БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

5 Основные понятия облака, угрозы и риски в области безопасности

 

5.1 Характеристика облачных вычислений

Согласно определению облачных вычислений в основе типов возможностей облака и категорий облачных услуг лежит ряд технологий (таких, как виртуализация серверов и сервис-ориентированная архитектура), которые позволяют предоставлять услуги. Эти облачные услуги обычно используют общие ресурсы, в которые поставщик может перемещать информацию потребителя облачных услуг и обрабатывать ее для того, чтобы обеспечить наиболее эффективное обслуживание при минимальных затратах.

В ИСО/МЭК 17788 определены три типа возможностей облака, которые обычно используются совместно многими потребителями облачных услуг в отношениях с поставщиками:

a) тип возможностей приложений;

b) тип возможностей инфраструктуры;

c) тип возможностей платформы.

В серии стандартов ИСО/МЭК 27036 термин "приобретающая сторона" используется для обозначения заинтересованной стороны, которая приобретает продукцию или услугу у другой стороны и организации; термин "поставщик" используется для обозначения физического лица, которое заключает с приобретающей стороной соглашение о поставке продукции или услуги соответственно. В настоящем стандарте термины "потребитель облачных услуг" (для приобретающей стороны) и "поставщик облачных услуг" используются для разграничения ролей в отношениях и выделения конкретных ролей, относящихся к облачным услугам.

Существуют различия и сходства в процессе приобретения между моделями развертывания публичного облака и аутсорсингом информационных и коммуникационных технологий (ИКТ), как показано на рисунке 1. Ниже показаны различия между использованием облачных услуг, основанных на модели развертывания публичного облака, и другими информационными услугами:

a) облачная услуга обычно стандартизирована с ограниченной гибкостью для настройки;

b) поставщик облачных услуг предоставляет потребителям облачных услуг заранее определенные меры обеспечения информационной безопасности;

c) поставщик облачных услуг, как правило, не соглашается с аудитом, проводимым по индивидуальным требованиям потребителя;

d) информационная безопасность потребителя облачных услуг зависит от способности поставщика реализовать информационную безопасность в облачной услуге для потребителя;

e) поставщик предлагает услугу потребителю облачных услуг по заранее определенному соглашению, которое будет использоваться без изменений.

Для гибридных или частных моделей развертывания облачных услуг эти утверждения могут оказаться неприменимыми и могут иметь место возможность согласования предоставляемой услуги и меры обеспечения информационной безопасности, которые должны быть реализованы, а также соглашения об использовании облачных услуг.

 

ГОСТ Р ИСО/МЭК 27036-4-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

 

Рисунок 1 - Различия и сходства между аутсорсингом ИКТ

и моделями развертывания публичного облака

TelegramПодписаться на обновления
TOC