ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
10 Криптография
10.1 Средства криптографической защиты информации <1>
--------------------------------
<1> Применение средств криптографической защиты информации осуществляется в соответствии с законодательством Российской Федерации.
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 10.1).
10.1.1 Политика использования средств криптографической защиты информации
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 10.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен реализовать криптографические средства защиты информации для использования облачных служб, если это оправдано проведенным анализом рисков. Эти меры должны быть достаточно эффективными для устранения выявленных рисков, независимо от того, предоставляются ли эти меры и средства потребителем или поставщиком облачных служб. Если поставщик облачных служб предлагает криптографические средства защиты информации, потребитель облачных служб должен проанализировать информацию, предоставленную поставщиком, чтобы убедиться, что эти меры: - соответствуют требованиям политики потребителя облачных служб; - совместимы с другими криптографическими средствами защиты информации, используемыми потребителем облачных служб; - применимы к данным в состоянии покоя и при передаче в облачную службу, из нее и в рамках нее | Поставщик облачных служб должен предоставить потребителю этих служб информацию об обстоятельствах, при которых он использует криптографические средства защиты обрабатываемой им информации. Поставщик облачных служб также должен предоставить потребителю служб информацию о предоставляемых им возможностях, которые могут помочь потребителю облачных служб в применении собственных криптографических средств защиты информации |
Дополнительная информация для облачных служб
В некоторых юрисдикциях применение криптографических средств защиты информации может быть обязательным для определенных видов информации, таких как медицинские данные, регистрационные номера резидентов, номера паспортов и водительских прав.
10.1.2 Управление ключами
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 10.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен определить криптографические ключи для каждой облачной службы и реализовать процедуры управления ими. Если облачная служба предоставляет функции управления ключами для использования потребителем, то потребитель должен запросить следующую информацию о процедурах, используемых для управления ключами, связанными с этой службой: - типы ключей; - спецификации системы управления ключами, включая процедуры на каждом этапе жизненного цикла ключа, т.е. генерирование, изменение или обновление, хранение, удаление, извлечение, сохранение и уничтожение; - рекомендуемые процедуры управления ключами для использования потребителем облачных служб. Если потребитель облачной службы использует собственную систему управления ключами или отдельную службу управления ключами, то потребитель облачной службы не должен давать поставщику этой службы разрешение на хранение ключей шифрования для криптографических операций и управление ими | (Дополнительные рекомендации по реализации не применяются) |
Подписаться на обновления