Блог

ISO/IEC 27017: практическое руководство по сертификации облачной безопасности

ISO/IEC 27017 – надстройка к ISO/IEC 27001/27002 для облачных сервисов. Она уточняет меры ИБ применительно к облаку и добавляет облачно-специфичные контроли (CLD). Ниже – что именно проверяют, как проходит аудит и какой пакет доказательств готовить.
Видео – визуальное дополнение к этой статье.

Дополнительные контроли ISO/IEC 27017: что смотрят и чем доказать

CLD.6.3.1 – Роли и ответственность

Что требует: фиксированная модель разделения ответственности «облако/в облаке» между CSP и клиентом.
Артефакты: например, SLA/договор с секцией security, матрица RACI, регламенты эскалации, информирование персонала.
Ошибка: роли «по умолчанию» без закрепления в документах.

CLD.8.1.5 – Возврат/удаление активов клиента

Что требует: процедура деактивации: возврат данных или безопасное уничтожение (включая бэкапы).
Артефакты: например, регламент offboarding, акты wipe, подтверждение удаления резервных копий, чек-лист шагов.
Ошибка: удалили прод, забыли про архивы/снапшоты.

CLD.9.5.1 – Изоляция в виртуальной среде

Что требует: логическая/физическая сегрегация клиентов и защита гипервизора.
Артефакты: например, схемы VPC/VNet, правила FW/NSG, политики east-west, результаты тестов на «прорыв» из VM.
Ошибка: единый плоский сегмент для нескольких сред (dev/test/prod).

CLD.9.5.2 – Hardening виртуальных машин

Что требует: стандартизованные безопасные конфигурации и регулярные патчи.
Артефакты: например, базовые образы (baseline), чек-листы отключённых служб/портов, отчёты vuln-менеджмента, policy-compliance (например, Azure Policy/AWS Config).
Ошибка: «золотой» образ без процедуры актуализации.

CLD.12.1.5 – Безопасность администрирования

Что требует: безопасные операции администраторов и прозрачность критичных процедур.
Артефакты: например, MFA и сегрегация привилегий, журналы действий админов + их регулярный обзор, описание процессов резервного копирования/обновлений/расследований (по запросу клиента).
Ошибка: «break-glass» доступы без логов и пост-анализа.

CLD.12.4.5 – Мониторинг и журналы

Что требует: доступ клиента к журналам активности и телеметрии.
Артефакты: например, включённые CloudTrail / Azure Monitor & Log Analytics / Cloud Audit Logs, интеграция с SIEM, правила корреляции и примеры алёртов, политика хранения логов.
Ошибка: логи есть, но недоступны аудитору и не покрывают админские действия.

CLD.13.1.4 – Согласованность сетевой безопасности

Что требует: принципы on-prem сети повторяются в облаке.
Артефакты: например, мэппинг зон безопасности на облачные подсети, единые FW-правила, централизованное управление (VPN/SD-WAN), отчёты сверки настроек с корпоративными стандартами.
Ошибка: «облако живёт отдельно», политики расходятся.
Оставить заявку

Процесс сертификации: от области до надзора

Шаг 1. Определение области. Какие облачные сервисы/процессы входят, кто владелец СМИБ, график работ с органом по сертификации.
Шаг 2. Gap-анализ и документация. Обновляем политики, методику оценки рисков для облака (также для некоторых компаний договоры с CSP, SoA с CLD-контролями).
Шаг 3. Внедрение и внутренний аудит. Настраиваем журналирование, сегментацию, hardening, удаление данных; собираем артефакты; по необходимости – предаудит.
Шаг 4. Stage 1. Проверка готовности документов: политики, риски, SoA, договорные пункты, процедуры.
Шаг 5. Stage 2. Проверка практики: выборка логов, интервью админов, конфигурации сети/доступов, акты удаления/возврата данных.
Шаг 6. Сертификат и надзор. Сертификат ISO/IEC 27001 с указанием 27017 (обычно на 3 года) + ежегодные надзорные аудиты и цикл непрерывного улучшения.

Документы и доказательства: что подготовить заранее

СМИБ с фокусом на облако

Политика ИБ с разделом про облако, классификация облачных данных, роли и порядок эскалации.

Оценка рисков и план обработки

Риски мультиарендности, нарушения изоляции, утечки через публичные сервисы; меры снижения с привязкой, например, к CLD.

Statement of Applicability (SoA)

Полный перечень применимых контролей 27001/27002 +, например, CLD (CLD 6.3.1–13.1.4), обоснование исключений, ссылки на процедуры и настройки.

Процедуры cloud-security

Управление доступом и учётными записями (MFA, ключи API, секреты), реагирование на инциденты (каналы с CSP, сроки уведомлений), шифрование/бэкапы.

Договорные и юридические гарантии

Пункты в договоре/SLA: удаление/возврат данных (CLD 8.1.5), доступ к журналам и содействие расследованиям (CLD 12.4.5), уведомления о нарушениях, (при необходимости) соответствие ISO/IEC 27 018.

Технические артефакты (покажите «что реально работает»)

Например, выгрузки логов и интеграция с SIEM, отчёты DR/backup-restore, схемы виртуальных сетей и FW/NSG, отчёты по hardening и уязвимостям, результаты пентестов, обучение сотрудников.
Быстрый чек-лист к Stage 2: SoA с CLD → журналы и дашборды → акты удаления/возврата данных → схемы сети и доступов → DR-отчёты → протоколы обзора действий админов.

Для кого и зачем

  • Провайдерам и дата-центрам – как формальное подтверждение зрелости безопасности для энтерпрайз-клиентов.
  • Крупным пользователям облака (SaaS/IaaS/PaaS) – когда критичные процессы и данные в публичном облаке и клиенты/тендеры требуют внешнего подтверждения.

Типичные ошибки и как их избежать

  • SoA без CLD-контролей. Добавьте CLD 6.3.1−13.1.4 с обоснованием применимости.
  • Нет актов удаления данных. Введите обязательные акты wipe и контроль удаления бэкапов.
  • Логи есть, практики нет. Настройте регулярный обзор журнальных записей и хранение по политике.
  • Разрыв on-prem и облака. Сведите политики и управление в единый контур (VPN/SD-WAN, единые правила FW).
  • Образы «застыли». Утвердите цикл обновления baseline и контроль соответствия.
ISO/IEC 27017 делает вашу СМИБ «облако-готовой»: закрепляет роли, повышает прозрачность и снижает риски мультиарендности. Рабочая формула успеха — чёткая область → полный SoA с CLD → реальные настройки и логи → дисциплина по удалению данных → Stage ½ → надзор и улучшения. На выходе — сертификат ISO/IEC 27001 с указанием соответствия 27017, который ускоряет продажи и упрощает тендеры.
Оставить заявку

Q&A

«Стандарт ISO/IEC 27017 является…» чем именно для бизнеса?

По сути – практическим руководством по облачной безопасности. Он не заменяет 27001, а «приземляет» его к облаку: кто за что отвечает (CSP vs клиент), как удалять/возвращать данные, как изолировать арендаторов, как вести журналы и давать клиенту доступ к телеметрии. Для бизнеса это быстрее проходящие аудиты, меньше инцидентов «из-за облака» и понятные требования к поставщикам.

Можно ли сертифицироваться «по ISO/IEC 27017 отдельно»?

Отдельной «чистой» сертификации по ISO/IEC 27017 обычно нет: сертификат выдаётся по ISO/IEC 27001 с пометкой о применении ISO/IEC 27017. На практике орган по сертификации проводит аудит по стандарту ISO/IEC 27001 (Stage 1/2) и параллельно проверяет выполнение CLD-контролей. Результат – сертификат 27001 + указание 27017 (и/или приложение).

Где взять PDF ISO/IEC 27017:2015 и что можно использовать в работе?

Актуальный текст стандарта распространяется на платной основе на сайтах ISO, IEC; бесплатных «легальных PDF» обычно нет. Для работы используйте официальный экземпляр и внутренние выжимки (SoA-маппинг, чек-листы), а также открытые гайды провайдеров (Azure/AWS/GCP) по маппингу контролей. В статьях и процедурах цитируйте кратко, со ссылкой на пункт и без перепечатки полного текста.
2025-08-25 11:43 IT Памятка клиенту