Сертификация ИСО 27017 (ISO 27017) — информационная безопасность облачных сервисов
Стандарт ИСО 27017 (ISO/IEC 27017:2015) — это международный свод рекомендаций по контролю информационной безопасности, специально разработанный для облачных вычислений. Документ является прямым дополнением к базовому стандарту ИСО 27001 и содержит дополнительные меры контроля, применимые исключительно к облачным услугам: как со стороны провайдера (CSP — Cloud Service Provider), так и со стороны потребителя облачных услуг (CSC — Cloud Service Customer).
Стандарт разработан совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) и признан в более чем 165 странах мира. Он применяется к провайдерам облачных услуг всех моделей: IaaS (инфраструктура как услуга), PaaS (платформа как услуга) и SaaS (программное обеспечение как услуга).
Ключевое отличие ИСО 27017 от ИСО 27001 — специализация на облачной среде. Стандарт ИСО 27017 признаёт, что облачные сервисы порождают уникальные риски безопасности, которые не в полной мере учитываются общим стандартом управления информационной безопасностью. Это разделение ответственности между провайдером и клиентом, защита виртуализированной инфраструктуры, управление данными при завершении облачной услуги, специфические угрозы многопользовательской среды.
В России спрос на сертификацию ИСО 27017 (ISO 27017) активно растёт. Банки и финтех-компании, работающие с персональными данными в облаке, требуют от своих провайдеров подтверждения безопасности. Государственные организации, переносящие сервисы в облако, ориентируются на соответствие международным стандартам. Корпоративные клиенты, обрабатывающие коммерческую тайну в облачных системах, запрашивают сертификат ИСО 27017 как обязательное требование к поставщику.
Что включает сертификация по ИСО 27017
Стандарт ИСО 27017 содержит 37 специфических мер контроля для облачной среды в дополнение к 114 мерам базового ИСО 27001. Сертификация охватывает следующие ключевые области:
- Разделение ответственности в облаке — чёткое документирование того, какие меры безопасности реализует провайдер, а какие — клиент (Shared Responsibility Model)
- Управление активами в облаке — инвентаризация и классификация данных, обрабатываемых в облачной среде, с учётом их конфиденциальности
- Управление привилегированным доступом — строгий контроль административных учётных записей провайдера к инфраструктуре клиентов
- Изоляция виртуальных сред — технические меры, обеспечивающие разделение данных и ресурсов разных клиентов в многопользовательской среде
- Шифрование данных — защита данных в состоянии покоя (at rest) и при передаче (in transit) с использованием криптографических алгоритмов
- Мониторинг и журналирование — сбор и хранение логов всех операций в облачной среде, включая действия администраторов провайдера
- Управление инцидентами в облаке — процедуры обнаружения, расследования и уведомления клиентов об инцидентах безопасности
- Безопасное удаление данных — гарантированное и верифицируемое уничтожение данных клиента после завершения договорных отношений
- Обеспечение непрерывности облачных услуг — планы обеспечения доступности и восстановления для облачной инфраструктуры
- Управление уязвимостями в облаке — регулярный поиск и устранение уязвимостей в облачной платформе и приложениях
Документы для получения сертификата ИСО 27017
Для прохождения сертификационного аудита по ИСО 27017 (ISO 27017) необходимы следующие документы:
- Действующий сертификат ИСО 27001 или параллельная сертификация по обоим стандартам
- Политика информационной безопасности облачных услуг
- Матрица разделения ответственности (Shared Responsibility Matrix) для каждой категории облачных услуг
- Реестр активов в облачной среде с классификацией по уровню конфиденциальности
- Процедура управления привилегированным доступом к облачной инфраструктуре
- Политика шифрования данных (at rest и in transit)
- Процедура безопасного удаления данных клиента при завершении услуги
- Соглашение об уровне безопасности (SLA по ИБ) с описанием обязательств провайдера
- Процедура управления инцидентами с порядком уведомления клиентов
- Журналы мониторинга и логи операций за последние 6–12 месяцев
- Отчёты о проведённых тестах на проникновение и сканировании уязвимостей
- Программа и результаты внутренних аудитов системы ИБ в облаке
- Протоколы анализа системы со стороны руководства
Этапы сертификации ИСО 27017 (ISO 27017): 6 шагов
- Анализ текущего состояния и GAP-анализ — оценка существующей системы управления ИБ на соответствие требованиям ИСО 27017. Анализ архитектуры облачной среды, идентификация рисков, специфичных для облака. Сравнение с требованиями стандарта и составление перечня мер, требующих разработки или усиления. Продолжительность — 2–3 недели.
- Разработка дополнительной документации для облачной среды — создание или доработка политик и процедур, специфичных для ИСО 27017: матрица разделения ответственности, политика управления привилегированным доступом, процедуры безопасного удаления данных, политика шифрования. Продолжительность — 3–6 недель.
- Внедрение технических и организационных мер контроля — реализация технических контролей: настройка механизмов изоляции данных, внедрение системы мониторинга и логирования, настройка шифрования, организация процедур управления привилегированным доступом. Продолжительность — 4–10 недель.
- Внутренний аудит системы ИБ облачных услуг — проверка фактического соответствия внедрённых мер требованиям ИСО 27017. Анализ журналов, проверка конфигураций, тестирование процедур. Устранение выявленных несоответствий до внешнего аудита. Продолжительность — 1–2 недели.
- Сертификационный аудит органа по сертификации — Stage 1: проверка документации и готовности к аудиту. Stage 2: углублённая проверка внедрения мер контроля, демонстрация работоспособности технических решений, интервью с ответственными специалистами. Аудит охватывает как требования базового ИСО 27001, так и специфические меры ИСО 27017. Продолжительность — 2–5 рабочих дней.
- Получение сертификата и поддержание системы — устранение несоответствий по результатам аудита (при наличии), подтверждение корректирующих действий, выдача сертификата ИСО 27017 сроком на 3 года. Ежегодное проведение надзорных аудитов для подтверждения соответствия.
Сроки сертификации ИСО 27017 по размеру предприятия
| Размер предприятия | Масштаб облачной инфраструктуры | Ориентировочный срок | Примечания |
|---|---|---|---|
| Малый провайдер | до 50 клиентов, 1–2 дата-центра | от 45 до 90 дней | При наличии ИСО 27001 срок сокращается до 30–45 дней |
| Средний провайдер | 50–500 клиентов, 2–5 площадок | от 90 до 150 дней | Требуется полная документация разделения ответственности |
| Крупный провайдер | более 500 клиентов, геораспределённая инфраструктура | от 150 до 240 дней | Сложная архитектура требует детального аудита всех компонентов |
Для организаций, уже имеющих сертификат ИСО 27001, процесс добавления ИСО 27017 значительно сокращается — базовая система управления ИБ уже создана, и требуется только разработать дополнительные меры, специфичные для облачной среды.
Стоимость сертификации ИСО 27017 (ISO 27017)
| Размер организации | Численность сотрудников | Стоимость наших услуг | Что включено |
|---|---|---|---|
| Малое предприятие | до 50 человек | от 80 000 ₽ | Документация, внедрение мер контроля, сопровождение аудита |
| Среднее предприятие | 51–200 человек | от 110 000 ₽ | Документация, внедрение мер контроля, сопровождение аудита |
| Крупное предприятие | 201–500 человек | от 160 000 ₽ | Документация, внедрение мер контроля, сопровождение аудита |
| Крупный провайдер | более 500 человек | по запросу | Индивидуальный проект с учётом архитектуры и масштаба |
* Стоимость услуг нашей компании. Стоимость услуг органа по сертификации определяется отдельно и зависит от выбранного органа и объёма аудита.
Кому обязательна, а кому добровольна сертификация ИСО 27017
Сертификация по ИСО 27017 (ISO 27017) является добровольной с точки зрения российского законодательства. Однако рыночная практика делает её фактически необходимой для ряда организаций:
Фактически обязательна для:
- Провайдеров облачных услуг, работающих с банками и финансовыми организациями — Банк России рекомендует использование облачных провайдеров, имеющих международные сертификаты ИБ
- Облачных провайдеров, обрабатывающих персональные данные клиентов в интересах государственных органов — требования по защите данных стимулируют подтверждение соответствия международным стандартам
- Поставщиков SaaS-решений для корпоративного сектора, где корпоративные политики безопасности клиентов требуют аудита ИБ-практик провайдера
Добровольна, но стратегически важна для:
- Облачных провайдеров любого масштаба, стремящихся привлечь корпоративных клиентов и отличиться от конкурентов
- Компаний, планирующих выход на международные рынки, где ИСО 27017 является отраслевым стандартом
- Организаций, уже имеющих ИСО 27001 и желающих расширить охват своей СУИБ на облачную инфраструктуру
- Потребителей облачных услуг, желающих продемонстрировать клиентам, что их данные, обрабатываемые в облаке сторонних провайдеров, защищены
Часто задаваемые вопросы по ИСО 27017 (ISO 27017)
Чем ИСО 27017 отличается от ИСО 27001?
ИСО 27001 — базовый стандарт управления информационной безопасностью, применимый к любым организациям. ИСО 27017 — его специализированное расширение для облачных услуг. ИСО 27017 содержит 37 дополнительных мер контроля, специфичных для облачной среды: управление разделением ответственности между провайдером и клиентом, защита виртуальной инфраструктуры, безопасное удаление данных по окончании услуги, управление привилегированным доступом к ресурсам клиентов. Самостоятельно ИСО 27017 не применяется — только в связке с ИСО 27001.
Нужен ли ИСО 27001 для получения ИСО 27017?
ИСО 27017 является расширением ИСО 27001 и не применяется самостоятельно. Организация должна иметь функционирующую систему управления информационной безопасностью по ИСО 27001 (действующий сертификат или параллельная сертификация). Именно поэтому многие компании проходят сертификацию по обоим стандартам одновременно — это экономит время и ресурсы.
Для кого предназначен стандарт ИСО 27017?
ИСО 27017 предназначен для двух типов организаций. Первый — провайдеры облачных услуг (IaaS, PaaS, SaaS): операторы дата-центров, хостинговые компании, разработчики SaaS-платформ, телекоммуникационные операторы с облачными продуктами. Второй — потребители облачных услуг, обрабатывающие чувствительные данные: банки, медицинские организации, государственные структуры, юридические компании.
Какие дополнительные меры контроля содержит ИСО 27017?
ИСО 27017 содержит 7 специфических мер контроля, отсутствующих в ИСО 27001: документирование разделения ответственности, защита виртуальной вычислительной среды, управление жизненным циклом виртуальных машин, контроль применения политик безопасности провайдером, мониторинг облачных услуг, обеспечение соответствия требованиям при совместном использовании физической инфраструктуры, процедура завершения договорных отношений и безопасного удаления данных клиента.
Как долго действует сертификат ИСО 27017?
Сертификат ИСО 27017 действует 3 года. Ежегодно проводятся надзорные аудиты, подтверждающие актуальность мер безопасности. Учитывая, что облачные технологии и угрозы развиваются быстро, особое внимание на надзорных аудитах уделяется актуализации оценки рисков и обновлению технических мер контроля.
Сколько стоит сертификат ИСО 27017?
Стоимость сертификации ИСО 27017 складывается из двух частей: наши услуги по подготовке и сопровождению (от 80 000 ₽ для небольших компаний) и услуги органа сертификации по проведению аудита (определяется отдельно в зависимости от масштаба). Для компаний, уже имеющих ИСО 27001, стоимость подготовки существенно ниже — значительная часть документации уже создана.
Какие документы нужны для начала сертификации ИСО 27017?
Для старта работ нам потребуются: действующий сертификат ИСО 27001 или решение о параллельной сертификации, описание архитектуры облачной инфраструктуры, перечень предоставляемых облачных услуг с характеристиками, информация о типах обрабатываемых данных клиентов. Всю специализированную документацию по ИСО 27017 — матрицу разделения ответственности, политику шифрования, процедуры безопасного удаления данных — мы разрабатываем самостоятельно.
Помогает ли ИСО 27017 соответствовать требованиям 152-ФЗ о персональных данных?
ИСО 27017 не заменяет выполнение требований 152-ФЗ, но помогает выстроить систему защиты персональных данных в облачной среде. Меры контроля стандарта охватывают большинство технических требований к защите ПДн: шифрование, контроль доступа, логирование, управление инцидентами. Совместное применение ИСО 27017 и требований 152-ФЗ создаёт надёжную и проверяемую систему защиты данных.
Если вас интересует комплексная защита информации, рекомендуем также ознакомиться со страницей сертификации ИСО 27001 — базового стандарта информационной безопасности, без которого получение ИСО 27017 невозможно.