ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

4.4 Управление рисками информационной безопасности в облачных службах

 

Потребители и поставщики облачных служб должны внедрить процессы управления рисками ИБ. Для получения информации о требованиях к управлению рисками в системах менеджмента информационной безопасности (СМИБ) рекомендуется обратиться к ИСО/МЭК 27001, а для получения дополнительного руководства по менеджменту рисков ИБ - к ИСО/МЭК 27005. Для общего понимания менеджмента рисков следует обратиться к ИСО 31000, положения которого соответствуют положениям ИСО/МЭК 27001 и ИСО/МЭК 27005.

В отличие от общей применимости процессов управления рисками ИБ, для технологии облачных вычислений характерны отдельные типы источников риска, в том числе угрозы и уязвимости, связанные с функциональными особенностями этой технологии, такими как сетевое взаимодействие, масштабируемость и эластичность систем, совместное обеспечение услуг, системы самообслуживания, администрирование по требованию, обеспечение услуг между юрисдикциями и ограниченная видимость процессов реализации мер обеспечения ИБ.

В приложении В приводятся ссылки, в которых содержится информация о таких источниках риска и соответствующих рисках при обеспечении и использовании облачных служб.

Меры обеспечения ИБ, касающиеся конкретных источников рисков облачных вычислений, и рекомендации по их реализации приведены в разделах 5 - 18 и приложении А.