ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

7 Меры по обеспечению информационной безопасности поставщиками облачных услуг

 

7.1 Общие положения

7.1.1 Наборы мер обеспечения безопасности, связанных с моделью развертывания облачных услуг

Меры обеспечения безопасности, применяемые для уменьшения угроз и рисков, связанных с облачными услугами, могут отличаться в зависимости от сочетания типа возможностей, категории услуг, модели развертывания и профиля целевого потребителя. Поставщику облачных услуг следует применять меры для реагирования на риски и удовлетворения требований потребителя облачных услуг.

Поставщик облачных услуг, который хочет привлечь потребителей облачных услуг с высокими требованиями к безопасности, должен применять больше мер защиты и обеспечивать более высокий уровень доверия на рынке. Это означает, что поставщик облачных услуг должен предвидеть потребности потребителя в безопасности облачных услуг на основе отраслевой среды (сектора экономики), географии, правового контекста и т.д. Поставщик облачных услуг должен также иметь в виду, что, хотя именно потребитель должен соблюдать правовые и нормативные требования, возможности поставщика облачных услуг отвечать этим требованиям определяют успех поставщика.

В настоящем разделе рассматривается набор мер обеспечения безопасности, связанных с моделью развертывания публичного облака в сочетании с различными типами возможностей. Конкретные и подробные меры обеспечения безопасности можно найти в других стандартах, таких как ИСО/МЭК 27017 или ИСО/МЭК 27018.

7.1.2 Установка мер обеспечения информационной безопасности у поставщика облачных услуг

Вполне вероятно, что потребитель облачных услуг уже имеет набор требований, которые должны быть выполнены. Используя стандарты и ссылаясь на них, поставщик облачных услуг может более легко продемонстрировать, как эти требования могут быть выполнены, а затем получить признание от потребителя облачных услуг.

Любой поставщик облачных услуг должен предусматривать наличие:

a) системы управления информационной безопасностью (по ИСО/МЭК 27001);

b) необходимого набора мер обеспечения безопасности для организации;

c) необходимого набора мер для реальных облачных услуг;

d) политики, утвержденного положения или другого метода связи при обеспечении информационной безопасности услуг для реальных и потенциальных потребителей облачных услуг.

Наличие системы управления информационной безопасностью должно быть основой обеспечения информационной безопасности в рамках организации поставщика облачных услуг.

Фактический набор мер безопасности должен варьироваться в зависимости от облачных услуг в сочетании с моделью развертывания и ожидаемыми критериями принятия потребителем облачных услуг. Кроме того, следует учитывать, как реализуемые меры обеспечения безопасности, определяемые поставщиком облачных услуг, доводятся до сведения предполагаемых потребителей. Следует заметить, что отсутствие мер обеспечения безопасности для текущих облачных услуг приведет к ослаблению информационной безопасности, и это может быть действительно выбором поставщика облачных услуг по бизнес-причинам.

Поставщик облачных услуг может повысить доверие потребителей облачных услуг (существующих и потенциальных), сформулировав свои методы защиты информации следующим образом:

a) демонстрация соответствия части организации, предоставляющей облачные услуги, применимому стандарту управления информационной безопасностью, такому как ИСО/МЭК 27001;

b) демонстрация соответствия с применимыми мерами обеспечения безопасности, основанными на характере услуги и требованиях рынка, на котором предоставляется услуга.

Поставщик облачных услуг должен сообщать потенциальным потребителям облачных услуг о соответствии стандартам управления информационной безопасностью и мерам обеспечения безопасности. Это может быть достигнуто путем указания конкретных стандартов и мер обеспечения безопасности, с которыми согласована облачная услуга. Хотя такое выравнивание уменьшит риски для потребителя облачных услуг, оно не устранит их.

На рисунке 2 показано, как поставщик облачных услуг может использовать стандарты информационной безопасности для защиты как организации поставщика, так и возможностей облака и категорий услуг, предлагаемых потребителям облачных услуг.

 

 

Рисунок 2 - Пример использования стандартов безопасности

поставщиком облачных услуг

 

Дополнительные сведения о сопоставлении соответствующих мер обеспечения безопасности облачных услуг с моделями развертывания см. в приложении A.