ISO/IEC 27017 – надстройка к ISO/IEC 27001/27002 для облачных сервисов. Она уточняет меры ИБ применительно к облаку и добавляет облачно-специфичные контроли (CLD). Ниже – что именно проверяют, как проходит аудит и какой пакет доказательств готовить.
Видео – визуальное дополнение к этой статье.
Дополнительные контроли ISO/IEC 27017: что смотрят и чем доказать
CLD.6.3.1 – Роли и ответственность
Что требует: фиксированная модель разделения ответственности «облако/в облаке» между CSP и клиентом.
Артефакты: например, SLA/договор с секцией security, матрица RACI, регламенты эскалации, информирование персонала.
Ошибка: роли «по умолчанию» без закрепления в документах.
CLD.8.1.5 – Возврат/удаление активов клиента
Что требует: процедура деактивации: возврат данных или безопасное уничтожение (включая бэкапы).
Артефакты: например, регламент offboarding, акты wipe, подтверждение удаления резервных копий, чек-лист шагов.
Ошибка: удалили прод, забыли про архивы/снапшоты.
CLD.9.5.1 – Изоляция в виртуальной среде
Что требует: логическая/физическая сегрегация клиентов и защита гипервизора.
Артефакты: например, схемы VPC/VNet, правила FW/NSG, политики east-west, результаты тестов на «прорыв» из VM.
Ошибка: единый плоский сегмент для нескольких сред (dev/test/prod).
CLD.9.5.2 – Hardening виртуальных машин
Что требует: стандартизованные безопасные конфигурации и регулярные патчи.
Артефакты: например, базовые образы (baseline), чек-листы отключённых служб/портов, отчёты vuln-менеджмента, policy-compliance (например, Azure Policy/AWS Config).
Ошибка: «золотой» образ без процедуры актуализации.
CLD.12.1.5 – Безопасность администрирования
Что требует: безопасные операции администраторов и прозрачность критичных процедур.
Артефакты: например, MFA и сегрегация привилегий, журналы действий админов + их регулярный обзор, описание процессов резервного копирования/обновлений/расследований (по запросу клиента).
Ошибка: «break-glass» доступы без логов и пост-анализа.
CLD.12.4.5 – Мониторинг и журналы
Что требует: доступ клиента к журналам активности и телеметрии.
Артефакты: например, включённые CloudTrail / Azure Monitor & Log Analytics / Cloud Audit Logs, интеграция с SIEM, правила корреляции и примеры алёртов, политика хранения логов.
Ошибка: логи есть, но недоступны аудитору и не покрывают админские действия.
CLD.13.1.4 – Согласованность сетевой безопасности
Что требует: принципы on-prem сети повторяются в облаке.
Артефакты: например, мэппинг зон безопасности на облачные подсети, единые FW-правила, централизованное управление (VPN/SD-WAN), отчёты сверки настроек с корпоративными стандартами.
Ошибка: «облако живёт отдельно», политики расходятся.
Процесс сертификации: от области до надзора
Шаг 1. Определение области. Какие облачные сервисы/процессы входят, кто владелец СМИБ, график работ с органом по сертификации.
Шаг 2. Gap-анализ и документация. Обновляем политики, методику оценки рисков для облака (также для некоторых компаний договоры с CSP, SoA с CLD-контролями).
Шаг 3. Внедрение и внутренний аудит. Настраиваем журналирование, сегментацию, hardening, удаление данных; собираем артефакты; по необходимости – предаудит.
Шаг 4. Stage 1. Проверка готовности документов: политики, риски, SoA, договорные пункты, процедуры.
Шаг 5. Stage 2. Проверка практики: выборка логов, интервью админов, конфигурации сети/доступов, акты удаления/возврата данных.
Шаг 6. Сертификат и надзор. Сертификат ISO/IEC 27001 с указанием 27017 (обычно на 3 года) + ежегодные надзорные аудиты и цикл непрерывного улучшения.
Документы и доказательства: что подготовить заранее
СМИБ с фокусом на облако
Политика ИБ с разделом про облако, классификация облачных данных, роли и порядок эскалации.
Оценка рисков и план обработки
Риски мультиарендности, нарушения изоляции, утечки через публичные сервисы; меры снижения с привязкой, например, к CLD.
Statement of Applicability (SoA)
Полный перечень применимых контролей 27001/27002 +, например, CLD (CLD 6.3.1–13.1.4), обоснование исключений, ссылки на процедуры и настройки.
Процедуры cloud-security
Управление доступом и учётными записями (MFA, ключи API, секреты), реагирование на инциденты (каналы с CSP, сроки уведомлений), шифрование/бэкапы.
Договорные и юридические гарантии
Пункты в договоре/SLA: удаление/возврат данных (CLD 8.1.5), доступ к журналам и содействие расследованиям (CLD 12.4.5), уведомления о нарушениях, (при необходимости) соответствие ISO/IEC 27 018.
Технические артефакты (покажите «что реально работает»)
Например, выгрузки логов и интеграция с SIEM, отчёты DR/backup-restore, схемы виртуальных сетей и FW/NSG, отчёты по hardening и уязвимостям, результаты пентестов, обучение сотрудников.
Быстрый чек-лист к Stage 2: SoA с CLD → журналы и дашборды → акты удаления/возврата данных → схемы сети и доступов → DR-отчёты → протоколы обзора действий админов.
Для кого и зачем
- Провайдерам и дата-центрам – как формальное подтверждение зрелости безопасности для энтерпрайз-клиентов.
- Крупным пользователям облака (SaaS/IaaS/PaaS) – когда критичные процессы и данные в публичном облаке и клиенты/тендеры требуют внешнего подтверждения.
Типичные ошибки и как их избежать
- SoA без CLD-контролей. Добавьте CLD 6.3.1−13.1.4 с обоснованием применимости.
- Нет актов удаления данных. Введите обязательные акты wipe и контроль удаления бэкапов.
- Логи есть, практики нет. Настройте регулярный обзор журнальных записей и хранение по политике.
- Разрыв on-prem и облака. Сведите политики и управление в единый контур (VPN/SD-WAN, единые правила FW).
- Образы «застыли». Утвердите цикл обновления baseline и контроль соответствия.
ISO/IEC 27017 делает вашу СМИБ «облако-готовой»: закрепляет роли, повышает прозрачность и снижает риски мультиарендности. Рабочая формула успеха — чёткая область → полный SoA с CLD → реальные настройки и логи → дисциплина по удалению данных → Stage ½ → надзор и улучшения. На выходе — сертификат ISO/IEC 27001 с указанием соответствия 27017, который ускоряет продажи и упрощает тендеры.
Q&A
«Стандарт ISO/IEC 27017 является…» чем именно для бизнеса?
По сути – практическим руководством по облачной безопасности. Он не заменяет 27001, а «приземляет» его к облаку: кто за что отвечает (CSP vs клиент), как удалять/возвращать данные, как изолировать арендаторов, как вести журналы и давать клиенту доступ к телеметрии. Для бизнеса это быстрее проходящие аудиты, меньше инцидентов «из-за облака» и понятные требования к поставщикам.
Можно ли сертифицироваться «по ISO/IEC 27017 отдельно»?
Отдельной «чистой» сертификации по ISO/IEC 27017 обычно нет: сертификат выдаётся по ISO/IEC 27001 с пометкой о применении ISO/IEC 27017. На практике орган по сертификации проводит аудит по стандарту ISO/IEC 27001 (Stage 1/2) и параллельно проверяет выполнение CLD-контролей. Результат – сертификат 27001 + указание 27017 (и/или приложение).
Где взять PDF ISO/IEC 27017:2015 и что можно использовать в работе?
Актуальный текст стандарта распространяется на платной основе на сайтах ISO, IEC; бесплатных «легальных PDF» обычно нет. Для работы используйте официальный экземпляр и внутренние выжимки (SoA-маппинг, чек-листы), а также открытые гайды провайдеров (Azure/AWS/GCP) по маппингу контролей. В статьях и процедурах цитируйте кратко, со ссылкой на пункт и без перепечатки полного текста.
По сути – практическим руководством по облачной безопасности. Он не заменяет 27001, а «приземляет» его к облаку: кто за что отвечает (CSP vs клиент), как удалять/возвращать данные, как изолировать арендаторов, как вести журналы и давать клиенту доступ к телеметрии. Для бизнеса это быстрее проходящие аудиты, меньше инцидентов «из-за облака» и понятные требования к поставщикам.
Можно ли сертифицироваться «по ISO/IEC 27017 отдельно»?
Отдельной «чистой» сертификации по ISO/IEC 27017 обычно нет: сертификат выдаётся по ISO/IEC 27001 с пометкой о применении ISO/IEC 27017. На практике орган по сертификации проводит аудит по стандарту ISO/IEC 27001 (Stage 1/2) и параллельно проверяет выполнение CLD-контролей. Результат – сертификат 27001 + указание 27017 (и/или приложение).
Где взять PDF ISO/IEC 27017:2015 и что можно использовать в работе?
Актуальный текст стандарта распространяется на платной основе на сайтах ISO, IEC; бесплатных «легальных PDF» обычно нет. Для работы используйте официальный экземпляр и внутренние выжимки (SoA-маппинг, чек-листы), а также открытые гайды провайдеров (Azure/AWS/GCP) по маппингу контролей. В статьях и процедурах цитируйте кратко, со ссылкой на пункт и без перепечатки полного текста.