ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
6 Организация деятельности по информационной безопасности
6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 6.1).
6.1.1 Роли и обязанности по обеспечению информационной безопасности
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен согласовать с поставщиком облачных служб соответствующее разделение ролей и обязанностей в области ИБ и подтвердить, что он может исполнять назначенные ему роли и обязанности. Роли по обеспечению ИБ и обязанности обеих сторон должны быть задокументированы в соглашении. Потребитель облачных служб должен определить порядок взаимодействия с функцией клиентской поддержки и обслуживания поставщика облачных служб и управлять этим взаимодействием | Поставщик облачных служб должен согласовать и задокументировать соответствующее разделение ролей и обязанностей по обеспечению ИБ со своими потребителями облачных служб, поставщиками облачных служб и другими поставщиками |
Дополнительная информация для облачных служб
Хотя обязанности определяются взаимоотношениями сторон, ответственность за решение об использовании облачных служб несет потребитель. Такое решение должно приниматься в соответствии с ролями и обязанностями, определенными в организации потребителя облачных служб. Поставщик облачных служб несет ответственность за обеспечение ИБ, предусмотренной в соглашении о предоставлении облачной службы. Реализация и обеспечение ИБ должны осуществляться в соответствии с ролями и обязанностями, определенными в организации поставщика облачных служб.
Неоднозначность в определении ролей, а также в определении и разделении обязанностей, связанных с такими вопросами, как владение данными, управление доступом и обслуживание инфраструктуры, могут привести к возникновению коммерческих и юридических споров, особенно при работе с третьими сторонами.
Данные и файлы в системах поставщика облачных служб, создаваемые или изменяемые в процессе использования облачных служб, могут иметь решающее значение для обеспечения безопасной и бесперебойной работы службы, а также ее восстановления в случае сбоев. Права собственности на все активы, а также стороны, ответственные за соответствующие операции, такие как резервное копирование и восстановление данных, должны быть определены и задокументированы. В противном случае существует риск утечки данных в результате того, что поставщик облачных служб будет полагать, что эти критически важные задачи выполняет потребитель облачных служб (или наоборот).
6.1.2 Разделение обязанностей
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.2.
6.1.3 Взаимодействие с органами власти
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен определить инстанции, имеющие отношение к совместным операциям потребителя и поставщика облачных служб | Поставщик облачных служб должен информировать потребителя облачных служб о географическом расположении организации поставщика облачных служб и странах, в которых поставщик может хранить данные потребителя облачных служб |
Дополнительная информация для облачных служб
Информация о географическом расположении мест, в которых могут храниться, обрабатываться или передаваться данные потребителя облачных служб, может помочь ему в определении контролирующих инстанций и юрисдикций.
6.1.4 Взаимодействие с профессиональными сообществами
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.4.
6.1.5 Информационная безопасность при управлении проектом
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 6.1.5.
Подписаться на обновления