ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

Потребитель облачных служб

Поставщик облачных служб

Потребитель облачных служб запрашивает у своего поставщика документальные свидетельства по реализации мер обеспечения ИБ облачных служб, заявляемых поставщиком служб. Среди прочего, такие свидетельства могут включать в себя сертификаты соответствия действующим стандартам

Поставщик облачных служб должен предоставить потребителю этих служб документальные свидетельства реализации заявленных им мер обеспечения ИБ. В тех случаях, когда проведение отдельного аудита потребителем облачных служб не представляется целесообразным или может повысить риск ИБ, поставщик облачных служб должен обеспечить независимые свидетельства реализации мер обеспечения ИБ в соответствии с политиками и процедурами поставщика облачных служб. Эти свидетельства должны предоставляться потенциальным потребителям облачных служб до заключения договора. В качестве независимого аудита должен использоваться приемлемый на усмотрение поставщика облачных служб метод оценки его операций с учетом интересов потребителей и при условии обеспечения достаточной прозрачности. В тех случаях, когда проведение независимого аудита представляется нецелесообразным, поставщик облачных служб должен провести проверку своих собственных операций, обеспечив прозрачность ее процедуры и результатов для потребителей облачных служб