ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Типовые угрозы и риски

Тип возможностей инфраструктуры

Тип возможностей платформы

Тип возможностей приложений

Отсутствие контроля того, где хранятся данные потребителя облачных услуг

Где хранятся данные потребителя облачных услуг (касающиеся свойств данных: целостности, прослеживаемости и неприкосновенности частной жизни)

Неустановленный доступ к сохраненным данным потребителя облачных услуг

Кто имеет доступ или доступность хранимых данных потребителя облачных услуг (доступность)

Неустановленный процесс передачи данных

Как передаются данные потребителей облачных услуг (конфиденциальность, неприкосновенность частной жизни и целостность)

Неустановленный привилегированный пользователь, администратор или привилегированный доступ

Кто имеет более высокие привилегии (целостность, прослеживаемость, конфиденциальность и неприкосновенность частной жизни)

Отсутствие защиты от вредоносных программ

Вредоносные программы и т.д. (все аспекты)

Вредоносные программы, связанные с незащищенными платформами (все аспекты)

Вредоносные программы, связанные с приложениями (все аспекты)

Неустановленные права доступа к данным потребителя облачных услуг

Неприменимо

Доступ и права через права администратора (конфиденциальность, неприкосновенность частной жизни и целостность)

Доступ и права через права пользователя (конфиденциальность, неприкосновенность частной жизни и целостность)

Отсутствие данных журнала

Неприменимо

Отсутствие данных журнала (прослеживаемость и целостность)

Отсутствие данных журнала из приложения (прослеживаемость и целостность)

Отсутствие информации о целостности платформ

Неприменимо

Целостность платформ (все аспекты)

Неконтролируемые приложения прикладного уровня

Неприменимо

Неприменимо

Неконтролируемые изменения (целостность)

Отсутствие требований безопасности при разработке прикладного уровня

Неприменимо

Неприменимо

Отсутствие требований безопасности при разработке (все аспекты)

Невозможность получения данных потребителя облачных услуг во время предоставления услуги

Неприменимо

Неприменимо

Отсутствие услуг или другая проблема, останавливающая извлечение данных потребителя облачных услуг (доступность)

Неопределенность в отношении контроля над данными потребителей облачных услуг во время и после предоставления услуг

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация о сетевом трафике (доступность)

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация пользователей и т.д. (доступность)

Плохое понимание принадлежности данных потребителей облачных услуг, таких как информация пользователей и т.д. (доступность)

Невозможность определить, были ли данные потребителя облачных услуг полностью удалены при прекращении/завершении услуги

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как обработка, хранение или использование сети) были удалены (конфиденциальность и доступность)

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как использование приложения, тип обрабатываемых данных и данные пользователя приложения) были удалены (конфиденциальность и доступность)

Отсутствие уверенности в том, что данные потребителя облачных услуг (такие, как использование приложения, тип обрабатываемых данных и данные пользователя приложения) были удалены (конфиденциальность и доступность)

Примечание - В настоящей таблице показано, какие риски возникают в модели развертывания публичного облака.