ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
9.4 Управление доступом к системам и приложениям
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.4).
9.4.1 Ограничение доступа к информации
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен обеспечить, чтобы доступ к информации облачной службы мог быть ограничен в соответствии с его политикой контроля доступа, а также чтобы такие ограничения были реализованы. Эти ограничения включают в себя ограничение доступа к облачным службам, функциям этих служб и данным потребителя облачных служб, которые хранятся в службе | Поставщик облачных служб должен предоставить средства контроля доступа, позволяющие потребителю служб ограничивать доступ к своим облачным службам, функциям служб и своим данным, которые хранятся в службе |
Дополнительная информация для облачных служб
Специфика среды облачных вычислений требует дополнительного управления доступом в некоторых областях. Например, в рамках облачных служб или функций службы в таком дополнительном управлении доступом могут нуждаться функции управления гипервизором и административные консоли.
9.4.2 Безопасные процедуры входа в систему
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.2.
9.4.3 Система управления паролями
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.3.
9.4.4 Использование привилегированных служебных программ
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.4. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Если использование утилит разрешено, потребитель облачных служб должен определить утилиты, которые будут использоваться в его среде облачных вычислений, и обеспечить, чтобы они не препятствовали работе средств управления облачной службы | Поставщик облачных служб должен определить требования к утилитам, используемым в рамках облачных служб. Поставщик облачных служб должен обеспечить, чтобы утилиты, способные обойти стандартные эксплуатационные процедуры или процедуры безопасности, использовались только уполномоченным на то персоналом, и чтобы использование таких программ регулярно проверялось |
9.4.5 Управление доступом к исходному коду программы
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.4.5.
Подписаться на обновления