Информационные технологии — Методы безопасности — Практические правила защиты информации на основе ИСО/МЭК 27002 для облачных услуг
ИСО 27017 (ISO/IEC 27017:2015) — Безопасность облачных сервисов
Стандарт ИСО 27017 (ISO/IEC 27017) — международный свод правил, содержащий дополнительные средства управления информационной безопасностью для облачных сервисов. Разработан ISO/IEC JTC 1/SC 27 как расширение ИСО 27002 применительно к облачной инфраструктуре.
Актуальная версия — ИСО 27017:2015 — опубликована в декабре 2015 года. В России введён как ГОСТ Р ИСО/МЭК 27017-2021 (идентичный перевод). Стандарт подтверждён в 2021 году без изменений.
ИСО 27017 не заменяет ИСО 27001, а дополняет его. Стандарт содержит рекомендации по применению 37 средств управления из ИСО 27002 в контексте облака и добавляет 7 уникальных облачных контролей, отсутствующих в базовом стандарте. Рекомендации адресованы двум сторонам: облачным провайдерам (CSP — Cloud Service Provider) и облачным клиентам (CSC — Cloud Service Customer).
Стандарт применим к любой модели облачных услуг: IaaS (инфраструктура), PaaS (платформа), SaaS (программное обеспечение) — а также к частным, публичным, гибридным и мультиоблачным средам.
Почему ИСО 27017 важен
- Облачная миграция — по данным IDC, к 2025 году более 85% организаций используют мультиоблачную стратегию. Безопасность в облаке требует специализированных контролей
- Модель разделённой ответственности — ИСО 27017 чётко определяет, за что отвечает провайдер и за что — клиент (shared responsibility model)
- Регуляторные требования — ФЗ-152 (персональные данные), требования ЦБ РФ к финансовым организациям (683-П, 684-П), GDPR для европейских клиентов
- Доверие корпоративных клиентов — банки, госкорпорации и международные компании требуют от облачных провайдеров подтверждение ИБ-контролей
- Тендеры и конкурсы — наличие ИСО 27017 (совместно с ИСО 27001) даёт преимущество при выборе облачного провайдера
- Предотвращение инцидентов — утечки данных из облака обходятся в среднем $4.45 млн (IBM Cost of a Data Breach 2023)
Структура стандарта — облачные расширения ИСО 27002
ИСО 27017 следует структуре ИСО 27002 (разделы 5–18) и дополняет каждый раздел облачной спецификой. Отдельно выделены 7 уникальных контролей:
| Контроль | Для кого | Содержание |
|---|---|---|
| CLD.6.3.1 | CSP | Разделение обязанностей между провайдером и клиентом по каждой модели услуг |
| CLD.8.1.5 | CSC | Удаление активов клиента при завершении контракта — провайдер обязан безвозвратно удалить данные |
| CLD.9.5.1 | CSP | Изоляция виртуальных сред — гиперзащита от side-channel attacks между виртуальными машинами |
| CLD.9.5.2 | CSP | Контроль защиты виртуальных машин (hardening) — настройка безопасности по умолчанию |
| CLD.12.1.5 | CSP | Мониторинг администраторских операций в облаке — логирование всех действий привилегированных пользователей |
| CLD.12.4.5 | CSP + CSC | Мониторинг облачных сервисов — обе стороны должны отслеживать безопасность |
| CLD.13.1.4 | CSP | Виртуальная сегментация сети — изоляция мультитенантных сред на уровне сетевой инфраструктуры |
Модель разделённой ответственности
Центральная концепция ИСО 27017 — чёткое распределение ответственности за безопасность между провайдером (CSP) и клиентом (CSC) в зависимости от модели услуг:
| Область | IaaS | PaaS | SaaS |
|---|---|---|---|
| Физическая безопасность ЦОД | CSP | CSP | CSP |
| Сетевая инфраструктура | CSP | CSP | CSP |
| Гипервизор / виртуализация | CSP | CSP | CSP |
| Операционная система | CSC | CSP | CSP |
| Middleware / Runtime | CSC | CSC / CSP | CSP |
| Приложения | CSC | CSC | CSP |
| Данные и контент | CSC | CSC | CSC |
| Управление доступом (IAM) | CSC | CSC | CSC |
ИСО 27017 требует, чтобы провайдер документировал эту матрицу ответственности и предоставил клиенту до начала работы.
Жизненный цикл стандарта
Этапы внедрения ИСО 27017
Внедрение ИСО 27017 предполагает наличие действующей СУИБ по ИСО 27001. Дополнительная подготовка занимает от 2 до 6 месяцев.
Оценка текущего состояния ИБ в облаке. Маппинг существующих контролей ИСО 27001 на облачные требования ИСО 27017. Идентификация недостающих 7 CLD-контролей.
Документирование модели разделённой ответственности для каждого облачного сервиса: IaaS, PaaS, SaaS. Определение зон CSP и CSC. Формализация в SLA и контрактах.
Настройка: изоляция виртуальных сред (CLD.9.5.1), мониторинг админ-операций (CLD.12.1.5), сетевая сегментация (CLD.13.1.4), шифрование данных at rest и in transit.
Политика удаления данных при завершении контракта (CLD.8.1.5), резервное копирование, портируемость данных, уведомление об инцидентах.
Обучение DevOps/CloudOps-команд облачным контролям. Penetration testing облачной инфраструктуры. Проверка конфигурации (cloud security posture management).
Аудит по ИСО 27001 с расширенной проверкой облачных контролей ИСО 27017. Обычно проводится совместно с ИСО 27001, добавляя 1–2 дня аудита.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| Внедрение без ИСО 27001 | ИСО 27017 — расширение, не самостоятельный стандарт. Без базы нет фундамента | Сначала ИСО 27001, затем облачные расширения 27017/27018 |
| Нет матрицы ответственности | Непонятно, кто за что отвечает. Серые зоны при инцидентах | Документированная матрица CSP/CSC для каждой модели услуг |
| Доверие «настройкам по умолчанию» | Облачные сервисы по умолчанию часто открыты (публичные бакеты S3 и т.п.) | Hardening checklist для каждого облачного сервиса |
| Нет процедуры удаления данных | Нарушение CLD.8.1.5 — данные остаются после расторжения контракта | Задокументированная процедура безвозвратного удаления |
| Мониторинг только со стороны провайдера | Клиент не видит угрозы на своём уровне (IAM, приложения) | SIEM/CSPM и мониторинг с обеих сторон (CLD.12.4.5) |
ИСО 27017 в России
В России стандарт введён как ГОСТ Р ИСО/МЭК 27017-2021 (идентичный перевод ISO/IEC 27017:2015). Облачная безопасность регулируется комплексом нормативных актов.
Регуляторная среда
Ключевые требования: ФЗ-152 «О персональных данных» (локализация на территории РФ), требования ФСТЭК к защите информации в облаке (Приказ №21, Приказ №17), требования ЦБ РФ для финансового сектора (683-П, 684-П, 747-П). ИСО 27017 дополняет ИСО 27001 и помогает закрыть требования регуляторов.
Рынок облачных услуг
Российские облачные провайдеры (Яндекс.Облако, VK Cloud, SberCloud, МТС Cloud, Selectel) активно проходят сертификацию по ИСО 27001, а ведущие — дополнительно по ИСО 27017 и ИСО 27018. Наличие сертификатов — обязательное требование госсектора и финансовых организаций.
Сроки и стоимость
При наличии действующего ИСО 27001 дополнительное внедрение ИСО 27017 занимает 2–4 месяца. Стоимость: от 100 000 ₽ (расширение существующего аудита). Совместный аудит ИСО 27001 + ИСО 27017: от 200 000 ₽ для компаний до 100 сотрудников. Подробный расчёт.
Преимущества сертификации ИСО 27017
7 специализированных контролей для защиты облачных данных
Документированная матрица CSP/CSC исключает серые зоны
Дифференциация на рынке облачных услуг среди провайдеров
Закрытие требований ФСТЭК, ЦБ РФ, ФЗ-152 для облака
Банки и госорганизации требуют ИСО 27017 при выборе провайдера
Системное управление конфигурацией, изоляцией и доступом
Семейство облачных стандартов: 27017, 27018, 27701
ИСО 27017 (ISO/IEC 27017) редко внедряют в одиночку. Он входит в семейство расширений ИСО 27001, каждое из которых закрывает свой аспект облачной и информационной безопасности:
| Стандарт | Фокус | Для кого | Когда внедрять |
|---|---|---|---|
| ISO/IEC 27001 | Базовая СУИБ (система управления ИБ) | Любая организация | Обязательная основа |
| ISO/IEC 27017 | Безопасность облачных сервисов (7 CLD-контролей) | Провайдеры и клиенты облака | При работе с облаком |
| ISO/IEC 27018 | Защита персональных данных (PII) в публичном облаке | Облачные провайдеры | При обработке ПДн клиентов |
| ISO/IEC 27701 | Система управления конфиденциальностью (PIMS) | Контролёры и обработчики ПДн | Для соответствия ФЗ-152, GDPR |
Типовая связка для облачного провайдера: 27001 + 27017 + 27018 (общая ИБ, облачные контроли, защита PII). Для компании, делающей акцент на приватность, добавляют 27701 как надстройку PIMS. Все стандарты используют единый Annex SL и общий перечень мер, поэтому интеграция не дублирует документацию, а лишь расширяет область сертификации.
ИСО 27017 и аттестация по ФСТЭК в России
Международная сертификация по ИСО 27017 (ISO/IEC 27017) не заменяет требований российских регуляторов, но хорошо с ними сочетается. Для облачных систем в РФ действуют отдельные обязательные режимы:
- Аттестация по требованиям ФСТЭК — приказы № 17 (государственные информационные системы) и № 21 (информационные системы персональных данных) задают классы и уровни защищённости
- Уровни защищённости ПДн (УЗ-1…УЗ-4) — определяются по типу данных и числу субъектов; от уровня зависит набор обязательных мер
- Локализация данных (ФЗ-152, ст. 18) — первичная обработка персональных данных россиян должна вестись на серверах в РФ
- Требования ЦБ РФ — 683-П, 684-П, 747-П для финансовых организаций, использующих облачную инфраструктуру
- Сертифицированные СЗИ — средства защиты (межсетевые экраны, СОВ, СКЗИ) должны иметь сертификаты ФСТЭК/ФСБ
На практике ИСО 27017 используется как управленческая рамка, которая помогает системно подготовиться к аттестации: матрица разделённой ответственности, контроль конфигураций и мониторинг администраторских операций напрямую перекладываются на меры приказов ФСТЭК № 17 и № 21.
Контроль конфигураций и CSPM
Большинство инцидентов в облаке вызвано не взломом, а ошибками конфигурации: публично открытые хранилища, чрезмерные права доступа, отключённое логирование. ИСО 27017 (ISO/IEC 27017) требует управлять этими рисками системно, и на практике для этого применяют класс инструментов CSPM (Cloud Security Posture Management).
| Типовая мисконфигурация | Риск | Контроль ИСО 27017 |
|---|---|---|
| Публичный доступ к объектному хранилищу | Утечка данных клиентов | CLD.9.5.1, hardening по умолчанию |
| Избыточные права IAM-ролей | Боковое перемещение злоумышленника | Принцип минимальных привилегий |
| Отключённый аудит-лог | Невозможно расследовать инцидент | CLD.12.1.5 — мониторинг админ-операций |
| Незашифрованные диски и снапшоты | Компрометация данных at rest | Шифрование данных при хранении |
| Плоская сеть без сегментации | Распространение атаки между тенантами | CLD.13.1.4 — виртуальная сегментация |
Для проверки конфигураций используют отраслевые бенчмарки CIS (CIS Benchmarks) и сканирование инфраструктуры как кода (IaC) до развёртывания. Регулярный CSPM-аудит позволяет автоматически подтверждать выполнение 7 CLD-контролей и предоставлять доказательства аудитору ИСО 27017.
Часто задаваемые вопросы
ИСО 27017 (ISO/IEC 27017:2015) — международный стандарт информационной безопасности для облачных сервисов. Содержит 7 уникальных облачных контролей и 37 расширений ИСО 27002. Нужен облачным провайдерам для подтверждения безопасности инфраструктуры и клиентам — для проверки контролей при выборе провайдера.
Да. ИСО 27017 — расширение ИСО 27001/27002 для облака, а не самостоятельный стандарт. Организация сначала внедряет СУИБ по ИСО 27001, затем добавляет облачные контроли ИСО 27017. Аудит обычно проводится совместно, добавляя 1–2 дня к проверке по ИСО 27001.
ИСО 27017 — общая безопасность облачных сервисов (для провайдеров и клиентов). ИСО 27018 — защита персональных данных (PII) в публичном облаке (только для провайдеров). Организации часто внедряют оба стандарта: 27017 для общей ИБ, 27018 для compliance по персональным данным (GDPR, ФЗ-152).
Для двух категорий: (1) облачные провайдеры (IaaS, PaaS, SaaS, дата-центры) — для подтверждения безопасности клиентам, (2) организации-клиенты облака (банки, финтех, e-commerce, госструктуры) — для контроля рисков при использовании облачных сервисов.
При наличии действующего ИСО 27001 — от 100 000 ₽ за расширение аудита. Совместный аудит ИСО 27001 + ИСО 27017 — от 200 000 ₽ для компаний до 100 сотрудников. Стоимость зависит от количества облачных сервисов в области сертификации, модели развёртывания (публичное/частное/гибридное) и числа площадок.
ГОСТ Р ИСО/МЭК 27017-2021 — идентичный перевод ISO/IEC 27017:2015 на русский язык. Утверждён Росстандартом. Содержит все 7 CLD-контролей и 37 облачных расширений базовых средств управления ИСО 27002.
Shared responsibility model — принцип, по которому безопасность в облаке делится между провайдером и клиентом. Провайдер отвечает за физическую безопасность, сеть и гипервизор. Клиент — за данные, доступ и приложения. Граница зависит от модели: в IaaS клиент управляет ОС и выше, в SaaS — только данными и доступом. ИСО 27017 требует документирования этой матрицы.
При наличии ИСО 27001 — от 2 до 6 месяцев. Основное время уходит на: gap-анализ облачных контролей (2–3 недели), документирование матрицы ответственности (2–4 недели), настройку мониторинга и изоляции (4–8 недель), обучение и тестирование (2–4 недели).
Нет. ИСО 27017 (ISO/IEC 27017) — добровольный международный стандарт, а аттестация по приказам ФСТЭК № 17 и № 21 — обязательный режим для государственных информационных систем и систем персональных данных в России. Эти подходы дополняют друг друга: ИСО 27017 задаёт управленческую рамку и контроли (матрица ответственности, мониторинг, сегментация), которые упрощают подготовку к аттестации, но не отменяют требований по локализации данных (ФЗ-152) и применению сертифицированных СЗИ.
ИСО 27701 (ISO/IEC 27701) — расширение ИСО 27001 для системы управления конфиденциальностью (PIMS). Оно нужно, когда организация обрабатывает большие объёмы персональных данных и хочет системно подтвердить соответствие ФЗ-152 или GDPR. Для облачного провайдера логична связка 27001 + 27017 + 27018, а 27701 добавляют как надстройку приватности. Все стандарты совместимы и используют единую структуру, поэтому внедряются на одной системе менеджмента.
Бесплатная консультация по ИСО 27017
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности