ISO/IEC 27017:2015 "Свод правил по управлению информационной безопасностью"
Общие сведения о ISO-IEC 27017
Свод правил ISO/IEC 27017:2015 предназначен для организаций для использования в качестве справочника при выборе средств контроля информационной безопасностью облачных служб при реализации системы управления информационной безопасностью облачных вычислений на основе стандарта ISO/IEC 27002:2013. Он также может использоваться поставщиками облачных служб в качестве руководства по реализации общепринятых средств контроля защиты.
Этот международный стандарт предоставляет дополнительные инструкции по внедрению для облачной среды, основанные на стандарте ISO/IEC 27002, и содержит дополнительные средства контроля для устранения облачных рисков и угроз информационной безопасности, ссылаясь на пункты 5-18 стандарта ISO/IEC 27002:2013 со сведениями об средствах контроля, инструкциями реализации и прочей информацией. В частности, этот стандарт предоставляет инструкции по 37 средствам контроля из стандарта ISO/IEC 27002, а также содержит семь новых средств контроля, отсутствующих в стандарте ISO/IEC 27002. Эти новые средства контроля предназначены для следующих важных областей:
- Общие роли и обязанности в облачной среде
- Удаление и возврат ресурсов клиента облачной службы при расторжении договора
- Защита и отделение виртуальной среды клиента от сред других клиентов
- Требования к обеспечению безопасности виртуальной машины для соблюдения бизнес-потребностей
- Процедуры для административных операций с облачной средой
- Разрешение клиентам отслеживать важные действия в облачной среде
- Согласование управления безопасностью для виртуальных и физических сетей
Майкрософт и ISO/IEC 27017
ISO/IEC 27017 является уникальным стандартом, предоставляющим руководство как поставщикам облачных служб, так и клиентам облачных служб. Он также содержит практические сведения для клиентов облачных служб о том, что следует ожидать от поставщиков облачных служб. Клиенты могут получить прямую выгоду от использования стандарта ISO/IEC 27017, разобравшись с понятием общей ответственности в облаке.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure, Azure для государственных организаций и Azure для Германии
- Microsoft Defender for Cloud Apps
- Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 — Германия
- Intune
- Microsoft Defender для конечной точки
- Microsoft Graph
- Microsoft Healthcare Bot
- Компьютеры, управляемые Майкрософт
- Office 365, Office 365 для государственных организаций США, Office 365 U.S. Government Defense и Office 365 Germany
- Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
- Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
- Power BI Embedded
- Windows 365
Azure, Dynamics 365 и ISO 27017:2015
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO 27017.
Office 365 и ISO 27017:2015
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Access Online, Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, защищенное хранилище клиента, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Служба документов PowerPoint Online, служба заметок запросов, синхронизация данных в школе, Siphon, речь, StaffHub, eXtensible Application Program), Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса, Stream, доска |
| GCC | идентификатор Microsoft Entra, Служба коммуникаций Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка, Office 365 Центр соответствия требованиям & безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream, Доска |
| GCC High | идентификатор Microsoft Entra, Служба коммуникаций Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям & безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, доска |
| DoD | идентификатор Microsoft Entra, Служба коммуникаций Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям & безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса |
Аудит, отчеты и сертификаты Office 365
Аудит облачных служб Майкрософт выполняется раз в год на соответствие своду правил ISO/IEC 27017:2015 в рамках процесса сертификации для ISO/IEC 27001:2013.
Вопросы и ответы
К кому применим стандарт?
Этот свод правил содержит средства контроля и инструкции по реализации для поставщиков облачных служб и клиентов облачных служб. Его структура аналогична стандарту ISO/IEC 27002:2013.
Где можно посмотреть сведения о соответствии требованиям Майкрософт ISO/IEC 27017:2015?
Вы можете скачать сертификат ISO/IEC 27017:2015 для Azure, Intune и Power BI.
Можно ли использовать соответствие стандарту ISO/IEC 27017 для служб Майкрософт в процессе сертификации моей организации?
Да. Если ваша организации стремится пройти сертификацию для реализаций, развернутых в любых поддерживаемых корпоративных облачных службах Майкрософт, вы можете использовать соответствующие сертификаты Майкрософт при оценке соответствия требованиям. Однако вы несете ответственность за привлечение аудитора для оценки реализации на соответствие требованиям, а также оценки средств управления и процессов в рамках вашей организации.
Как получить копии соответствующих отчетов об аудите?
На портале Service Trust Portal доступны отчеты о независимом аудите и другие сопутствующие документы. Вы можете использовать этот портал для скачивания и просмотра этих документов, помогающих выполнять нормативные требования.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по