ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

6.4 Технические процессы

6.4.1 Процесс определения требований заинтересованных сторон

Безопасность облачных услуг должна быть рассмотрена в этом процессе, но отсутствуют какие-либо конкретные указания в дополнение к тому, что предусмотрено в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3.

6.4.2 Процесс анализа требований

6.4.3 Процесс определения архитектуры

6.4.4 Процесс реализации

Для обеспечения надлежащего управления рисками безопасности со стороны потребителя и поставщика облачных услуг в дополнение к требованиям и рекомендациям, содержащимся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, в процесс реализации следует включить требования и рекомендации, представленные ниже (см. таблицу 6).

Таблица 6

Потребитель облачных услуг		Поставщик облачных услуг
a) Внедрять облачные услуги постепенно, особенно если в облачной услуге должна храниться или обрабатываться конфиденциальная или критическая информация. Для снижения рисков потребитель облачных услуг должен использовать поэтапный подход во внедрении облачных услуг. Сначала потребитель должен задействовать часть облачных услуг, которая имеет меньший риск. И далее расширять использование облачных услуг, анализируя конкретную ситуацию		a) Внедрять, управлять и выполнять меры по безопасности

6.4.5 Процесс комплексирования

6.4.6 Процесс верификации

6.4.7 Процесс передачи

6.4.8 Процесс валидации (аттестации)

6.4.9 Процесс функционирования

Для обеспечения надлежащего управления рисками безопасности со стороны потребителя и поставщика облачных услуг в дополнение к требованиям и рекомендациям, содержащимся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3, в процесс функционирования следует включить следующее (см. таблицу 7).

Таблица 7

Потребитель облачных услуг

Поставщик облачных услуг

a) Внедрить "политику использования облака" и организовать обучение персонала.

b) Отслеживать изменения в облачных услугах и устранять последствия этих изменений.

c) Собирать информацию и реагировать на инциденты информационной безопасности, связанные с облачными услугами

a) Предоставлять информацию и функциональные возможности, определенные в процессе поставки потребителю облачных услуг:

1) организовать процесс работы таким образом, чтобы предоставлять информацию и функциональные возможности потребителям облачных услуг;

2) предоставлять информацию и функциональные возможности через процесс функционирования;

3) контролировать, чтобы убедиться, что процесс работает надлежащим образом, и оценивать процесс, когда это необходимо.

b) Осуществлять мониторинг деятельности потребителей облачных услуг в рамках соглашения между поставщиком и потребителем и уведомлять соответствующего потребителя о том, когда такая деятельность может повлиять на предоставление облачных услуг.

c) Контролировать деятельность поставщика и обеспечивать подотчетность всех действий, выполняемых в отношении облачных услуг или инфраструктуры для предоставления облачных услуг

6.4.10 Процесс сопровождения

6.4.11 Процесс изъятия и списания

Потребителям облачных услуг и поставщикам облачных услуг следует учитывать в процессе изъятия и списания следующие требования и рекомендации, содержащиеся в ИСО/МЭК 27036-2 и ИСО/МЭК 27036-3 (см. таблицу 8).

Таблица 8

Потребитель облачных услуг

Поставщик облачных услуг

a) Подтвердить удаление информации при прекращении использования облачной услуги

a) Установить процесс регистрации удаления информации при изъятии активов потребителя облачных услуг с согласия потребителя, прекращающего использование облачных услуг.

b) Установить процесс надлежащего ведения журнала изъятия и списания.

c) Установить процедуру раскрытия журналов изъятия и списания по запросу потребителя облачных услуг