ДСТУ ISO/IEC 27017:2017 Информационные технологии. Методы защиты. Свод практик относительно мер информационной безопасности, основанных на ISO/IEC 27002, для облачных услуг (ISO/IEC 27017:2015, IDT)

Данный документ доступнен в тарифе «ВСЕ ВКЛЮЧЕНО»

У Вас есть вопросы по документу? Мы рады на них ответить!Перечень бесплатных документовОбнаружили ошибку в документе или на сайте? Пожалуйста, напишите нам об этом!Оставить заявку на документ


НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ
Звід практик стосовно заходів інформаційної безпеки,
що ґрунтуються на ISO/IEC 27002,
для хмарних послуг

ДСТУ ISO/IEC 27017:2017
(ISO/IEC 27017:2015, IDT)

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП "УкрНДНЦ" http://uas.org.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20), Міжнародний науково-навчальний центр інформаційних технологій і систем

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 19 грудня 2017 № 428 з 2019–01–01

3 Національний стандарт відповідає ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services (Інформаційні технології. Методи захисту. Звід практик стосовно заходів інформаційної безпеки, що ґрунтуються на ISO/IEC 27002, для хмарних послуг)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (en)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 27017:2016 (ISO/IEC 27017:2015, IDT)

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 27017:2015

1 Сфера застосування

2 Нормативні посилання

2.1 Ідентичні стандарти

2.2 Додаткові нормативні посилання

3 Визначення понять та скорочення

3.1 Терміни, визначені в інших документах

3.2 Скорочення

4 Концепції, призначені лише для сектора хмарних обчислень

4.1 Загальний огляд

4.2 Взаємовідносини з постачальниками для хмарних послуг

4.3 Взаємовідносини між споживачами та провайдерами хмарних послуг

4.4 Керування ризиками інформаційної безпеки у хмарних послугах

4.5 Структура цього стандарту

5 Політики інформаційної безпеки

5.1 Принципи керування інформаційною безпекою

6 Організація інформаційної безпеки

6.1 Внутрішня організація

6.2 Мобільне обладнання та віддалена робота

7 Безпека людських ресурсів

7.1 Перед наймом

7.2 Протягом найму

7.3 Припинення чи зміна умов найму

8 Керування ресурсами

8.1 Відповідальність за ресурси

8.2 Класифікація інформації

8.3 Поводження з носіями інформації

9 Контроль доступу

9.1 Бізнес-вимоги до контролю доступу

9.2 Керування доступом користувача

9.3 Відповідальності користувача

9.4 Контроль доступу до систем та прикладних програм

10 Криптографія

10.1 Криптографічні засоби захисту

11 Фізична безпека та безпека інфраструктури

11.1 Зони безпеки

11.2 Обладнання

12 Безпека експлуатації

12.1 Процедури експлуатації та відповідальності

12.2 Захист від зловмисного коду

12.3 Резервне копіювання

12.4 Ведення журналів аудиту та моніторинг

12.5 Контроль програмного забезпечення, що перебуває в експлуатації

12.6 Керування технічною вразливістю

12.7 Розгляд аудиту інформаційних систем

13 Безпека комунікацій

13.1 Керування безпекою мережі

13.2 Обмін інформацією

14 Придбання, розроблення та підтримання інформаційних систем

14.1 Вимоги щодо безпеки інформаційних систем

14.2 Безпека у процесах розроблення та підтримки

14.3 Дані для тестування системи

15 Взаємовідносини з постачальниками

15.1 Інформаційна безпека у взаємовідносинах з постачальниками

15.2 Керування наданням послуг постачальником

16 Керування інцидентами інформаційної безпеки

16.1 Керування інцидентами інформаційної безпеки та вдосконаленням

17 Аспекти інформаційної безпеки керування неперервністю діяльності

17.1 Неперервність інформаційної безпеки

17.2 Резервне обладнання

18 Відповідність

18.1 Відповідність правовим та контрактним вимогам

18.2 Перевірки інформаційної безпеки

Додаток А (обов’язковий) Розширений перелік заходів безпеки для хмарних послуг

Додаток В (обов’язковий) Посилання на джерела, що стосуються ризиків інформаційної безпеки для хмарних обчислень

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27017:2017 (ISO/IEC 27017:2015, IDT) «Інформаційні технології. Методи захисту. Звід практик стосовно заходів інформаційної безпеки, що ґрунтуються на ISO/IEC 27002, для хмарних послуг», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 27017:2015 «Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services» (версія en).

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27017:2016 (ISO/IEC 27017:2015, IDT), прийнятого методом підтвердження.

У цьому національному стандарті зазначено вимоги, які не суперечать законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «Ця Рекомендація Міжнародний стандарт» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі «Нормативні посилання» та «Бібліографії» наведено «Національні пояснення», виділені рамкою;

— вилучено «Передмову» до ISO/IEC 27017:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті);

ВСТУП до ISO/IEC 27017:2015

Рекомендації, наведені в цьому стандарті, є розширенням та доповненням до рекомендацій, наведених в ISO/IEC 27002.

Зокрема, в цьому стандарті наведено рекомендації щодо підтримки впровадження заходів інформаційної безпеки для споживачів і провайдерів хмарних послуг. Деякі з рекомендацій призначено для споживачів хмарних послуг, які реалізують заходи безпеки; інші — для провайдерів хмарних послуг для підтримки впровадження цих заходів безпеки. Вибір відповідних заходів інформаційної безпеки та застосування рекомендацій щодо їх впровадження залежатимуть від оцінки ризиків, а також від інших правових, договірних, регуляторних або будь-яких інших вимог стосовно інформаційної безпеки в секторі хмарних обчислень.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Звід практик стосовно заходів інформаційної безпеки,
що ґрунтуються на ISO/IEC 27002, для хмарних послуг

INFORMATION TECHNOlOGY
SECURITY TECHNIQUES
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services

Чинний від 2019–01–01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає рекомендації щодо заходів інформаційної безпеки, які застосовують для надання та застосування хмарних послуг, за допомогою формування:

— додаткових рекомендацій щодо впровадження для відповідних заходів безпеки, визначених в ISO/IEC 27002;

— додаткових заходів безпеки з рекомендаціями щодо впровадження, що конкретно стосуються хмарних послуг. У цьому стандарті наведено заходи безпеки та рекомендації щодо впровадження як для провайдерів, так і для споживачів хмарних послуг.

2 НОРМАТИВНІ ПОСИЛАННЯ

Цей стандарт містить положення, які через посилання в цьому тексті становлять положення цього стандарту. На момент опублікування всі зазначені видання були чинні. Усі рекомендації та стандарти підлягають перегляду, і учасникам угод, базованих на застосуванні цього стандарту, рекомендовано дослідити можливість застосування останнього видання рекомендацій та стандартів, наведених нижче. Члени ІЕС та ISO впорядковують каталоги наявних чинних міжнародних стандартів. Сектор стандартизації електрозв’язку Міжнародного союзу електрозв’язку впорядковує каталоги наявних чинних Рекомендацій ITU-T.

2.1 Ідентичні стандарти

Recommendation ITU-T Y.3500 (in force)/ISO/IEC 17788: (in force) Information technology — Cloud computing — Overview and vocabulary

Recommendation ITU-T Y.3502 (in force)/ISO/IEC 17789: (in force) Information technology — Cloud computing — Reference architecture.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

Рекомендація ITU-T Y.3500 (чинна)/ISO/IEC 17788 (чинний) Інформаційні технології. Хмарні обчислення. Загальний огляд і словник термінів

Рекомендація ITU-T Y.3502 (чинна)/ISO/IEC 17789 (чинний) Інформаційні технології. Хмарні обчислення. Еталонна архітектура.

2.2 Додаткові нормативні посилання

ISO/IEC 27000: (in force) Information technology — Security techniques — Information security management systems — Overview and vocabulary

ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27000 (чинний) Інформаційні технології. Методи захисту. Система керування інформаційною безпекою. Загальний огляд і словник термінів

ISO/IEC 27002:2013 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки.

Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».

Войти в Личный кабинет Подробнее о тарифах

БУДСТАНДАРТ Online