ISO/IEC 27017
ISO/IEC 27017 — это международный стандарт, разработанный совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который устанавливает руководящие принципы и практические рекомендации по управлению информационной безопасностью в облачных вычислениях. Стандарт является расширением семейства стандартов ISO/IEC 27000, в частности, он дополняет требования ISO/IEC 27001 и рекомендации ISO/IEC 27002 применительно к облачным сервисам. Официальное полное название документа — «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью для облачных услуг на основе ISO/IEC 27002» (Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services). Первая редакция стандарта была опубликована в 2015 году.
История и разработка
Разработка ISO/IEC 27017 была инициирована в ответ на стремительный рост рынка облачных вычислений и связанные с этим риски информационной безопасности. Традиционные стандарты, такие как ISO/IEC 27001, не учитывали специфику облачной модели, где ответственность за безопасность распределяется между поставщиком облачных услуг (CSP — Cloud Service Provider) и клиентом. Работа над стандартом велась подкомитетом SC 27 (Security techniques) объединённого технического комитета ISO/IEC JTC 1. В процессе участвовали эксперты из более чем 30 стран, включая представителей России, США, Великобритании, Германии и Японии. Первая версия стандарта была опубликована в 2015 году, а в 2021 году вышло второе издание (ISO/IEC 27017:2021), которое актуализировало рекомендации с учётом изменений в технологиях и нормативной базе.
Структура и содержание
Стандарт ISO/IEC 27017 состоит из двух основных частей: введения, описывающего принципы облачных вычислений, и основной части, содержащей конкретные меры контроля. Всего в документе определено 37 мер контроля, из которых 7 являются уникальными для облачных услуг, а 30 — адаптированными из ISO/IEC 27002.
Уникальные меры контроля для облачных услуг
Эти меры направлены на устранение рисков, характерных исключительно для облачной модели:
- Ответственность за безопасность (Control 1.1): Чёткое разграничение обязанностей между поставщиком и клиентом по управлению активами, мониторингу и реагированию на инциденты.
- Управление виртуальными средами (Control 2.1): Обеспечение изоляции виртуальных машин, гипервизоров и сетей, а также контроль за миграцией данных между физическими серверами.
- Управление доступом к облачным ресурсам (Control 3.1): Использование многофакторной аутентификации, ролевых моделей доступа и автоматическое отключение неактивных сессий.
- Защита данных в облаке (Control 4.1): Шифрование данных в состоянии покоя и при передаче, а также управление ключами шифрования, включая возможность использования клиентских ключей.
- Обработка инцидентов (Control 5.1): Разработка совместных процедур для обнаружения, анализа и устранения инцидентов, включая уведомление клиента о нарушениях.
- Управление конфигурацией (Control 6.1): Автоматизация проверки конфигураций облачных сервисов на соответствие политикам безопасности.
- Аудит и мониторинг (Control 7.1): Обеспечение прозрачности действий поставщика через журналы аудита, доступные клиенту, и регулярные независимые проверки.
Адаптированные меры контроля
Остальные 30 мер взяты из ISO/IEC 27002, но с учётом облачной специфики. Например, политика управления паролями (адаптированная мера 9.2.1) дополняется требованием к поставщику поддерживать возможность смены паролей клиентом без участия CSP. Управление активами (адаптированная мера 8.1.1) требует от клиента вести учёт только тех данных, которые он размещает, а не инфраструктуры провайдера.
Применение и сертификация
ISO/IEC 27017 не является самостоятельным стандартом для сертификации. Он используется как дополнение к ISO/IEC 27001. Организация может пройти сертификацию по ISO/IEC 27001, а затем, в рамках аудита, продемонстрировать соответствие требованиям ISO/IEC 27017 для облачных услуг. В России сертификация по данному стандарту проводится аккредитованными органами, такими как «Ростест-Москва» и «Интерсертифика». На практике стандарт применяется:
- Поставщиками облачных услуг (например, Яндекс.Облако, VK Cloud, Selectel) для построения систем управления безопасностью и демонстрации клиентам соответствия международным требованиям.
- Клиентами облачных услуг (государственные учреждения, банки, операторы персональных данных) для оценки рисков при выборе провайдера и составления договоров (SLA — Service Level Agreement).
- Аудиторами для проверки выполнения мер контроля при проведении внешних и внутренних аудитов.
Сравнение с другими стандартами
ISO/IEC 27017 тесно связан с другими стандартами семейства:
- ISO/IEC 27001 — устанавливает требования к системе менеджмента информационной безопасности (СМИБ). ISO/IEC 27017 конкретизирует, как эти требования применять в облаке.
- ISO/IEC 27002 — содержит общий перечень мер контроля. ISO/IEC 27017 адаптирует их для облачных услуг.
- ISO/IEC 27018 — фокусируется на защите персональных данных в облаке, в то время как ISO/IEC 27017 охватывает более широкий спектр рисков, включая безопасность инфраструктуры и управления доступом.
- ISO/IEC 27701 — расширение для управления конфиденциальностью информации, включая облачные среды.
Критика и ограничения
Несмотря на широкое признание, стандарт имеет ряд недостатков. Во-первых, он не учитывает особенности мультиоблачных и гибридных сред, где взаимодействие между несколькими провайдерами усложняет разграничение ответственности. Во-вторых, некоторые меры контроля (например, управление виртуальными средами) требуют от поставщика раскрытия технических деталей, что может противоречить коммерческой тайне. В-третьих, стандарт не содержит конкретных технических спецификаций (например, алгоритмов шифрования), что оставляет пространство для интерпретаций. Кроме того, в России применение ISO/IEC 27017 осложняется требованиями Федерального закона № 152-ФЗ «О персональных данных», который предписывает хранение данных на территории РФ, что не всегда совместимо с глобальными облачными сервисами.
Значение и перспективы
ISO/IEC 27017 является одним из ключевых инструментов для обеспечения доверия к облачным вычислениям. В условиях роста популярности облачных сервисов в России (по данным Минцифры, в 2023 году объём рынка облачных услуг вырос на 30%) стандарт помогает организациям минимизировать риски утечек данных и несанкционированного доступа. Ожидается, что в будущем стандарт будет дополнен требованиями к искусственному интеллекту в облаке и квантовой безопасности, а также интегрирован с национальными стандартами, такими как ГОСТ Р ИСО/МЭК 27017.
Источники
- ISO/IEC 27017:2021 «Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services».
- ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
- ГОСТ Р ИСО/МЭК 27017-2021 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью для облачных услуг на основе ИСО/МЭК 27002».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Отчёт Минцифры России «Развитие рынка облачных услуг в Российской Федерации в 2023 году», 2024.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →