ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

6.5 Обзор части 4: Рекомендации по обеспечению безопасности облачных услуг

Организации используют услуги облачных вычислений, чтобы воспользоваться преимуществами положительного эффекта от масштаба, обеспечиваемого гибкими возможностями по оказанию услуг обработки и хранения. Эти возможности доступны благодаря модели использования или модели на основе полезности. Облачные вычисления могут предоставляться в различных моделях предоставления облачных услуг, например в IaaS, PaaS и SaaS. Однако это ведет к возникновению рисков в области информационной безопасности, связанных с более сложной взаимосвязанностью систем приобретающей стороны и поставщика. Как и в случае с рисками в области информационной безопасности в цепи поставок ИКТ, существует возможность отсутствия ясности в отношении ролей и обязанностей по управлению информационной безопасностью и осуществлению контроля.

Например, если информация при рабочих нагрузках облачных вычислений пересекает национальные границы или клиент облачной услуги не может контролировать предоставление облачной услуги, это может привести к рискам нарушения требований, законодательных или иных нормативных правовых актов со стороны любой приобретающей стороны или поставщика. Кроме того, мульти-аренда и использование технологий (например, виртуализация и прикладные программные интерфейсы), может привести к новым рискам в области информационной безопасности и обеспечения конфиденциальности облачных заказчиков в результате неадекватного контроля доступа и отсутствия разделения заказчиков облачных услуг.

Часть 4 ИСО/МЭК 27036 содержит руководящие принципы информационной безопасности облачных вычислительных услуг, которые часто предоставляются по цепи поставок с точки зрения как приобретающей стороны, так и поставщика таких услуг. В частности, она включает в себя управление рисками в области информационной безопасности, связанными с облачными вычислительными услугами на протяжении всего жизненного цикла отношений с поставщиками. Она основывается на требованиях, изложенных в части 2, и содержит дополнительные методы, которые могут дополнить требования высокого уровня, содержащиеся в части 2, и рекомендации, содержащиеся в части 3.