ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
15 Взаимоотношения с поставщиками
15.1 Информационная безопасность во взаимоотношениях с поставщиками
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 15.1).
15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен отразить поставщика в своей политике ИБ во взаимоотношениях с поставщиками. Это поможет снизить риски, связанные с доступом поставщика облачных служб к данным их потребителя и управлением такими данными | (Дополнительные рекомендации по реализации не применяются) |
15.1.2 Рассмотрение вопросов безопасности в соглашениях с поставщиками
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен утвердить роли и обязанности в области ИБ в связи с облачными службами согласно условиям соглашения о службе. Речь может идти о следующих процессах: - защита от вредоносного программного обеспечения; - резервное копирование; - криптографические средства защиты информации; - управление уязвимостями; - управление инцидентами; - проверка технического соответствия; - тестирование безопасности; - аудит; - сбор, хранение и защита свидетельств, в том числе журналов и документов аудита; - защита информации после прекращения действия соглашения об обслуживании; - аутентификация и контроль доступа; - идентификация и управление доступом | В рамках соглашения поставщик облачных служб должен указать меры обеспечения ИБ, направленные на устранение возможных недоразумений между поставщиком и потребителем облачных служб. Реализуемые поставщиком облачных служб меры обеспечения ИБ могут варьироваться в зависимости от типа службы, используемой потребителем |
15.1.3 Цепочка поставок информационно-телекоммуникационных технологий
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 15.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
(Дополнительные рекомендации по реализации не применяются) | Если поставщик облачных служб использует облачные службы других поставщиков, от него требуется реализация мер обеспечения ИБ, которые по меньшей мере соответствуют уровню ИБ потребителей этих облачных служб. Если поставщик предоставляет облачные службы на базе цепочки поставок, такой поставщик должен обозначить задачи в области ИБ для своих поставщиков и требовать от каждого из них выполнения мероприятий по управлению рисками для осуществления этих задач |
Подписаться на обновления