ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

Утвержден и введен в действие

Приказом Федерального

агентства по техническому

регулированию и метрологии

от 19 мая 2021 г. N 389-ст

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

ПРАВИЛА

ПРИМЕНЕНИЯ МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ НА ОСНОВЕ ИСО/МЭК 27002

ПРИ ИСПОЛЬЗОВАНИИ ОБЛАЧНЫХ СЛУЖБ

 

Information technology. Security techniques.

Code of practice for information security controls based

on ISO/IEC 27002 for cloud services

 

(ISO/IEC 27017:2015, IDT)

 

ГОСТ Р ИСО/МЭК 27017-2021

 

ОКС 35.040

 

Дата введения

30 ноября 2021 года

 

ОГЛАВЛЕНИЕ

 

• Предисловие
• Введение
• 1 Область применения
• 2 Нормативные ссылки
• 2.1 Идентичные стандарты, касающиеся облачных вычислений
• 2.2 Дополнительные ссылки
• 3 Термины, определения и сокращения
• 4 Концепции облачных вычислений
• 4.1 Обзор
• 4.2 Взаимоотношения с поставщиками облачных служб
• 4.3 Взаимоотношения между потребителями и поставщиками облачных служб
• 4.4 Управление рисками информационной безопасности в облачных службах
• 4.5 Структура стандарта
• 5 Политики информационной безопасности
• 6 Организация деятельности по информационной безопасности
• 6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
• 6.2 Мобильные устройства и дистанционная работа
• 7 Безопасность, связанная с персоналом
• 7.1 При приеме на работу
• 7.2 Во время работы
• 7.3 Увольнение и смена места работы
• 8 Менеджмент активов
• 8.1 Ответственность за активы
• 8.2 Категорирование информации
• 8.3 Обращение с носителями информации
• 9 Управление доступом
• 9.1 Требования бизнеса по управлению доступом
• 9.2 Процесс управления доступом пользователей
• 9.3 Ответственность пользователей
• 9.4 Управление доступом к системам и приложениям
• 10 Криптография
• 11 Физическая безопасность и защита от воздействия окружающей среды
• 11.1 Зоны безопасности
• 11.2 Оборудование
• 12 Безопасность при эксплуатации
• 12.1 Эксплуатационные процедуры и обязанности
• 12.2 Защита от вредоносных программ
• 12.3 Резервное копирование
• 12.4 Регистрация и мониторинг
• 12.5 Контроль программного обеспечения, находящегося в эксплуатации
• 12.6 Менеджмент технических уязвимостей
• 12.7 Особенности аудита информационных систем
• 13 Безопасность коммуникаций
• 13.1 Менеджмент информационной безопасности сетей
• 13.2 Передача информации
• 14 Приобретение, разработка и поддержка систем
• 14.1 Требования к безопасности информационных систем
• 14.2 Безопасность в процессах разработки и поддержки
• 14.3 Тестовые данные
• 15 Взаимоотношения с поставщиками
• 15.1 Информационная безопасность во взаимоотношениях с поставщиками
• 15.2 Управление услугами, предоставляемыми поставщиком
• 16 Менеджмент инцидентов информационной безопасности
• 17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
• 17.1 Непрерывность информационной безопасности
• 17.2 Резервирование оборудования
• 18 Соответствие
• 18.1 Соответствие правовым и договорным требованиям
• 18.2 Проверки информационной безопасности
• Приложение А. Расширенный набор мер обеспечения информационной безопасности для облачных служб
• Приложение В. Ссылки на документы, касающиеся рисков информационной безопасности, связанных с облачными вычислениями
• Приложение ДА. Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам
• Библиография