Приложение В (справочное). Ссылки на документы, касающиеся рисков информационной безопасности, связанных с облачными вычислениями. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27017-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19.05.2021 N 389-ст)

Приложение В
(справочное)

Ссылки на документы, касающиеся рисков информационной безопасности, связанных с облачными вычислениями

Настоящее приложение не является неотъемлемой частью настоящего стандарта.

Надлежащее использование мер обеспечения ИБ, предусматриваемых настоящим стандартом, основано на оценке и анализе рисков ИБ организации. Несмотря на важность этих аспектов, вопросы оценки и анализа рисков ИБ не являются основным предметом настоящего стандарта. Ниже приводится список ссылок на документы, которые включают в себя описания источников рисков и самих рисков, связанных с предоставлением и использованием облачных служб. Следует отметить, что источники рисков и сами риски могут варьироваться в зависимости от типа и характера службы, а также новых технологий облачных вычислений. Пользователям настоящего стандарта следует использовать актуальные версии документов по мере необходимости.

Рекомендация МСЭ-Т X.1601 "Платформа безопасности для облачных вычислений". Январь 2014 г.

Департамент управления информацией правительства Австралии. "Контрольные показатели конфиденциальности и облачных вычислений для государственных органов Австралии: практические рекомендации". Февраль 2013 г.

Центр кибербезопасности Австралии. "Безопасность облачных вычислений для арендаторов". Декабрь 2014 г. http://www.asd.gov.au/publications/protect/Cloud_Computing_Security_for_Tenants.pdf

Центр кибербезопасности Австралии. "Безопасность облачных вычислений для поставщиков облачных служб". Декабрь 2014 г. http://www.asd.gov.au/publications/protect/Cloud_Computing_Security_for_Cloud_ServiceProviders.pdf

OGCIO, Гонконг. "Контрольный список по обеспечению конфиденциальности обработки персональных данных поставщиками облачных служб в облачных платформах". Апрель 2013 г.

OGCIO, Гонконг. "Контрольный список по безопасности для потребителей облачных служб". Январь 2013 г.

Национальный институт стандартов и технологий. SP800-144 "Рекомендации по обеспечению конфиденциальности в публичных облачных вычислениях". Декабрь 2011 г.

Национальный институт стандартов и технологий. SP800-146 "Краткий обзор облачных вычислений с рекомендациями". Май 2012 г.

SPRING Singapore. Приложение А "Оценка рисков для безопасности при виртуализации, сингапурский технический справочник 30:2012. Технический справочник по безопасной виртуализации серверов". Март 2012 г.

SPRING Singapore. Приложение А "Контрольный список по безопасности и аспекты уровня обслуживания при проверке платформы SaaS, сингапурский технический справочник 31:2012. Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

SPRING Singapore. Приложение А "Раскрытие информации поставщиками облачных служб, сингапурский стандарт SS584:2013. Спецификация многоуровневой безопасности облачных вычислений". Август 2013 г.

SPRING Singapore. Приложение В "Контрольный список по безопасности и аспекты уровня обслуживания при проверке платформы IaaS, сингапурский технический справочник 31:2012. Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

SPRING Singapore, сингапурский стандарт SS584:2013 "Спецификация многоуровневой безопасности облачных вычислений". Август 2013 г.

SPRING Singapore, сингапурский технический справочник 30:2012 "Технический справочник по безопасности виртуализации серверов". Март 2012 г.

SPRING Singapore, сингапурский технический справочник 31:2012 "Технический справочник по безопасности и рекомендации в отношении уровня обслуживания при использовании публичных облачных служб". Март 2012 г.

Федеральная программа управления рисками и авторизацией США (FedRAMP РМО) "Базовые контрольные меры по безопасности FedRAMP", версия 2.0. Июнь 2014 г.

Cloud Security Alliance "Матрица средств управления облачной среды". Сентябрь 2013 г.

ENISA "Оценка рисков безопасности облачных вычислений". Ноябрь 2009 г.

ENISA "Базовая система контроля информации в облачных вычислениях". Ноябрь 2009 г.

ISACA "Вопросы безопасности в облачных вычислениях". Июль 2011 г.