ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг
Приложение A
(справочное)
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ДЛЯ ПОСТАВЩИКОВ ОБЛАЧНЫХ УСЛУГ
Целью управления информационной безопасностью для потребителя облачных услуг является последовательная защита его собственной информации, независимо от того, используется облачная услуга или нет.
С другой стороны, целью управления информационной безопасностью для поставщика облачных услуг является обеспечение лучшего качества облачных услуг, а также защита собственной информации. Поэтому поставщику облачных услуг необходимо развивать меры информационной безопасности, чтобы защитить информацию потребителя облачных услуг в рамках управления услугами.
В таблице A.1 приведены перекрестные ссылки на модели развертывания облачных услуг, а также соответствующие стандарты информационной безопасности. При рассмотрении типов возможностей платформы и приложения перечисленные меры обеспечения безопасности считаются иерархическими. Некоторые меры обеспечения безопасности напрямую (а некоторые - косвенно) связаны с типом возможностей облака и моделью развертывания. Таблица A.1 отражает рекомендации для анализа и определения важности соответствующих мер обеспечения безопасности.
Следует отметить, что таблица A.1 содержит лишь рекомендации. Могут существовать другие приемлемые меры обеспечения безопасности и другие стандарты, приведенные в последней графе таблицы A.1 ("дополнительная ссылка на другие вспомогательные стандарты ИСО/МЭК").
Таблица A.1
Перекрестные ссылки на модели развертывания облачных услуг
и соответствующие стандарты
Тип возможностей облака | Модель | Предмет информационной безопасности (7.2.1 в целом и 7.2.3, если указано) | Меры обеспечения безопасности по ИСО/МЭК 27002 | Дополнительная облачная информация или меры по ИСО/МЭК 27017 по сравнению с ИСО/МЭК 27002 | Конфиденциальность по ИСО/МЭК 27018 (приложение A) | Дополнительная ссылка на другие вспомогательные стандарты ИСО/МЭК |
Инфраструктура | Публичное облако | a) Меры обеспечения безопасности сети (включая доступ к сети) | 9.2.3, 9.2.5, 9.2.6, 12.6.1, 13.1.1, 13.1.2, 13.1.3 | 9.2.3, 13.1.3 | A.1.1, A.2.1, A.4.1, A.5.1, A.5.2, A.9.1 | 27032, 27033, 29115, 29003 |
Инфраструктура | Публичное облако | b) Меры обеспечения безопасности связи (включая криптографию) | 10.1.1, 10.1.2, 13.1.2, 13.2.3, 18.1.5 | 10.1.1, 18.1.5 | A.9.1 | 27033 |
Инфраструктура | Публичное облако | c) Меры обеспечения безопасности хранения (включая физическое хранение и безопасность в течение жизненного цикла) | 8.1.1, 8.1.2, 8.1.3, 8.3.2, 11.2.7, 17.2 | 8.1.1, 8.2.2, CLD.8.1.5 | A.1.1, A.4.1, A.5.1, A.5.2 | 27031, 27040 |
Инфраструктура | Публичное облако | d) Защита от вредоносных программ | 12.2.1 | Отсутствует | Отсутствует | Отсутствует |
Инфраструктура | Публичное облако | e) Мониторинг | 12.4.3, 12.4.4 | 12.4.4 | Отсутствует | 27033 |
Инфраструктура | Публичное облако | f) Управление производительностью | 12.1.3 | 12.1.3 | Отсутствует | Отсутствует |
Инфраструктура | Публичное облако | g) Управление идентификацией | Отсутствует | Отсутствует | A.1.1, A.2.1, A.4.1, A.5.1, A.5.2, A.9.1 | 24760, 29115, 29003 |
Инфраструктура | Публичное облако | h) Управление инцидентами | 16.1.1, 16.1.2, 16.1.4, 16.1.5, 16.1.6, 16.1.7 | 16.1.1, 16.1.7 | A.7.1, A.9.1 | 27035 |
Инфраструктура | Публичное облако | i) Установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования | 18.1.2 | 18.1.2 | A.1.1, A.7.1, A.9.1 | Отсутствует |
Платформа | Публичное облако | a) Меры обеспечения безопасности доступа (пользовательский и административный доступ как для облачных услуг, так и для поставщика облачных услуг) | 9.2.1, 9.2.2, 9.2.4, 9.3.1, 9.4.2, 9.4.3, 9.4.5 | 9.2.1, 9.2.2, 9.2.3, 9.2.4 | A.1.1, A.2.1, A.4.1, A.5.1, A.5.2, A.9.1 | 29115, 29003 |
Платформа | Публичное облако | b) Управление регистрациями | 12.4.1, 12.4.2 | 12.4.1 | A.1.1, A.2.1, A.5.1, A.5.2, A.9.1 | Отсутствует |
Платформа | Публичное облако | c) Контроль целостности операционной системы | 12.6.1 | Отсутствует | Отсутствует | Отсутствует |
Платформа | Публичное облако | d) Контроль за изменением операционной системы | 12.1.1, 12.1.2, 12.5.1, 14.2.2 | 12.1.2 | Отсутствует | Отсутствует |
Платформа | Публичное облако | e) Установление режима защиты прав интеллектуальной собственности потребителей облачных услуг в случае предоставления услуг резервного копирования | 18.1.2 | 18.1.2 | A.1.1, A.7.1, A.9.1 | Отсутствует |
Приложение | Публичное облако | a) Меры обеспечения безопасности доступа и прав пользователя | 9.4.1, 9.4.4 | 9.4.1, 9.4.4 | A.1.1, A.2.1, A.4.1, A.5.1, A.5.2, A.9.1 | 27032, 29115, 29003 |
Приложение | Публичное облако | b) Меры обеспечения безопасности изменений в приложении | 12.6.2 | 12.1.2 | A.2.1, A.7.1 | 27032 |
Приложение | Публичное облако | c) Управление использованием и передачей служб приложений | 14.1.2, 14.1.3 | 14.1.2, 14.1.3 | A.2.1, A.2.2, A.4.1, A.5.1, A.5.2, A.7.1 | 27032 |
Приложение | Публичное облако | 7.2.3 Управление разработкой приложений | 14.2.1, 14.2.4, 14.2.5, 14.2.6, 14.2.8, 14.2.9, 14.3.1 | 14.2.1 | A.2.1, A.7.1 | 27032, 27034 |
Подписаться на обновления