ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг
Приложение B
(справочное)
СОПОСТАВЛЕНИЕ МЕР ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ НАСТОЯЩЕГО
СТАНДАРТА С МЕРАМИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПО ИСО/МЭК 27017
Настоящий стандарт связан с жизненным циклом облачных услуг. При применении мер обеспечения безопасности в соответствии с ИСО/МЭК 27017 в настоящем приложении содержатся рекомендации относительно того, когда в процессе жизненного цикла применяются меры обеспечения безопасности, а также в некоторых случаях, когда конкретные меры управления неприемлемы (см. таблицу B.1).
Таблица B.1
Сопоставление подразделов/пунктов настоящего стандарта
с разделами/подразделами ИСО/МЭК 27017
Настоящий стандарт | ИСО/МЭК 27017 (указано, если есть ссылка на ИСО/МЭК 27002) |
Раздел 6 Меры обеспечения информационной безопасности в жизненном цикле приобретения облачных услуг |
|
6.1 Процессы соглашения | Раздел 5 Политики информационной безопасности Раздел 6 Организация информационной безопасности Раздел 15 Взаимоотношения с поставщиками Раздел 18 Соответствие Приложение A, CLD.6.3 Взаимоотношения между потребителем облачных услуг и поставщиком облачных услуг |
6.1.1 Процесс приобретения | См. отражение в 6.1 |
6.1.2 Процесс поставки | См. отражение в 6.1 |
6.2 Процессы организационного обеспечения проекта | Нет |
6.3 Процессы проектов |
|
6.3.1 Процесс планирования проекта | Нет |
6.3.2 Процесс оценки и контроля проекта | Нет |
6.3.3 Процесс управления решениями | Нет |
6.3.4 Процесс управления рисками | Нет |
6.3.5 Процесс управления конфигурацией | 12.1.2 Управление изменениями (ссылка на ИСО/МЭК 27002) 14.2.2 Процедуры системы управления изменениями 12.1.5 Операционная безопасность администратора |
6.3.6 Процесс управления информацией | 8.2 Классификация информации 9.1 Требования бизнеса к контролю доступа 10 Криптография 12.3 Резервное копирование (ссылка на ИСО/МЭК 27002) 13.2.1 Политики и процедуры передачи информации |
6.3.7 Процесс измерения | Нет |
6.4 Технические процессы |
|
6.4.1 Процесс определения требований заинтересованных сторон | 14.1 Требования безопасности информационных систем |
6.4.2 Процесс анализа требований | 14.1 Требования безопасности информационных систем |
6.4.3 Процесс определения архитектуры | Нет |
6.4.4 Процесс реализации | 14.2 Безопасность в процессах разработки и поддержки |
6.4.5 Процесс комплексирования | 14.2 Безопасность в процессах разработки и поддержки |
6.4.6 Процесс верификации | 14.2 Безопасность в процессах разработки и поддержки (ссылка на ИСО/МЭК 27002) 14.3 Данные испытаний (ссылка на ИСО/МЭК 27002) |
6.4.7 Процесс передачи | 14.2.8 Тестирование безопасности системы |
6.4.8 Процесс валидации (аттестации) | 14.2 Безопасность в процессах разработки и поддержки (ссылка на ИСО/МЭК 27002) 14.3 Тестовые данные |
6.4.9 Процесс функционирования | 8 Управление активами 9 Контроль доступа 10 Криптография 12 Безопасность операций 13 Безопасность связи 16 Управление инцидентами в области информационной безопасности 17 Аспекты информационной безопасности в управлении непрерывностью бизнеса 18 Соответствие Приложение A: - CLD.9.5 Контроль доступа к данным потребителя облачных услуг в общей виртуальной среде; - CLD.9.5.2 Усиление виртуальных машин; - CLD.12.1.5 Операционная безопасность администратора; - CLD.12.4.5 Мониторинг облачных услуг; - CLD.13.1.4 Согласование управления безопасностью для виртуальных и физических сетей |
6.4.10 Процесс сопровождения | ИСО/МЭК 27002, 8.3 Работа со средствами массовой информации 13 Безопасность связи (ссылка на ИСО/МЭК 27002) 17 Аспекты информационной безопасности в управлении непрерывностью бизнеса |
6.4.11 Процесс изъятия и списания | 8 Управление активами (ссылка на ИСО/МЭК 27002) 13.2 Передача информации Приложение A, CLD.8.1.5 Удаление активов потребителей облачных услуг |
Подписаться на обновления