ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

6.3 Процессы проектов

6.3.1 Процесс планирования проекта

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.2 Процесс оценки и контроля проекта

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.3 Процесс управления решениями

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.3.4 Процесс управления рисками

Потребители и поставщики облачных услуг должны учитывать в процессе управления рисками следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 4).

 

Таблица 4

 

Потребитель облачных услуг		Поставщик облачных услуг
a) Указать тип, классификацию и важность информации, которая может обрабатываться в облаке (например, коммерческая информация, интеллектуальная собственность, правовая, нормативная и конфиденциальная информация, логистическая информация, управленческая информация или личная информация). b) Указать правовые/нормативные риски для организации (например, авторское право, защита информации, финансовое регулирование, нарушение конфиденциальности и корпоративное управление), связанные с информацией, подлежащей обработке в облачной услуге. c) Провести оценивание риска и принять остаточный риск		a) Обеспечить уровень безопасности, указанный в соглашении об уровне обслуживания, согласованном с потребителем облачных услуг. b) Управлять процессом расторжения и связанным с ним возвратом и/или удалением информации при облачной услуге

 

6.3.5 Процесс управления конфигурацией

Потребители и поставщики облачных услуг должны учитывать в процессе управления конфигурацией следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 5).

 

Таблица 5

 

Потребитель облачных услуг		Поставщик облачных услуг
a) Определить влияние изменений на услуги		a) Следует анализировать и сравнивать любые изменения с согласованными условиями по услуге. b) Следует осуществлять уведомление потребителя облачных услуг о любых изменениях в услуге

 

6.3.6 Процесс управления информацией

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3. Кроме того, как часть процесса управления информацией, настоящие рекомендации состоят в том, что конфиденциальность данных должна быть рассмотрена и определена как с точки зрения потребителя облачных услуг, так и с точки зрения поставщика облачных услуг для аутентификации и других соответствующих информационных процессов.

Поставщик облачных услуг должен, в частности, определить, существуют ли какие-либо идентификационные данные, которые также считаются конфиденциальной информацией из-за технического решения аутентификации, предоставляемой облачной услугой. Этот тип информации, если он не сообщается, обычно известен только поставщику, но не потребителю облачных услуг. Определение того, являются ли аутентификационные данные также информацией о конфиденциальности, может варьироваться в зависимости от различных юридических аспектов, определяющих данные как информацию о конфиденциальности и фактическую модель облачных услуг.

6.3.7 Процесс измерения

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.