Сертификация ISO 27017
ISO/IEC 27017 — международный стандарт, устанавливающий специфические контроли информационной безопасности для облачных вычислений. Он углубляет и расширяет общие контроли ISO/IEC 27002, добавляя семь новых мер безопасности, уникальных для облачной среды, и расширенные руководства по имплементации еще для тридцати семи контролей в контексте предоставления и использования облачных услуг. Стандарт адресован как поставщикам облачных услуг (CSP — Cloud Service Providers), так и их клиентам — потребителям облачных услуг (CSC — Cloud Service Customers).
Imperium Certific — аккредитованный НААУ орган по сертификации. Мы проводим сертификационные аудиты в соответствии с требованиями ДСТУ EN ISO/IEC 27017:2022 (EN ISO/IEC 27017:2021, IDT; ISO/IEC 27017:2015, IDT) как расширение scope сертификации по ISO/IEC 27001.
Важно понимать: ISO/IEC 27017 по своей природе является сводом устоявшихся практик (code of practice), а не requirements-стандартом. Самостоятельной сертификации по ISO 27017 не существует — сертификационным стандартом серии 27000 остается только ISO/IEC 27001. Сертификация по ISO 27017 достигается через расширение scope аудита ISO/IEC 27001 с включением контролей 27017 в Statement of Applicability. Такая практика является отраслевым стандартом — по этой модели сертифицированы Microsoft Azure, AWS, Google Cloud, Oracle, Salesforce и другие ведущие облачные провайдеры мира.
Кому подходит сертификация ISO 27017
Стандарт ISO/IEC 27017 применим к любой организации, предоставляющей или использующей облачные вычисления. Сертификация особенно актуальна для:
Поставщики облачных услуг (CSP)
— SaaS-, PaaS-, IaaS-провайдеры, облачные платформы, BaaS- и FaaS-сервисы
Дата-центры и хостинг-провайдеры
— колокация, dedicated-серверы, виртуальные дата-центры, edge-локации
Разработчики облачных SaaS-решений
— CRM, ERP, HRM, медицинские платформы, образовательные системы, финтех-сервисы
MSP и MSSP компании
— управляемые сервисы, сетевая безопасность как услуга, SOC-as-a-Service, управление облачной инфраструктурой
Интеграторы и брокеры облачных услуг
— компании, проектирующие мультиоблачные архитектуры, перепродающие облачные услуги, управляющие миграцией
Потребители облачных услуг (CSC)
— финансовые учреждения, медицинские организации, государственные предприятия и компании, мигрирующие критические нагрузки в облако и обязанные доказать должный контроль над облачными рисками
Любая организация
— которая передает, хранит или обрабатывает информацию в облачных средах и нуждается в системном подходе к безопасности на стыке с провайдером
Преимущества сертификации ISO 27017
Сертификация ISO 27017 — это системный ответ на специфические риски облачных вычислений, не покрываемые общими контролями ISO 27001.
-
Закрытие именно облачных рисков — стандарт добавляет семь специальных контролей для облачной среды (сегрегация в виртуальных вычислительных средах, усиление безопасности виртуальных машин, мониторинг облачных услуг, согласование безопасности виртуальных и физических сетей и другие) плюс расширенные руководства по имплементации для тридцати семи контролей ISO/IEC 27002 в облачном контексте
-
Чёткое распределение ответственности CSP ↔ CSC — стандарт формализует модель shared responsibility, снимая десятки потенциальных споров между провайдером и клиентом ещё на этапе заключения договора. Каждая сторона чётко знает, какие контроли реализует самостоятельно, а какие — в партнёрстве
-
Конкурентное преимущество в корпоративных и международных тендерах — банки, страховые, медицинские учреждения и компании из ЕС всё чаще включают требование соответствия ISO 27017 в тендерную документацию для облачных услуг. Без такого сертификата провайдер рискует не попасть в короткий список
-
Готовность к европейским регуляторным требованиям — стандарт является фундаментом для соответствия EUCS (European Cybersecurity Certification Scheme for Cloud Services), требованиям Директивы NIS2, а также для работы с обработкой персональных данных согласно GDPR в связке с ISO/IEC 27018
-
Повышение доверия клиентов и партнёров — сертификат является публичным доказательством того, что организация профессионально управляет специфическими облачными угрозами: компрометацией гипервизора, неавторизованным межтенантным доступом, неконтролируемым распространением административных привилегий, рисками безопасного удаления данных в мультитенантной инфраструктуре
-
Интеграция с ISO 27001 без дублирования документации — поскольку ISO 27017 построен на базе ISO/IEC 27002 и сертифицируется как расширение scope ISO 27001, дополнительная документационная работа минимальна. Контроли 27017 органично интегрируются в существующую СУИБ через Statement of Applicability
Заказать сертификацию
Процесс сертификации ISO 27017
Сертификация по ISO/IEC 27017 проводится как add-on assessment в рамках сертификационного аудита ISO/IEC 27001 и соответствует требованиям ISO/IEC 17021-1 и аккредитации НААУ.
Этап 1 — Заявка и определение scope — Организация подаёт заявку на сертификацию ISO 27001 с расширением scope по ISO 27017. Мы анализируем архитектуру облачных услуг, модели предоставления (SaaS/PaaS/IaaS), роли CSP и CSC в scope СУИБ, количество тенантов, географию дата-центров и объём облачной инфраструктуры для определения трудоёмкости аудита.
Этап 2 — Аудит первого этапа (документальный) — Проверка готовности СУИБ и облачных контролей: политика информационной безопасности в облачном контексте, оценка облачных рисков, Statement of Applicability с включёнными контролями ISO 27017, договорная модель с клиентами и субподрядчиками, процедуры управления виртуальной инфраструктурой.
Этап 3 — Аудит второго этапа (на месте) — Команда аудиторов проверяет практическое функционирование контролей 27017: сегрегацию виртуальных сред, усиление безопасности VM-образов, мониторинг облачных услуг, согласование безопасности виртуальных и физических сетей, безопасное удаление активов клиентов, операционную безопасность администраторов, согласованность безопасности между CSP и CSC.
Этап 4 — Решение о сертификации — По результатам аудита формируется отчёт. Решение о выдаче сертификата принимается независимо от аудиторской группы, что обеспечивает беспристрастность оценки.
Этап 5 — Выдача сертификата — Выдаётся сертификат ISO/IEC 27001 с прямым указанием в scope-стейтменте, что СУИБ включает контроли ISO/IEC 27017:2015. Сертификат выдаётся сроком на 3 года. Информация о сертификации вносится в реестр.
Этап 6 — Надзорные аудиты — Ежегодные надзорные аудиты подтверждают непрерывное функционирование контролей 27017 в составе СУИБ. Ресертификационный аудит проводится до окончания срока действия сертификата.
Стоимость сертификации ISO 27017
Стоимость сертификации по ISO 27017 добавляется к базовой стоимости сертификации ISO 27001 и определяется индивидуально на основе предварительного анализа.
Факторы, влияющие на стоимость:
Рассчитать стоимость →
Рассчитаем стоимость
Заполните короткий опросник — подготовим предложение под ваш бизнес
Документы для сертификации ISO 27017
Помимо стандартного пакета документов для ISO 27001, организация должна дополнительно подготовить:
- — 1. Описание архитектуры облачных услуг и моделей их предоставления
- — 2. Описание распределения ролей CSP и CSC в scope СУИБ
- — 3. Statement of Applicability с включёнными контролями ISO/IEC 27017
- — 4. Договоры с клиентами облачных услуг (cloud service agreements)
- — 5. Процедуры управления виртуальной инфраструктурой и гипервизорами
- — 6. Политика сегрегации виртуальных вычислительных сред
- — 7. Процедуры усиления безопасности виртуальных машин (VM hardening)
- — 8. Процедуры мониторинга облачных услуг и регистрации событий
- — 9. Политика операционной безопасности администраторов облачных услуг
- — 10. Процедура безопасного удаления активов клиентов после завершения сотрудничества
- — 11. Реестр субподрядчиков и документы по управлению цепочкой облачных услуг
- — 12. Документация по согласованию безопасности виртуальных и физических сетей
Получить заявку на сертификацию ISO 27017 →
Надіслати заявкуFAQ
Нет. ISO/IEC 27017 по своей природе является сводом устоявшихся практик (code of practice), а не сертификационным стандартом — в нём отсутствует слово «Requirements» (Требования). Сертификационным стандартом серии 27000 остаётся только ISO/IEC 27001. Сертификация по ISO 27017 достигается как расширение scope сертификации ISO/IEC 27001 — контроли 27017 добавляются в Statement of Applicability, а scope-стейтмент сертификата формулируется в формате «in accordance with ISO/IEC 27001:2022 with controls from ISO/IEC 27017:2015». Такая практика является отраслевым стандартом — именно по этой модели сертифицированы все ведущие облачные провайдеры мира.
ISO/IEC 27017 устанавливает контроли информационной безопасности для облачных услуг в целом и адресован как облачным провайдерам, так и потребителям облачных услуг. ISO/IEC 27018 — специализированный стандарт, фокусирующийся именно на защите персональных данных (PII), обрабатываемых в публичных облаках, и адресованный прежде всего провайдерам, действующим как процессоры PII. Оба стандарта дополняют ISO/IEC 27001 и часто сертифицируются вместе — как единая экосистема контролей для облачного бизнеса: 27001 (база СУИБ) + 27017 (облачная безопасность) + 27018 (защита PII в облаке).
Да. ISO/IEC 27017 построен как надстройка над ISO/IEC 27001 и ISO/IEC 27002 — он не может существовать в отрыве от базовой системы управления информационной безопасностью. Сертификация по ISO 27017 проводится исключительно в рамках сертификации ISO 27001: либо одновременно с первичным аудитом 27001 (для организаций, только внедряющих СУИБ), либо как расширение scope действующего сертификата 27001 (для организаций, уже имеющих подтверждённую СУИБ и добавляющих облачные контроли).
Или напишите нам прямо сейчас
Перезвоним в течение рабочего дня