ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

7.2 Модели развертывания публичного облака

7.2.1 Тип возможностей инфраструктуры

Поставщик облачных услуг должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности инфраструктуры, предоставляемой потребителям.

Основные меры обеспечения безопасности следующие:

a) меры обеспечения безопасности сети (включая доступ к сети);

b) меры обеспечения безопасности связи (включая криптографию);

c) меры обеспечения безопасности хранения (включая физическое хранение и безопасность в течение жизненного цикла);

d) защита от вредоносных программ;

e) мониторинг;

f) управление производительностью;

g) управление идентичностью;

h) управление инцидентами;

i) установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования.

Кроме того, поставщику облачных услуг следует применять меры, предусмотренные в ИСО/МЭК 27017, для выполнения обязанностей, разделяемых с его потребителями облачных услуг.

7.2.2 Тип возможностей платформы

Поставщик облачных услуг должен обеспечить, чтобы безопасность инфраструктуры и платформы, используемой для предоставления их функциональных возможностей, была на одном уровне с безопасностью предоставляемых ими услуг. Кроме того, поставщик должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности услуг платформы, предоставляемой потребителям облачных услуг.

Основные меры обеспечения безопасности следующие:

a) контроль доступа (пользовательский и административный доступ как для потребителя, так и для поставщика облачных услуг);

b) управление регистрациями;

c) контроль целостности операционной системы;

d) контроль за изменением операционной системы;

e) установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования.

Кроме того, поставщик должен применять меры, предусмотренные в ИСО/МЭК 27017, для выполнения обязанностей, разделяемых с потребителями облачных услуг.

7.2.3 Тип возможностей приложения

Поставщик облачных услуг должен обеспечить, чтобы безопасность инфраструктуры и платформы, используемой для предоставления возможностей приложения, была на одном уровне с безопасностью предоставляемых прикладных услуг. Кроме того, поставщик облачных услуг должен применять меры, предусмотренные в ИСО/МЭК 27002, для обеспечения безопасности прикладных услуг, предоставляемых потребителям.

Основные меры обеспечения безопасности следующие:

a) контроль доступа и прав пользователя;

b) контроль изменений приложений;

c) контроль использования и передачи услуг приложений.

Поставщики облачных услуг должны реализовывать меры обеспечения безопасности, предусмотренные в ИСО/МЭК 27017. Дополнительную информацию о безопасности приложений в их жизненном цикле можно найти в ИСО/МЭК 27034.