ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

4.2 Взаимоотношения с поставщиками облачных служб

 

В разделе 15 "Взаимоотношения с поставщиками" ИСО/МЭК 27002 приведены меры обеспечения ИБ, рекомендации по их реализации и дополнительная информация по управлению ИБ в рамках взаимоотношений с поставщиком. Обеспечение и использование облачных служб представляет собой такие отношения с поставщиком, в которых потребитель облачных служб выступает в качестве приобретателя, а поставщик облачных служб - в качестве поставщика. Таким образом, указанный раздел распространяется на потребителей и поставщиков облачных служб.

Потребители и поставщики облачных служб могут формировать целые цепочки поставок. Например, один поставщик облачных служб предоставляет определенный тип возможностей облака, например тип возможностей инфраструктуры. При этом другой поставщик облачных служб может предоставить другой тип возможностей облака, например тип возможностей приложения. В этом случае второй поставщик является потребителем облачных служб по отношению к первому и поставщиком облачных служб - по отношению к потребителю облачных служб, использующему эту службу. Приведенный пример описывает ситуацию, когда настоящий стандарт применим как к организации, выступающей потребителем, так к поставщику облачных служб. Поскольку потребители и поставщики облачных служб образуют цепочку поставок посредством проектирования и реализации облачных служб, могут быть применимы положения пункта 15.1.3 "Цепочка поставок информационно-коммуникационных технологий" ИСО/МЭК 27002.

ИСО/МЭК 27036 (все части) "Информационная безопасность во взаимоотношениях с поставщиками" содержит подробное руководство по обеспечению ИБ во взаимоотношениях с поставщиком, которое может быть применено как для потребителя, так и для поставщика товаров и услуг. ИСО/МЭК 27036-4 непосредственно касается вопросов безопасности облачных служб в рамках взаимоотношений с поставщиками. Указанный стандарт также применим к потребителям облачных служб, выступающим в качестве приобретателей, и поставщикам облачных служб, выступающим в качестве поставщиков.