ISO/IEC 27017:2015 "Свод правил по управлению информационной безопасностью"

Обзор ISO/IEC 27017

Практический код ISO/IEC 27017:2015 служит справочным материалом для организаций, которые выбирают средства управления информационной безопасностью облачных служб при реализации системы управления информационной безопасностью облачных вычислений на основе ISO/IEC 27002:2013. Поставщики облачных служб также могут использовать его в качестве руководства по реализации общепринятых элементов управления защитой.

Этот международный стандарт предоставляет дополнительные рекомендации по внедрению в облаке на основе ISO/IEC 27002. Он предлагает дополнительные средства управления для устранения угроз и рисков информационной безопасности в облаке, ссылаясь на положения 5-18 iso/IEC 27002:2013 для элементов управления, руководства по реализации и других сведений. В частности, этот стандарт содержит рекомендации по 37 элементам управления в ISO/IEC 27002, а также содержит семь новых элементов управления, которые не дублируются в ISO/IEC 27002. Эти новые средства контроля предназначены для следующих важных областей:

  • Общие роли и обязанности в облачной среде
  • Удаление и возврат ресурсов клиента облачной службы при расторжении договора
  • Защита и отделение виртуальной среды клиента от сред других клиентов
  • Требования к обеспечению безопасности виртуальной машины для соблюдения бизнес-потребностей
  • Процедуры для административных операций с облачной средой
  • Разрешение клиентам отслеживать важные действия в облачной среде
  • Согласование управления безопасностью для виртуальных и физических сетей

Майкрософт и ISO/IEC 27017

ISO/IEC 27017 является уникальным стандартом, предоставляющим руководство как поставщикам облачных служб, так и клиентам облачных служб. Он также содержит практические сведения для клиентов облачных служб о том, что следует ожидать от поставщиков облачных служб. Клиенты могут получить прямую выгоду от использования стандарта ISO/IEC 27017, разобравшись с понятием общей ответственности в облаке.

Microsoft in-область облачные платформы и службы

Azure, Dynamics 365 и ISO 27017:2015

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO 27017.

Office 365 и ISO 27017:2015

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Access Online, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 Микрослужбы (включая, помимо прочего, ObjectStore, Sway, Службу документов PowerPoint Online, Службу заметок запросов, Синхронизацию школьных данных, Siphon, Речь, eXtensible Application Program), Office Online, Office Pro Plus, Инфраструктуру служб Office, OneDrive, Планировщик, Power Apps, Power Automate, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Stream, доску
GCC служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office Online, Office Pro Plus, OneDrive, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Stream, Доска
GCC High служба коммуникаций Azure, Exchange Online, Формы, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Доска
DoD служба коммуникаций Azure, Exchange Online, Формы, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive, Planner, Power BI, SharePoint Online

Аудит, отчеты и сертификаты Office 365

Аудит облачных служб Майкрософт выполняется раз в год на соответствие своду правил ISO/IEC 27017:2015 в рамках процесса сертификации для ISO/IEC 27001:2013.

Вопросы и ответы

К кому применим стандарт?

Этот свод правил содержит средства контроля и инструкции по реализации для поставщиков облачных служб и клиентов облачных служб. Он структурирован в формате, аналогичном ISO/IEC 27002:2013.

Где можно посмотреть сведения о соответствии требованиям Майкрософт ISO/IEC 27017:2015?

Вы можете скачать сертификат ISO/IEC 27017:2015 для Azure, Intune и Power BI.

Можно ли использовать соответствие стандарту ISO/IEC 27017 для служб Майкрософт в процессе сертификации моей организации?

Да. Если ваша организации стремится пройти сертификацию для реализаций, развернутых в любых поддерживаемых корпоративных облачных службах Майкрософт, вы можете использовать соответствующие сертификаты Майкрософт при оценке соответствия требованиям. Однако вы несете ответственность за привлечение оценчика для оценки вашей реализации на предмет соответствия требованиям, а также за средства управления и процессы в вашей организации.

Как получить копии соответствующих отчетов об аудите?

На портале Service Trust Portal доступны отчеты о независимом аудите и другие сопутствующие документы. Вы можете использовать этот портал для скачивания и просмотра этих документов, помогающих выполнять нормативные требования.

Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска

Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы