ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
18 Соответствие
18.1 Соответствие правовым и договорным требованиям
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 18.1).
18.1.1 Идентификация применимых законодательных и договорных требований
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен проанализировать возможность применимости законодательства и нормативно-правовых актов юрисдикций поставщика таких служб, помимо законодательства и правовых актов, непосредственно регулирующих деятельность потребителя облачных служб. Потребитель облачных служб запрашивает свидетельства выполнения своим поставщиком важных для потребителя требований соответствующих нормативно-правовых актов и стандартов. В качестве таких свидетельств могут служить сертификаты сторонних проверяющих организаций | Поставщик облачных служб должен информировать своего потребителя о требованиях правовой юрисдикции, регулирующих их предоставление. Поставщик облачных служб должен быть осведомлен о действующих в его отношении законодательных требованиях (например, о шифровании для защиты персональных данных). Эта информация должна предоставляться по запросу потребителя облачных служб. Поставщик облачных служб должен предоставить своему потребителю свидетельства выполнения требований действующего законодательства и договорных обязательств |
Дополнительная информация для облачных служб
Необходима осведомленность о законодательных и нормативных требованиях, действующих в отношении использования облачных служб, особенно в тех случаях, когда функции обработки, хранения и передачи данных географически распределены по нескольким юрисдикциям.
Следует отметить, что ответственность за соблюдение требований (как правовых, так и договорных) по-прежнему лежит на потребителе облачных услуг и не может быть переложена на поставщика облачных услуг.
18.1.2 Права на интеллектуальную собственность
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.2. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Установка лицензионного коммерческого программного обеспечения в облачной службе может приводить к нарушению условий лицензий. Потребитель облачных служб должен предусмотреть процедуру выяснения лицензионных требований в отношении облачных служб перед выдачей разрешения на установку лицензионного программного обеспечения в облачной среде. Особого внимания требуют гибкие и масштабируемые облачные среды, где программное обеспечение может использоваться на большем количестве систем или ядер процессоров, чем допускают условия лицензий | Поставщик облачных служб должен внедрить процесс реагирования на жалобы, касающиеся нарушений прав интеллектуальной собственности |
18.1.3 Защита записей
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.3. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб запрашивает у своего поставщика информацию о защите собираемых и хранимых им записей об использовании облачных служб потребителем | Поставщик облачных служб предоставляет потребителю этих служб информацию о защите собираемых и хранимых поставщиком записей об использовании облачных служб потребителем |
18.1.4 Конфиденциальность и защита персональных данных
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.4.
Дополнительная информация для облачных служб
В ИСО/МЭК 27018 содержится свод правил по защите персональных данных в публичных облаках, используемых для их обработки.
18.1.5 Регулирование криптографических мер обеспечения информационной безопасности
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 18.1.5. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен убедиться в том, что набор криптографических мер обеспечения ИБ, используемых при предоставлении облачных служб, соответствует действующим соглашениям, законодательным и нормативным требованиям | Поставщик облачных служб предоставляет своему потребителю описание реализованных им криптографических мер обеспечения ИБ для определения соответствия требованиям действующих соглашений, законодательных и нормативных актов |
Подписаться на обновления