Вы – облачный провайдер, разработчик SaaS, поставщик IaaS или PaaS. У вас есть ISO/IEC 27001:2022, система менеджмента информационной безопасности, 93 контроля из Приложения А. Но этого может быть недостаточно для облачного бизнеса.
ISO/IEC 27001 разработан в 2005 году, когда облачные технологии только зарождались. Он не учитывает в полной мере модель разделённой ответственности между провайдером и клиентом, изоляцию виртуальных сред, процедуры удаления данных при завершении контракта.
ISO/IEC 27017:2015 и ISO/IEC 27018:2025 – это дополнения к ISO/IEC 27001, разработанные специально для облачных технологий. Первый фокусируется на безопасности облачных сервисов, второй – на защите персональных данных в публичных облаках.
В этой статье разбираемся, какие специфические риски покрывают ISO/IEC 27017 и 27018, и как эти сертификаты влияют на результаты тендеров и доверие корпоративных клиентов.
Видео – визуальное дополнение к этой статье.
Облачные риски, которые требуют специализированных контролей
59% всех утечек данных происходят через третьих лиц – подрядчиков, облачные сервисы и поставщиков инфраструктуры. Количество атак на облачную инфраструктуру выросло на 87% в 2024 году.
Большинство инцидентов происходит не из-за прямых взломов:
ISO/IEC 27001 включает контроль облачных сервисов (контроль 5.23 в версии 2022 года), однако даёт общие рамки без детализации специфики облачных технологий. Организация может выявить и покрыть эти риски в рамках ISO/IEC 27001, но стандарт не предоставляет готовых практик и конкретных указаний для облачной среды.
Пример: инцидент из-за «серой зоны» ответственности
В 2021 году у крупного облачного провайдера из-за ошибки конфигурации гипервизора клиент, А получил доступ к виртуальному диску клиента Б. Компрометация 15 000 записей персональных данных.
Причина: нечёткое распределение ответственности за настройку изоляции между виртуальными средами. Провайдер считал, что это обязанность клиента. Клиент полагал, что это входит в услугу.
ISO/IEC 27017 и ISO/IEC 27018 закрывают облачную специфику
Что знают немногие
ISO/IEC 27017:2015 и ISO/IEC 27018:2025 – это НЕ отдельные стандарты. Это дополнения к ISO/IEC 27001, разработанные специально для облачных технологий.
ISO/IEC 27017:2015 – практики по контролям информационной безопасности:
- 7 дополнительных контролей для облачной специфики
- 37 уточнений существующих контролей ISO/IEC 27 002
- Фокус на модели разделённой ответственности
ISO/IEC 27018:2025 – практики по защите персонально идентифицируемой информации (ПИИ) в публичных облаках:
- Международный стандарт защиты персональных данных в облаке
- Соответствует принципам Общего регламента по защите данных (GDPR)
- Конкретные обязательства поставщиков облачных услуг
Что совпадает с ISO/IEC 27001:
- Базовые принципы безопасности
- Риск-ориентированный подход
- Структура менеджмента
О различиях:
«ISO/IEC 27001 обеспечивает фундамент информационной безопасности. ISO/IEC 27017 добавляет облачную специфику. ISO/IEC 27018 фокусируется на правах субъектов данных и обязательствах провайдера как обработчика персональных данных. Вместе они создают комплексную защиту для облачных услуг.»
7 ключевых контролей ISO/IEC 27017
1. Разграничение обязанностей (CLD.6.3.1)
Документирует, кто отвечает за безопасность на каждом уровне. Например, в SaaS: провайдер обеспечивает инфраструктуру и защиту от утери данных, клиент – управление пользователями и настройками.
2. Удаление или возврат активов клиента (CLD.8.1.5)
Регламентированные процедуры формата возврата данных (машиночитаемый), сроков удаления после завершения работ, подтверждения уничтожения, криптографическое стирание.
3. Разделение среды виртуализации (CLD.9.5.1)
Учитываются технические меры изоляции. Например, логическая изоляция виртуальных машин, сегментация сетевого трафика, раздельное хранилище, тестирование изоляции.
4. Административные операции (CLD.12.1.5)
Контроль действий администраторов провайдера по требованиям стандарта основывается на журналировании всех операций, принципе наименьших привилегий, одобрении критических изменений, аудите доступа.
5. Мониторинг облачных сервисов (CLD.12.4.5)
- централизованное журналирование
- предоставление логов клиентам
- алерты о подозрительной активности
- хранение логов минимум 12 месяцев
6. Согласование виртуальных и физических сетей (CLD.13.1.4)
- микросегментация
- виртуальные брандмауэры
- изоляция трафика между клиентами
- защита от атак между виртуальными машинами
7. Резервное копирование в облаке (CLD.9.2.6)
- географически распределённые копии
- шифрование резервных копий
- тестирование восстановления
- независимость от основной инфраструктуры
4 ключевых требования ISO/IEC 27018
1. Прозрачность хранения и обработки
Клиенты должны знать географическое местоположение всех дата-центров с указанием стран, список субподрядчиков, имеющих доступ к персональным данным, уведомление об изменениях за 30 дней.
2. Запрет на использование данных для маркетинга
Запрещено без согласия:
- использование клиентских данных для рекламы
- профилирование пользователей
- агрегация и анализ для собственных целей
- передача третьим лицам для маркетинга
3. Контроль над жизненным циклом данных
Права клиента:
- экспорт данных в машиночитаемом формате в течение 30 дней
- гарантированное удаление в течение 30 дней с подтверждением
- помощь в миграции к другому провайдеру без технических препятствий
4. Аудит и проверки
Права клиента:
- проведение аудита процессов обработки (ежегодно)
- запрос документации по безопасности
- независимые проверки соответствия
- доступ к результатам сертификационных аудитов
Что добавляют ISO/IEC 27017/27018 к ISO/IEC 27001
Кейс провайдера дата-центров
Компания: Крупный провайдер дата-центров и облачных услуг
Стандарты: ISO/IEC 27001, ISO/IEC 27017:2015, ISO/IEC 27018:2025
Результаты после сертификации:
Ключевой инсайт: До получения ISO/IEC 27017/27018 три крупных банка не рассматривали эту компанию как потенциального поставщика именно из-за отсутствия специализированных облачных сертификатов в тендерных требованиях.
Цитата директора центра киберзащиты:
«Стандарты ISO/IEC 27017 и 27018 – одни из немногих документов, регулирующих обеспечение информационной безопасности для облачных сервисов. Получив данные сертификаты, мы гарантируем нашим заказчикам безопасность облачных сервисов и сохранность их персональных данных на уровне мировых практик».
Красные флаги: когда нужно действовать
Пора начинать подготовку, если:
- Клиенты начали спрашивать про ISO/IEC 27017/27018
- В тендерах всё чаще появляются эти стандарты в требованиях
- Планируете выход на рынок ЕС или работу с международными партнёрами
- Основной конкурент получил эти сертификаты
- Произошёл инцидент безопасности в облачной среде
- Запускаете новый облачный продукт или планируете массовую миграцию
Заключение
ISO/IEC 27017/27018 – не «галочки», а системные улучшения. К 2027 году эти стандарты станут де-факто обязательными для облачных провайдеров, работающих с корпоративным сегментом и государственным сектором.
В 2025 году это уже не просто маркетинговое заявление – это конкурентная необходимость.
Q&A
Зачем ISO/IEC 27017/27018, если уже есть ISO/IEC 27001:2022?
ISO/IEC 27001 задаёт требования к ISMS, но не детализирует облачную специфику. 27017 даёт практические указания и облачные допконтроли поверх 27002, а 27018 – защиту персональных данных в публичном облаке, когда провайдер выступает обработчиком (PII processor). Вместе они закрывают «модель разделённой ответственности», изоляцию, возврат/удаление данных и пр.
Как ISO/IEC 27018 соотносится с новым контролем ISO 27001:2022 A.5.23 «Использование облачных сервисов»?
A.5.23 требует формально управлять жизненным циклом облачных сервисов (требования, выбор, эксплуатация, выход). 27017/27018 дают детальную реализацию этого контроля и связанных областей (журналы, админдоступ, изоляция, обработка персональных данных).
Актуальные версии стандартов ISO/IEC 27017 и 27018 на сегодня?
27017: действующая редакция ISO/IEC 27017:2015 (идёт пересмотр – статус DIS 27017).
27018: новая редакция ISO/IEC 27018:2025 (взамен 27018:2019).
ISO/IEC 27001 задаёт требования к ISMS, но не детализирует облачную специфику. 27017 даёт практические указания и облачные допконтроли поверх 27002, а 27018 – защиту персональных данных в публичном облаке, когда провайдер выступает обработчиком (PII processor). Вместе они закрывают «модель разделённой ответственности», изоляцию, возврат/удаление данных и пр.
Как ISO/IEC 27018 соотносится с новым контролем ISO 27001:2022 A.5.23 «Использование облачных сервисов»?
A.5.23 требует формально управлять жизненным циклом облачных сервисов (требования, выбор, эксплуатация, выход). 27017/27018 дают детальную реализацию этого контроля и связанных областей (журналы, админдоступ, изоляция, обработка персональных данных).
Актуальные версии стандартов ISO/IEC 27017 и 27018 на сегодня?
27017: действующая редакция ISO/IEC 27017:2015 (идёт пересмотр – статус DIS 27017).
27018: новая редакция ISO/IEC 27018:2025 (взамен 27018:2019).