ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг
6 Меры обеспечения информационной безопасности в жизненном цикле приобретения облачных услуг
6.1 Процессы соглашения
6.1.1 Процесс приобретения
Потребителю облачных услуг в процессе приобретения в дополнение к требованиям и рекомендациям, приведенным в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, следует учитывать требования и рекомендации, представленные ниже (см. таблицу 2).
Таблица 2
Потребитель облачных услуг |
| Поставщик облачных услуг |
a) Разработать стратегию взаимоотношений с поставщиками, чтобы: 1) позволить потребителю понять информационную безопасность на месте у конкретного поставщика облачных услуг; 2) обеспечить бесперебойную связь между потребителем облачных услуг и поставщиком облачных услуг путем назначения пунктов связи для контакта между потребителем облачных услуг и поставщиком; 3) определить четкое распределение ролей и обязанностей между потребителем и поставщиком облачных услуг; 4) включить рекомендации по снижению рисков, связанных с облаком, согласно 5.2; 5) расширить существующую политику безопасности для охвата облачных услуг |
| Неприменимо |
6.1.2 Процесс поставки
Поставщики облачных услуг в процессе поставки, в дополнение к требованиям и рекомендациям, приведенным в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, должны учитывать следующее (см. таблицу 3).
Таблица 3
Потребитель облачных услуг |
| Поставщик облачных услуг |
Неприменимо |
| a) Определить сферу ответственности, которую должен принять поставщик облачных услуг. Если поставщик облачных услуг является потребителем других облачных услуг, он также должен указать ответственность за использование таких услуг. b) Объявить и опубликовать свою ответственность за поставляемую облачную услугу. c) Предоставлять информацию и функциональные возможности для защиты поставщиком информации потребителя облачных услуг. d) Предоставлять, если это возможно, свидетельства от третьей стороны (предпочтительно), которая обеспечивает надежность защиты информации потребителя поставщиком облачных услуг и определенность в части мер обеспечения информационной безопасности поставщика облачных услуг. e) Описывать возможность безопасного облачного резервного копирования. f) Описывать меры устойчивости (включая планы обеспечения непрерывности бизнеса и аварийного восстановления) для предоставляемых облачных услуг. g) Указывать процесс уведомления потребителей об изменениях у поставщиков облачных услуг. |
|
| h) Представлять доказательства обеспечения ревизии сторонних производителей или аудиторской проверки/отчетности и т.д. для облачных услуг. i) Установить требования к работе с несколькими арендаторами и к обеспечению логического и физического разделения информации для потребителей облачных услуг. j) Установить требования к безопасной передаче активов потребителя облачных услуг: 1) установить требования по ограничению перемещения, передачи и хранения информации потребителя; 2) определить методы и критерии приемки для оценки поставщиков облачных услуг в отношении способности обеспечить логическое и физическое разделение информации для потребителей; 3) определить процессы перехода активов потребителя облачных услуг к другому поставщику облачных услуг; 4) определить процесс изъятия или подтверждения изъятия активов потребителя облачных услуг в вычислительной среде поставщика облачных услуг при расторжении договора. k) Определить процессы сбора и анализа договорных документов, связанных с информационной безопасностью облачных услуг, которые могут включать соглашения об уровне обслуживания |
Подписаться на обновления