ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

12 Безопасность при эксплуатации

 

12.1 Эксплуатационные процедуры и обязанности

 

Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 12.1).

12.1.1 Документально оформленные эксплуатационные процедуры

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.1.

12.1.2 Процесс управления изменениями

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

 

Потребитель облачных служб

Поставщик облачных служб

В процессе управления изменениями потребитель облачных служб должен учитывать любые изменения, вносимые поставщиком облачных служб

Поставщик облачных служб должен предоставить потребителю облачных служб информацию об изменениях в облачных службах с возможными отрицательными последствиями. Следующая информация может помочь потребителю облачных служб определить последствия изменения для ИБ: - категории изменений; - запланированные дату и время изменений; - технические параметры изменений облачных служб и базовых систем; - уведомление о начале и завершении внесения изменений. Если поставщик облачных служб предлагает службу, зависящую от другого поставщика облачных служб, то поставщик такой службы должен уведомлять потребителя этой службы об изменениях, связанных со сторонним поставщиком этой облачной службы

 

Дополнительная информация для облачных служб

Список параметров, которые должны содержаться в уведомлении, может быть включен в соглашение, например основное соглашение о службе или соглашение об уровне обслуживания (SLA).

12.1.3 Управление производительностью

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.

Рекомендации по реализации для облачных служб

 

Потребитель облачных служб	Поставщик облачных служб
Потребитель облачных служб должен обеспечить соответствие производительности облачных служб требованиям потребителя облачных служб. Потребитель облачных служб должен отслеживать использование служб и формировать прогноз требуемой производительности для обеспечения надлежащей производительности облачных служб в течение определенного периода времени	Поставщик облачных служб должен отслеживать общий объем ресурсов с целью предотвращения инцидентов ИБ, вызванных недостатком ресурсов

 

Дополнительная информация для облачных служб

В облачных службах задействуются ресурсы, контролируемые поставщиком облачных служб и предоставляемые потребителю на условиях основного соглашения о службе и соответствующего соглашения об уровне обслуживания. К таким ресурсам относятся программное обеспечение, аппаратное обеспечение, хранилище данных и возможности сетевого подключения.

Гибкое, масштабируемое выделение ресурсов по запросу в рамках облачных служб, как правило, повышает производительность службы. При этом потребителю облачных служб следует знать о возможных ограничениях предоставляемых ресурсов. Примерами ограничений в отношении ресурсов могут быть количество ядер процессора для приложения, объем доступного хранилища или производительность сети.

Ограничения могут быть разными, в зависимости от конкретной облачной службы или типа абонентского обслуживания, приобретаемого потребителем облачной службы. При наличии у потребителя службы требований, превосходящих существующие ограничения, потребителю необходимо сменить облачную службу или тип абонентского обслуживания.

Для управления производительностью облачных служб их потребителю необходим доступ к соответствующей статистике использования ресурсов, например:

- статистике за определенные периоды времени;

- максимальным уровням использования ресурсов.

12.1.4 Разделение сред разработки, тестирования и эксплуатации

Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 12.1.4.