ИСО/МЭК 27017
ISO/IEC 27017 — это стандарт безопасности, разработанный для поставщиков и пользователей облачных услуг, чтобы сделать облачную среду более безопасной и снизить риск возникновения проблем с безопасностью. [1] Он был опубликован Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) в рамках совместного подкомитета ISO и IEC ISO/IEC JTC 1/SC 27 . [2] Он является частью семейства стандартов ISO/IEC 27000 , стандартов, которые предоставляют рекомендации по передовой практике управления информационной безопасностью . Этот стандарт был основан на ISO/IEC 27002 и предлагает дополнительные меры безопасности для облака, которые не были полностью определены в ISO/IEC 27002.
Этот международный стандарт предоставляет рекомендации, поддерживающие реализацию мер информационной безопасности для клиентов облачных услуг, которые реализуют меры контроля, и поставщиков облачных услуг для поддержки реализации этих мер безопасности. [3] Выбор соответствующих мер информационной безопасности и применение предоставленных рекомендаций по реализации будут зависеть от оценки рисков и любых юридических, договорных, нормативных или других требований информационной безопасности, специфичных для облачного сектора. [4]
Что предусматривает стандарт?
[ редактировать ]ISO/IEC 27017 предоставляет рекомендации по мерам информационной безопасности, применимым к использованию облачных сервисов, предоставляя дополнительное руководство по реализации для 37 мер, указанных в ISO/IEC 27002, и 7 дополнительных мер, связанных с облачными сервисами, которые касаются следующего:
- Кто за что несет ответственность между поставщиком облачных услуг и клиентом облачных услуг.
- Удаление или возврат активов по окончании контракта.
- Защита и разделение виртуальной среды заказчика.
- Конфигурация виртуальной машины.
- Административные операции и процедуры, связанные с облачной средой.
- Облачный мониторинг активности клиентов.
- Согласование виртуальной и облачной сетевой среды. [5]
Структура стандарта
[ редактировать ]Официальное название стандарта — «Информационные технологии. Методы обеспечения безопасности. Кодекс практики управления информационной безопасностью на основе ISO/IEC 27002 для облачных сервисов».ISO/IEC 27017:2015 состоит из восемнадцати разделов плюс длинное приложение, которое охватывает:
- 1. Область применения
- 2. Нормативные ссылки
- 3. Определения и сокращения
- 4. Концепции, специфичные для облачного сектора
- 5. Политика информационной безопасности
- 6. Организация информационной безопасности
- 7. Безопасность человеческих ресурсов
- 8. Управление активами
- 9. Контроль доступа
- 10. Криптография
- 11. Физическая и экологическая безопасность
- 12. Безопасность операций
- 13. Безопасность связи
- 14. Приобретение, разработка и обслуживание системы
- 15. Отношения с поставщиками
- 16. Управление инцидентами информационной безопасности
- 17. Аспекты информационной безопасности управления непрерывностью бизнеса
- 18. Соответствие
Ссылки
[ редактировать ]- ^ «BS EN ISO/IEC 27001:2017 – Что такое ISO 27017?» . www.tuvsud.com . Проверено 8 марта 2020 г.
- ^ «ISO/IEC 27017:2015 [ISO/IEC 27017:2015] Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению информационной безопасностью на основе ISO/IEC 27002 для облачных сервисов» . Международная организация по стандартизации . Проверено 8 марта 2020 г.
- ^ «ISO/IEC 27017:2015(en) Введение» . www.businesswire.com . бизнес-провод . Проверено 9 марта 2020 г.
- ^ «ISO/IEC 27017:2015(en) Введение» . www.iso.org . Международная организация по стандартизации . Проверено 8 марта 2020 г.
- ^ «ИСО/МЭК 27017» . www.bsigroup.com . Группа компаний БСИ . Проверено 8 марта 2020 г.