файлов, создаваемых при применении средств для разработки платформы как услуги (PaaS).

Примечание - В качестве дополнительной услуги и за отдельную плату могут предлагаться разные уровни резервного копирования и восстановления.

В этом случае у потребителей облачных служб появляется выбор в отношении содержимого и времени резервного копирования.

12.4 Регистрация и мониторинг

Применяется цель, указанная в ИСО/МЭК 27002 (подраздел 12.4).

12.4.1 Регистрация событий

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.4.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Обязанности потребителя и поставщика облачных служб в отношении регистрации событий варьируются в зависимости от типа используемой службы. Например, при использовании инфраструктуры как услуги (laaS) обязанности поставщика облачных служб в отношении регистрации событий могут быть ограничены компонентами облачной инфраструктуры, а в обязанности потребителя может входить регистрация событий в своих виртуальных машинах и приложениях.

12.4.2 Защита информации регистрационных журналов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.4.2.

12.4.3 Регистрационные журналы действий администратора и оператора

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.4.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Процесс разделения обязанностей между потребителем и поставщиком служб облачных приложений (пункт 6.1.1) должен учитывать привилегированные операции, связанные с облачными службами. Для содействия мерам по предотвращению и исправлению неправильного использования привилегированных операций необходимы мониторинг и ведение журналов таких действий.

12.4.4 Синхронизация часов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.4.4. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

При использовании облачных служб необходимо обеспечить синхронизацию систем потребителя с системами поставщика облачных служб, которые обеспечивают работу служб, используемых потребителем. Отсутствие такой синхронизации может затруднять согласование событий в системах потребителя с событиями в системах поставщика облачных служб.

12.5 Контроль программного обеспечения, находящегося в эксплуатации

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.5).

12.5.1 Установка программного обеспечения в эксплуатируемых системах

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.5.1.

12.6 Менеджмент технических уязвимостей

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.6).

12.6.1 Процесс управления техническими уязвимостями

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.6.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

12.6.2 Ограничения на установку программного обеспечения

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.6.2.

12.7 Особенности аудита информационных систем

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.7).

12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.7.1.

13 Безопасность коммуникаций

13.1 Менеджмент информационной безопасности сетей

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 13.1).

13.1.1 Меры обеспечения информационной безопасности сетей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.1.1.

13.1.2 Безопасность сетевых сервисов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.1.2.

13.1.3 Разделение в сетях

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Законодательство и нормативно-правовые акты могут требовать разделения сетей или изоляции сетевого трафика.

13.2 Передача информации

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 13.2).

13.2.1 Политики и процедуры передачи информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.2.1.

13.2.2 Соглашения о передаче информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.2.2.

13.2.3 Электронный обмен сообщениями

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.2.3.

13.2.4 Соглашение о конфиденциальности или неразглашении

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 13.2.4.

14 Приобретение, разработка и поддержка систем

14.1 Требования к безопасности информационных систем

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 14.1).

14.1.1 Анализ и спецификации требований информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Необходимо ограничивать разглашение данных о реализации мер обеспечения ИБ при использовании облачных служб, предоставляемых тем потребителям или потенциальным потребителям облачных служб, с которыми заключены соответствующие соглашения о неразглашении информации.

14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.1.2.

14.1.3 Защита транзакций прикладных сервисов

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.1.3.

14.2 Безопасность в процессах разработки и поддержки

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 14.2).

14.2.1 Политика безопасной разработки

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Процедуры и методы безопасной разработки поставщика облачных служб могут иметь критически важное значение при использовании модели "программное обеспечение как услуга" (SaaS).

14.2.2 Процедуры управления изменениями системы

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.2.

14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.3.

14.2.4 Ограничения на изменения пакетов программ

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.4.

14.2.5 Принципы безопасного проектирования систем

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.5.

14.2.6 Безопасная среда разработки

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.6.

14.2.7 Разработка с использованием аутсорсинга

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.7.

14.2.8 Тестирование безопасности систем

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.8.

14.2.9 Приемо-сдаточные испытания системы

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.2.9.

Дополнительная информация для облачных служб

В сфере облачных вычислений рекомендации по приемочному испытанию системы относятся к облачным службам, которые используются потребителем этих служб.

14.3 Тестовые данные

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 14.3).

14.3.1 Защита тестовых данных

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 14.3.1.

15 Взаимоотношения с поставщиками

15.1 Информационная безопасность во взаимоотношениях с поставщиками

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 15.1).

15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

15.1.2 Рассмотрение вопросов безопасности в соглашениях с поставщиками

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

15.1.3 Цепочка поставок информационно-телекоммуникационных технологий

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

15.2 Управление услугами, предоставляемыми поставщиком

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 15.2).

15.2.1 Мониторинг и анализ услуг поставщика

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.2.1.

15.2.2 Управление изменениями услуг поставщика

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.2.2.

16 Менеджмент инцидентов информационной безопасности

16.1 Менеджмент инцидентов информационной безопасности и улучшений

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 16.1).

16.1.1 Обязанности и процедуры

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

16.1.2 Сообщения о событиях информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Эти процедуры должны быть дополнены необходимой информацией, например номерами телефонов, адресами электронной почты и часами работы как потребителя, так и поставщика облачных служб.

События ИБ могут выявляться как потребителем, так и поставщиком облачных служб. Поэтому главная дополнительная обязанность каждой стороны в отношении облачных служб заключается в наличии процедуры незамедлительного сообщения другой стороне о выявленном событии.

16.1.3 Сообщения о недостатках информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.3.

16.1.4 Оценка и принятие решений в отношении событий информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.4.

16.1.5 Реагирование на инциденты информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.5.

16.1.6 Извлечение уроков из инцидентов информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.6.

16.1.7 Сбор свидетельств

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 16.1.7. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации

17.1 Непрерывность информационной безопасности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 17.1).

17.1.1 Планирование непрерывности информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 17.1.1.

17.1.2 Реализация непрерывности информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 17.1.2.

17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 17.1.3.

17.2 Резервирование оборудования

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 17.2).

17.2.1 Доступность средств обработки информации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 17.2.1.

18 Соответствие

18.1 Соответствие правовым и договорным требованиям

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 18.1).

18.1.1 Идентификация применимых законодательных и договорных требований

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Необходима осведомленность о законодательных и нормативных требованиях, действующих в отношении использования облачных служб, особенно в тех случаях, когда функции обработки, хранения и передачи данных географически распределены по нескольким юрисдикциям.

Следует отметить, что ответственность за соблюдение требований (как правовых, так и договорных) по-прежнему лежит на потребителе облачных услуг и не может быть переложена на поставщика облачных услуг.

18.1.2 Права на интеллектуальную собственность

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

18.1.3 Защита записей

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

18.1.4 Конфиденциальность и защита персональных данных

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.4.

Дополнительная информация для облачных служб

В ИСО/МЭК 27018 содержится свод правил по защите персональных данных в публичных облаках, используемых для их обработки.

18.1.5 Регулирование криптографических мер обеспечения информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.5. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

18.2 Проверки информационной безопасности

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 18.2).

18.2.1 Независимая проверка информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.2.1. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

18.2.2 Соответствие политикам и стандартам безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.2.2. Применяются также следующие рекомендации, касающиеся облачных служб.

18.2.3 Анализ технического соответствия

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.2.3.

Приложение A

(обязательное)

Расширенный набор мер обеспечения информационной безопасности для облачных служб

Это приложение является неотъемлемой частью настоящего стандарта.

В настоящем приложении содержится описание дополнительных мер обеспечения ИБ, а также рекомендации по их реализации, представляющие собой расширенный набор мер обеспечения ИБ для облачных служб. Представленные в настоящем приложении меры обеспечения ИБ не дублируют меры обеспечения ИБ, приведенные в ИСО/МЭК 27002.

Организации, желающие реализовать эти меры в СМИБ, отвечающей требованиям ИСО/МЭК 27001, должны включить в Положение о применимости (Statement of Applicability, SOA) меры обеспечения ИБ, указанные в настоящем приложении.

CLD.6.3 Взаимоотношения между потребителями и поставщиками облачных служб

CLD.6.3.1 Общие роли и обязанности в среде облачных вычислений

Мера обеспечения ИБ

Необходимо разделение обязанностей между определенными сторонами в контексте общих ролей по обеспечению ИБ. Обязанности должны быть задокументированы, доведены до сведения потребителя и поставщика облачных служб и выполнены ими.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

В сфере облачных вычислений роли и обязанности, как правило, разделены между сотрудниками потребителя и сотрудниками поставщика облачных служб. При разделении ролей и обязанностей следует принимать во внимание данные и приложения потребителя облачных служб, хранителем которых является поставщик облачных служб.

CLD.8.1 Ответственность за активы

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 8.1).

CLD.8.1.5 Удаление активов клиента облачных служб

Мера обеспечения ИБ

Активы потребителя облачных служб, хранимые в помещениях поставщика таких служб, должны своевременно удаляться и при необходимости должны быть возвращены после прекращения действия соглашения об облачной службе.

Рекомендации по реализации для облачных служб

CLD.9.5 Контроль доступа к данным потребителя облачных служб в виртуальной среде совместного использования

CLD.9.5.1 Разделение в виртуальных вычислительных средах

Мера обеспечения ИБ

Виртуальная среда потребителя облачных служб, работающая в облачной среде, должна быть защищена от доступа со стороны других потребителей облачных служб и прочих пользователей, не имеющих соответствующих разрешений.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Реализация логического разделения зависит от технологий, применяемых для виртуализации:

- конфигурации сети и хранилища могут виртуализироваться в тех случаях, когда функция виртуализации ПО обеспечивает виртуальную среду (например, виртуальную операционную систему). Кроме этого, разделение потребителей облачных служб в средах с программной виртуализацией может быть спроектировано и реализовано с помощью программных функций;

- если информация потребителей облачных служб хранится в местах с общим физическим доступом и таблицей метаданных облачных служб, то изоляция информации от других потребителей облачных служб может быть реализована путем контроля доступа через таблицу метаданных.

Описание безопасной работы в совместно арендуемых средах с соответствующими инструкциями, которое содержится в ИСО/МЭК 27040, может применяться к облачным службам.

CLD.9.5.2 Защита виртуальных машин

Мера обеспечения ИБ

Чтобы удовлетворить потребности бизнеса, необходимо обеспечить защиту виртуальных машин в среде облачных вычислений.

Рекомендации по реализации для облачных служб

CLD.12.1 Эксплуатационные процедуры и обязанности

Применяется цель, указанная в ИСО/МЭК 27002 (подраздел. 12.1).

CLD.12.1.5 Безопасность операций администратора

Мера обеспечения ИБ

Необходимо определить, задокументировать и проверить процедуры, применяемые к административным операциям в облачных службах.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

Преимуществом облачных вычислений является возможность быстрого обеспечения обслуживания и его администрирования, а также возможность предоставления услуг самообслуживания по запросу. Эти операции зачастую выполняются администраторами потребителя и поставщика облачных служб. Поскольку постороннее вмешательство в эти операции может приводить к серьезным инцидентам ИБ, необходимо рассмотреть процедуры защиты таких операций, а также разработать и реализовать эти процедуры при необходимости. Среди примеров таких серьезных инцидентов можно указать стирание или остановку работы большого количества виртуальных серверов или уничтожение виртуальных активов.

CLD.12.4 Регистрация и мониторинг

Применяется цель, указанная в ИСО/МЭК 27002 (подраздел 12.4).

CLD.12.4.5 Мониторинг облачных служб

Мера обеспечения ИБ

У потребителя облачных служб должна быть возможность отслеживать определенные аспекты работы используемых им облачных служб.

Рекомендации по реализации для облачных служб

CLD.13.1 Безопасность связи

Применяется цель, указанная в ИСО/МЭК 27002 (подраздел 13.1).

CLD.13.1.4 Согласованность методов обеспечения безопасности виртуальных и физических сетей

Мера обеспечения ИБ

После конфигурирования виртуальных сетей необходимо проверить согласованность конфигураций виртуальных и физических сетей исходя из политики сетевой безопасности поставщика облачных служб.

Рекомендации по реализации для облачных служб

Дополнительная информация для облачных служб

В среде облачных вычислений, построенной по технологии виртуализации, виртуальная сеть настраивается в виртуальной инфраструктуре физической сети. Несоответствие положений сетевых политик в таких средах может приводить к перебоям в работе систем или нарушению контроля доступа.

Примечание - В зависимости от типа облачных служб, обязанности по настройке виртуальной сети могут по-разному распределяться между потребителем и поставщиком облачных служб.

Приложение B

(справочное)

Ссылки на документы, касающиеся рисков информационной безопасности, связанных с облачными вычислениями

Настоящее приложение не является неотъемлемой частью настоящего стандарта.

Надлежащее использование мер обеспечения ИБ, предусматриваемых настоящим стандартом, основано на оценке и анализе рисков ИБ организации. Несмотря на важность этих аспектов, вопросы оценки и анализа рисков ИБ не являются основным предметом настоящего стандарта. Ниже приводится список ссылок на документы, которые включают в себя описания источников рисков и самих рисков, связанных с предоставлением и использованием облачных служб. Следует отметить, что источники рисков и сами риски могут варьироваться в зависимости от типа и характера службы, а также новых технологий облачных вычислений. Пользователям настоящего стандарта следует использовать актуальные версии документов по мере необходимости.

Рекомендация МСЭ-ТХ.1601 "Платформа безопасности для облачных вычислений". Январь 2014 г.

Департамент управления информацией правительства Австралии. "Контрольные показатели конфиденциальности и облачных вычислений для государственных органов Австралии: практические рекомендации". Февраль 2013 г.

Центр кибербезопасности Австралии. "Безопасность облачных вычислений для арендаторов". Декабрь 2014 г. http://www.asd.gov.au/publications/protect/Cloud_Computing_Security_for_Tenants.pdf

Центр кибербезопасности Австралии. "Безопасность облачных вычислений для поставщиков облачных служб". Декабрь 2014 г. http://www.asd.gov.au/publications/protect/ Cloud_Computing_Security_for_Cloud_Service Providers.pdf

OGCIO, Гонконг. "Контрольный список по обеспечению конфиденциальности обработки персональных данных поставщиками облачных служб в облачных платформах". Апрель 2013 г.

OGCIO, Гонконг. "Контрольный список по безопасности для потребителей облачных служб". Январь 2013 г.

Национальный институт стандартов и технологий. SP800-144 "Рекомендации по обеспечению конфиденциальности в публичных облачных вычислениях". Декабрь 2011 г.

Национальный институт стандартов и технологий. SP800-146 "Краткий обзор облачных вычислений с рекомендациями". Май 2012 г.

SPRING Singapore. Приложение А "Оценка рисков для безопасности при виртуализации, сингапурский технический справочник 30:2012. Технический справочник по безопасной виртуализации серверов". Март 2012 г.

SPRING Singapore. Приложение А "Контрольный список по безопасности и аспекты уровня обслуживания при проверке платформы SaaS, сингапурский технический справочник 31:2012. Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

SPRING Singapore. Приложение А "Раскрытие информации поставщиками облачных служб, сингапурский стандарт SS584:2013. Спецификация многоуровневой безопасности облачных вычислений". Август 2013 г.

SPRING Singapore. Приложение В "Контрольный список по безопасности и аспекты уровня обслуживания при проверке платформы laaS, сингапурский технический справочник 31:2012. Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

SPRING Singapore, сингапурский стандарт SS584:2013 "Спецификация многоуровневой безопасности облачных вычислений". Август 2013 г.

SPRING Singapore, сингапурский технический справочник 30:2012 "Технический справочник по безопасности виртуализации серверов". Март 2012 г.

SPRING Singapore, сингапурский технический справочник 31:2012 "Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

Федеральная программа управления рисками и авторизацией США (FedRAMP РМО) "Базовые контрольные меры по безопасности FedRAMP", версия 2.0. Июнь 2014 г.

Cloud Security Alliance "Матрица средств управления облачной среды". Сентябрь 2013 г.

ENISA "Оценка рисков безопасности облачных вычислений". Ноябрь 2009 г.

ENISA "Базовая система контроля информации в облачных вычислениях". Ноябрь 2009 г.

ISACA "Вопросы безопасности в облачных вычислениях". Июль 2011 г.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам

Таблица ДА.1

Библиография

Recommendation ITU-T X.805 (2003) Security architecture for systems providing end-to-end communications

ISO/IEC 17203:2011 Information technology - Open Virtualization Format (OVF) specification

ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements

ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management

ISO/IEC 27018:2014 Information technology - Security techniques - Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors

ISO/IEC 27036-1:2014 Information technology - Security techniques - Information security for supplier relationships - Part 1: Overview and concepts

ISO/IEC 27036-2:2014 Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements

ISO/IEC 27036-3:2013 Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security

ISO/IEC CD 27036-4 Information technology - Security techniques - Information security for supplier relationships - Part 4: Guidelines for security of cloud services - (Under development)

ISO/IEC 27040:2015 Information technology - Security techniques - Storage security

ISO 19440:2007 Enterprise integration - Constructs for enterprise modelling

ISO 31000:2009 Risk management - Principles and guidelines

NIST, SP 800-145 2011 The NIST Definition of Cloud Computing

NIST 2009 Effectively and Securely Using the Cloud Computing Paradigm

ENISA 2009 Cloud Computing Benefits, risks and recommendations for information security

Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing V3.0

Cloud Security Alliance, Top Threats to Cloud Computing V1.0

Cloud Security Alliance, Domain 12: Guidance for Identity & Access Management V2.1

ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives

ISACA, Cloud Computing Management Audit/Assurance Program