ГОСТ Р ИСО/МЭК 19086-4-2020 PDF

Полное наименование и описание

ГОСТ Р ИСО/МЭК 19086-4-2020. Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных. Документ представляет собой национальную (российскую) редакцию международного стандарта ISO/IEC 19086-4, содержащую требования и рекомендации по включению компонентов безопасности и защиты персональных данных (PII) в соглашения об уровне обслуживания для облачных услуг.

Аннотация

Стандарт определяет компоненты обеспечения информационной безопасности и защиты персональных данных, соответствующие целевые параметры уровня обслуживания (SLO) и целевые параметры качества обслуживания (SQO) для облачных SLA; даёт требования и руководящие указания по их формулировке в договорах между поставщиками облачных услуг (CSP) и их потребителями (CSC). Документ ориентирован на сопоставление и прозрачность заявленных мер безопасности и защиты ПДн между разными поставщиками.

Общая информация

• Статус: Принят, действует (национальная редакция введена в действие).
• Дата публикации: национальное введение в действие 1 июня 2021 г. (Приказ Росстандарта №1040‑ст от 10 ноября 2020 г.); оригинал ISO/IEC опубликован в январе 2019 г. (29 января 2019 г., издание 1).
• Организация-издатель: утверждён и введён в действие Федеральным агентством по техническому регулированию и метрологии (Росстандарт); официальный текст издавался в исполнении национальной публикации (издательское оформление — Стандартинформ, Москва).
• ICS / категории: 35.210 (Cloud computing).
• Редакция / версия: национальная редакция ГОСТ Р ИСО/МЭК 19086-4-2020, основана на ISO/IEC 19086-4:2019, издание 1.
• Количество страниц: в международной версии ISO — 20 страниц; в российской публикации ГОСТ Р — около 24 страниц (текст национального издания/вставки могут расширять объём).

Область применения

Стандарт предназначен для использования при составлении, оценке и согласовании соглашений об уровне обслуживания (SLA) для облачных услуг, в части, касающейся информационной безопасности и защиты персональных данных. Применим как поставщикам облачных услуг (CSP), так и их клиентам (CSC), а также организациям, участвующим в закупках, аудите и сертификации облачных решений.

Ключевые темы и требования

• Определение компонентов безопасности и защиты персональных данных, которые могут быть указаны в SLA (например, криптография, управление инцидентами, физическая безопасность, управление доступом).
• Формулировка SLO и SQO для компонентов безопасности и приватности (метрики, целевые значения и параметры качества).
• Требования к криптографической защите для данных в состоянии передачи, хранения и обработки; идентификация используемых протоколов и алгоритмов и указание уровня криптографической стойкости.
• Положения по управлению инцидентами информационной безопасности, включая целевой период уведомления и процедуры реагирования.
• Компоненты, относящиеся к защите персональных данных: согласие и выбор владельцев ПДн, минимизация доступа, сроки хранения и удаления данных, механизмы предоставления прав субъектам данных.
• Рекомендации по соотнесению заявленных мер с существующими стандартами и требованиями (например, ссылки на ISO/IEC 27002, ISO/IEC 29100 и другие стандарты серии 19086).

Применение и пользователи

Основные пользователи — поставщики облачных услуг (для разработки SLA и описания характеристик услуг), заказчики облачных услуг (для сравнения предложений и требований), аудиторы и специалисты по информационной безопасности, а также юристы и службы закупок, формирующие контрактные обязательства по безопасности и защите ПДн. Стандарт используется при подготовке типовых SLA, описаний сервисных предложений и критериев соответствия.

Связанные стандарты

Является частью серии ISO/IEC 19086 (SLA framework). Тесно связан с ISO/IEC 19086-1 (общие положения и терминология), ISO/IEC 19086-2 (метрическая модель), ISO/IEC 19086-3 (требования соответствия), а также с общими стандартами по безопасности и приватности, например ISO/IEC 27002 и ISO/IEC 29100.

Ключевые слова

облачные вычисления; SLA; соглашение об уровне обслуживания; безопасность информации; защита персональных данных; PII; SLO; SQO; криптография; управление инцидентами; минимизация доступа.

FAQ

В: Что это за стандарт?

О: Национальная (российская) редакция международного стандарта ISO/IEC 19086-4, определяющая составные элементы обеспечения информационной безопасности и защиты персональных данных, которые должны или могут быть отражены в SLA для облачных услуг.

В: Что он регулирует?

О: Регулирует содержание разделов SLA, связанных с информационной безопасностью и защитой ПДн: какие компоненты включать, какие метрики (SLO/SQO) использовать, как описывать криптографические меры, управление инцидентами, физическую безопасность, вопросы согласия и прав субъектов персональных данных и т. п.

В: Кто обычно использует?

О: Поставщики облачных услуг (при подготовке предложений и контрактов), потребители облачных услуг (при выборе и контроле поставщика), специалисты по безопасности и приватности, аудиторы, юристы и закупочные службы.

В: Он актуален или заменён?

О: Международная версия ISO/IEC 19086-4 была опубликована в январе 2019 г.; национальная редакция ГОСТ Р ИСО/МЭК 19086-4-2020 введена в действие 1 июня 2021 г. На момент последней проверки документ значится действующим; при этом международные стандарты пересматриваются по регламенту (обычно каждые 5 лет), поэтому рекомендуется проверять актуальность при подготовке критически важных решений.

В: Это часть серии?

О: Да — это часть серии ISO/IEC 19086 (SLA framework). Прямые соседние части: 19086-1 (обзор и терминология), 19086-2 (метрическая модель), 19086-3 (core conformance requirements) и др.

В: Какие ключевые слова?

О: облако, SLA, безопасность, PII, SLO, SQO, криптография, управление инцидентами, защита персональных данных.