ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
Приложение А
(обязательное)
РАСШИРЕННЫЙ НАБОР МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ДЛЯ ОБЛАЧНЫХ СЛУЖБ
Это приложение является неотъемлемой частью настоящего стандарта.
В настоящем приложении содержится описание дополнительных мер обеспечения ИБ, а также рекомендации по их реализации, представляющие собой расширенный набор мер обеспечения ИБ для облачных служб. Представленные в настоящем приложении меры обеспечения ИБ не дублируют меры обеспечения ИБ, приведенные в ИСО/МЭК 27002.
Организации, желающие реализовать эти меры в СМИБ, отвечающей требованиям ИСО/МЭК 27001, должны включить в Положение о применимости (Statement of Applicability, SOA) меры обеспечения ИБ, указанные в настоящем приложении.
CLD.6.3 Взаимоотношения между потребителями и поставщиками облачных служб
Цель: разъяснение порядка взаимоотношений между потребителем и поставщиком облачных служб в контексте общих ролей и обязанностей с целью обеспечения ИБ. |
CLD.6.3.1 Общие роли и обязанности в среде облачных вычислений
Мера обеспечения ИБ
Необходимо разделение обязанностей между определенными сторонами в контексте общих ролей по обеспечению ИБ. Обязанности должны быть задокументированы, доведены до сведения потребителя и поставщика облачных служб и выполнены ими.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен определить или дополнить свои существующие политики и процедуры в соответствии со спецификой использования облачных служб, а также должен информировать пользователей облачных служб о своих ролях и обязанностях при использовании этих служб | Поставщик облачных служб должен задокументировать и сообщить о своих возможностях, ролях и обязанностях в области ИБ при использовании своих облачных служб, а также о ролях и обязанностях в сфере безопасности, которые потребитель облачных служб должен реализовать и контролировать в рамках собственного использования служб |
Дополнительная информация для облачных служб
В сфере облачных вычислений роли и обязанности, как правило, разделены между сотрудниками потребителя и сотрудниками поставщика облачных служб. При разделении ролей и обязанностей следует принимать во внимание данные и приложения потребителя облачных служб, хранителем которых является поставщик облачных служб.
CLD.8.1 Ответственность за активы
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 8.1).
CLD.8.1.5 Удаление активов клиента облачных служб
Мера обеспечения ИБ
Активы потребителя облачных служб, хранимые в помещениях поставщика таких служб, должны своевременно удаляться и при необходимости должны быть возвращены после прекращения действия соглашения об облачной службе.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб запрашивает документальное описание процесса прекращения обслуживания, включая процедуру возвращения и удаления облачных активов потребителя, в том числе удаления всех копий этих активов из систем поставщика облачных служб. Описание процесса прекращения обслуживания должно содержать список всех активов вместе с графиком прекращения обслуживания в установленные сроки | Поставщик облачных служб должен предоставить информацию о мерах, предпринятых для возвращения и удаления всех активов потребителя облачных служб после прекращения действия соглашения об их использовании. Порядок возврата и удаления активов отражается в соглашении и осуществляется в установленные сроки. В описании процесса прекращения обслуживания должны быть указаны все возвращаемые и удаляемые активы |
CLD.9.5 Контроль доступа к данным потребителя облачных служб в виртуальной среде совместного использования
Цель: снижение рисков ИБ в совместно используемой виртуальной среде облачных вычислений. |
CLD.9.5.1 Разделение в виртуальных вычислительных средах
Мера обеспечения ИБ
Виртуальная среда потребителя облачных служб, работающая в облачной среде, должна быть защищена от доступа со стороны других потребителей облачных служб и прочих пользователей, не имеющих соответствующих разрешений.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
(Дополнительные рекомендации по реализации не применяются) | Поставщик облачных служб должен обеспечить надлежащее логическое разделение данных потребителей облачных служб, виртуализированных приложений, операционных систем, хранилищ и сетей для решения следующих задач: - разделения ресурсов, используемых потребителями облачных служб в совместно арендуемых средах; - отделения внутренней административной инфраструктуры поставщика служб от ресурсов, используемых потребителями облачных служб. В совместно арендуемых облачных службах поставщик должен внедрить меры обеспечения ИБ для надлежащей изоляции ресурсов, используемых различными арендаторами. Поставщик облачных служб должен учитывать риски, связанные с запуском программного обеспечения, предоставляемого клиентом в рамках служб, предлагаемых поставщиком облачных служб |
Дополнительная информация для облачных служб
Реализация логического разделения зависит от технологий, применяемых для виртуализации:
- конфигурации сети и хранилища могут виртуализироваться в тех случаях, когда функция виртуализации ПО обеспечивает виртуальную среду (например, виртуальную операционную систему). Кроме этого, разделение потребителей облачных служб в средах с программной виртуализацией может быть спроектировано и реализовано с помощью программных функций;
- если информация потребителей облачных служб хранится в местах с общим физическим доступом и таблицей метаданных облачных служб, то изоляция информации от других потребителей облачных служб может быть реализована путем контроля доступа через таблицу метаданных.
Описание безопасной работы в совместно арендуемых средах с соответствующими инструкциями, которое содержится в ИСО/МЭК 27040, может применяться к облачным службам.
CLD.9.5.2 Защита виртуальных машин
Мера обеспечения ИБ
Чтобы удовлетворить потребности бизнеса, необходимо обеспечить защиту виртуальных машин в среде облачных вычислений.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
При настройке виртуальных машин потребители и поставщики облачных служб должны обеспечить защиту соответствующих аспектов (например, только тех портов, протоколов и служб, которые необходимы) и наличие соответствующих технических мер (например, средства противодействия вредоносному ПО, ведение журналов регистрации) для каждой используемой виртуальной машины | |
CLD.12.1 Эксплуатационные процедуры и обязанности
Применяется цель, указанная в ИСО/МЭК 27002 (подраздел. 12.1).
CLD.12.1.5 Безопасность операций администратора
Мера обеспечения ИБ
Необходимо определить, задокументировать и проверить процедуры, применяемые к административным операциям в облачных службах.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен отразить в документации процедуры для критически важных операций, сбой которых может нанести непоправимый ущерб облачной вычислительной среде. Примеры критически важных операций: - установка, модификация и удаление виртуализированных устройств, таких как серверы, сети и хранилища; - процедуры прекращения предоставления облачных служб; - резервное копирование и восстановление. В документе должно быть указано на необходимость контроля над этими операциями со стороны отдельного сотрудника | Поставщик облачных служб должен предоставить документацию о критически важных операциях и процедурах потребителям облачных служб, при необходимости |
Дополнительная информация для облачных служб
Преимуществом облачных вычислений является возможность быстрого обеспечения обслуживания и его администрирования, а также возможность предоставления услуг самообслуживания по запросу. Эти операции зачастую выполняются администраторами потребителя и поставщика облачных служб. Поскольку постороннее вмешательство в эти операции может приводить к серьезным инцидентам ИБ, необходимо рассмотреть процедуры защиты таких операций, а также разработать и реализовать эти процедуры при необходимости. Среди примеров таких серьезных инцидентов можно указать стирание или остановку работы большого количества виртуальных серверов или уничтожение виртуальных активов.
CLD.12.4 Регистрация и мониторинг
Применяется цель, указанная в ИСО/МЭК 27002 (подраздел 12.4).
CLD.12.4.5 Мониторинг облачных служб
Мера обеспечения ИБ
У потребителя облачных служб должна быть возможность отслеживать определенные аспекты работы используемых им облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб запрашивает у поставщика информацию о возможностях мониторинга обслуживания, поддерживаемых каждой облачной службой | Поставщик облачных служб должен обеспечить потребителю возможность мониторинга определенных аспектов работы служб, используемых потребителем. Например, возможность отслеживания использования облачной службы в качестве платформы для злонамеренных атак или утечек конфиденциальных данных из облачной службы. Использование функций мониторинга должно быть защищено средствами управления доступом. Эти средства должны обеспечивать доступ только к той информации, которая относится к собственным экземплярам облачных служб их потребителя. Поставщик облачных служб должен предоставить потребителю этих служб документацию о средствах мониторинга служб. В процессе мониторинга необходимо обеспечить возможность получения данных, сопоставимых с журналами событий (пункт 12.4.1) и содействующих выполнению условий соглашения об уровне обслуживания |
CLD.13.1 Безопасность связи
Применяется цель, указанная в ИСО/МЭК 27002 (подраздел 13.1).
CLD.13.1.4 Согласованность методов обеспечения безопасности виртуальных и физических сетей
Мера обеспечения ИБ
После конфигурирования виртуальных сетей необходимо проверить согласованность конфигураций виртуальных и физических сетей исходя из политики сетевой безопасности поставщика облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
(Дополнительные рекомендации по реализации не применяются) | Поставщик облачных служб должен разработать и отразить в документации политику ИБ в отношении настроек виртуальной сети в координации с политикой безопасности в отношении физической сети. Поставщик облачных служб должен убедиться в том, что конфигурация виртуальной сети соответствует политике ИБ, вне зависимости от средств, используемых для создания конфигурации |
Дополнительная информация для облачных служб
В среде облачных вычислений, построенной по технологии виртуализации, виртуальная сеть настраивается в виртуальной инфраструктуре физической сети. Несоответствие положений сетевых политик в таких средах может приводить к перебоям в работе систем или нарушению контроля доступа.
Примечание - В зависимости от типа облачных служб, обязанности по настройке виртуальной сети могут по-разному распределяться между потребителем и поставщиком облачных служб.
Подписаться на обновления