ISO/IEC 27017:2015 - стандарт безопасности, разработанный для поставщиков и пользователей облачных услуг
ISO/IEC 27017:2015 – стандарт, который обеспечивает последовательный и комплексный подход к информационной безопасности для компаний, которые используют облачные сервисы. ISO 27017 дополняет рекомендации ISO 27002 и ISO 27001, так как содержит руководство по внедрению и дополнительные элементы управления, которые характерны именно для облачных сервисов.
ISO 27017 не является стандартом системы управления, в отличие от ISO 27001, и отдельно пройти сертификацию по нему нельзя. Но в процессе сертификации ISO 27001 дополнительно можно пройти и ISO 27017. Чтобы это сделать, необходимо включить дополнительные элементы управления. Расширение области применения ISO 27001, чтобы охватить элементы управления по ISO 27017, позволит получить сертификацию, подтверждающую соответствие этому стандарту.
Области ISO/IEC 27017:2015.
ISO/IEC 27017:2015 является международным стандартом, который расширяет стандарт ISO/IEC 27001:2013 на область облачных услуг. Он определяет меры безопасности, которые необходимо принять при использовании облачных услуг для обеспечения конфиденциальности, доступности и целостности информации. Вот основные области стандарта ISO/IEC 27017:2015:
Область применения и цели стандарта. Она устанавливает, что стандарт применяется к организациям, использующим облачные услуги, а также провайдерам облачных услуг. Целью стандарта является обеспечение безопасности информации при использовании облачных услуг и установление принципов безопасности, которые должны быть применены.
Политика безопасности. Эта политика должна определять общие цели безопасности информации, требования к безопасности и риски, связанные с использованием облачных услуг. Она также должна включать меры по защите информации, обеспечению конфиденциальности, доступности и целостности данных.
Управление рисками. Организации должны проводить анализ рисков и определять соответствующие меры по управлению рисками, чтобы обеспечить адекватную защиту информации в облачных услугах. Это включает оценку рисков, выбор подходящих контрольных мер и регулярное мониторинг и обновление этих мер.
Физическая и окружающая среда. Она указывает на необходимость обеспечения физической безопасности, включая защиту от несанкционированного доступа, вредоносной программы и физических угроз. Организации должны также принимать меры для обеспечения безопасности окружающей среды, включая защиту от пожара, наводнений и других опасностей.
Управление и обработка данных. Необходимость обеспечения конфиденциальности, целостности и доступности данных, хранящихся и передаваемых в облачной среде. Организации должны устанавливать соответствующие контроли и процедуры для защиты данных от несанкционированного доступа, изменений и потерь. Это включает меры по шифрованию данных, управлению доступом, резервному копированию и восстановлению информации.
Идентификация и аутентификация. Требуется принятия мер для подтверждения личности пользователей и обеспечения их аутентичности при доступе к облачным ресурсам. Организации должны реализовывать сильные методы аутентификации, такие как двухфакторная аутентификация или биометрические данные, для защиты от несанкционированного доступа.
Управление операциями. Она указывает на необходимость установления процедур и мер по мониторингу и регистрации событий, обеспечению надлежащего управления изменениями, резервному копированию и восстановлению данных, а также управлению инцидентами безопасности. Организации должны иметь установленные процессы для эффективного управления операциями и реагирования на потенциальные угрозы безопасности.
Коммуникации и обмен информацией. Указывает на необходимость защиты конфиденциальности и целостности информации при ее передаче между пользователями и облачными провайдерами. Организации должны принимать меры для шифрования коммуникаций, защиты от несанкционированного доступа и обеспечения безопасного обмена информацией.
Мониторинг, анализ и оценка. Эта область требует установления мер по регулярному мониторингу и оценке эффективности принятых мер безопасности, а также проведения анализа рисков и корректировки политики и процедур при необходимости.
Какие элементы управления есть в ISO/IEC 27017:2015?
Стандарт содержит руководство по 37 средствам управления, основываясь на ISO 27002. Помимо этого он включает в себя 7 дополнительных средств управления:
- Разделение обязанности в среде облачных вычислений;
- Защита вычислительной среды заказчика от его других данных;
- Усиление виртуальных машин для удовлетворения бизнес-требований;
- Операционная безопасность администратора;
- Предоставление клиентам возможности мониторинга их деятельности в сфере облачных вычислений;
- Согласование управления безопасностью для физических и виртуальных сетей.
Зачем внедрять ISO/IEC 27017:2015?
Компаниям, занимающимся облачными услугами, важно показать своим клиентам, что организация делает всё возможное, чтобы свести к минимуму риск утечки данных. Внедрение ISO/IEC 27017:2015 позволит снизить вероятность утечки и повысит доверие клиентов, так как будет демонстрировать ваше внимание к информационной безопасности, используя новейшие методы защиты.
Помимо этого получение этого стандарта поможет решить и другие вопросы, например, безопасное использование информации, её удаление после расторжения контракта, безопасность виртуальной среды клиента.
Заключение
Если ваша организация является поставщиком облачных услуг или использует облачное хранилище для своих операций, то ISO/IEC 27017:2015 необходимо внедрить, чтобы снизить потенциальные угрозы безопасности и предоставить защищённый облачный сервис.
Клиенты с большей вероятностью будут работать с вашей организацией, если они уверены в безопасной обработке своих данных, ведь сертификация ISO/IEC 27017:2015 гарантирует клиентам, что их данные защищены. Помимо этого стандарт поможет вам защитить свою репутацию. Компаниям, занимающимся облачными услугами, важно показать своим клиентам, что организация делает всё возможное, чтобы свести к минимуму риск утечки данных.
Если вы хотите соответствовать стандарту ISO/IEC 27017:2015, обращайтесь в Изи Штандарт. Мы поможем вам более эффективно внедрить и соблюдать нормативные требования.
Читайте также