БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

5 Политики информационной безопасности

 

5.1 Руководящие указания в части информационной безопасности

 

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 5.1).

 

5.1.1 Политики информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 5.1.1. Также применяются следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

 

Потребитель облачных служб

Поставщик облачных служб

Потребитель облачных служб должен определить отдельную политику, касающуюся вопросов ИБ в сфере облачных вычислений. Политика ИБ в сфере облачных вычислений должна соответствовать допустимым уровням рисков ИБ, принятым в организации в отношении информационных и других активов. При определении политики ИБ в сфере облачных вычислений потребитель облачной службы должен учитывать следующее:

- возможность доступа к информации, хранящейся в облачной среде, и управления ею со стороны поставщика облачных служб;

- возможность обслуживания активов в облачной среде, например прикладных программ;

- возможность выполнения процессов в многопользовательской виртуализированной облачной службе;

- пользователей облачных служб и среду, в которой они ее используют;

- администраторов облачных служб со стороны потребителя служб (доступ с привилегией);

- географическое расположение организации поставщика облачных служб и страны, в которых поставщик может хранить данные о потребителях облачных служб (даже временно)

Поставщик облачных служб должен дополнить свою политику ИБ с учетом вопросов обеспечения и использования облачных служб, учитывая следующее:

- базовые требования к ИБ, применимые к проектированию и внедрению облачной службы;

- риски, связанные с уполномоченными инсайдерами;

- многопользовательскую среду и изоляцию потребителей облачных служб (включая виртуализацию);

- доступ к активам потребителя облачных служб для сотрудников поставщика облачных служб;

- процедуры контроля доступа, например строгую аутентификацию для административного доступа к облачным службам;

- взаимодействие с потребителями облачных служб в процессе управления изменениями;

- безопасность виртуализации;

- доступ к данным потребителей облачных служб и их защиту;

- управление жизненным циклом учетных записей потребителей облачных служб;

- информирование о нарушениях и руководящие принципы в области обмена информацией для содействия в процессе расследований и криминалистических исследований

 

Дополнительная информация для облачных служб

Политика ИБ в сфере облачных вычислений приведена в пункте 5.1.1 ИСО/МЭК 27002 в качестве специализированной политики. Действие политики ИБ организации охватывает ее информационные и бизнес-процессы. Если организация становится потребителем облачных служб, она может определить соответствующую политику при использовании облачных вычислений. В среде облачных вычислений организация может хранить информацию или управлять бизнес-процессами. Требования политики в сфере облачных вычислений соответствуют общим требованиям к ИБ, изложенным в основной политике ИБ.

При этом политика ИБ для предоставления облачных служб охватывает только информационные и бизнес-процессы потребителя облачных служб и не охватывает информационные и бизнес-процессы поставщика облачных служб. Требования к ИБ для обеспечения облачных служб должны соответствовать требованиям потенциальных потребителей облачных служб. В результате такие требования могут не соответствовать требованиям к безопасности информационных и бизнес-процессов поставщика облачных служб. Область применения политики зачастую определяется соответственно с точки зрения службы, а не только организационной структурой или физическим местоположением.

Безопасность виртуализации в сфере облачных вычислений имеет несколько аспектов, включая в себя управление жизненным циклом экземпляров виртуальных машин, хранение и контроль доступа для виртуализированных образов, обработку неактивных или отключенных экземпляров ВМ, мгновенных снимков, защиту гипервизоров и средства управления безопасностью использования порталов самообслуживания.

5.1.2 Пересмотр политик информационной безопасности

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 5.1.2.

TelegramПодписаться на обновления
TOC