Сертифікація ISO 27017
ISO/IEC 27017 — міжнародний стандарт, що встановлює специфічні контролі інформаційної безпеки для хмарних обчислень. Він поглиблює та розширює загальні контролі ISO/IEC 27002, додаючи сім нових заходів безпеки, унікальних для хмарного середовища, і розширені настанови з імплементації ще для тридцяти семи контролів у контексті надання та використання хмарних послуг. Стандарт адресовано як постачальникам хмарних послуг (CSP — Cloud Service Providers), так і їхнім клієнтам — споживачам хмарних послуг (CSC — Cloud Service Customers).
Imperium Certific — акредитований НААУ орган з сертифікації. Ми проводимо сертифікаційні аудити відповідно до вимог ДСТУ EN ISO/IEC 27017:2022 (EN ISO/IEC 27017:2021, IDT; ISO/IEC 27017:2015, IDT) як розширення scope сертифікації за ISO/IEC 27001.
Важливо розуміти: ISO/IEC 27017 за своєю природою є кодексом усталеної практики (code of practice), а не requirements-стандартом. Самостійної сертифікації за ISO 27017 не існує — сертифікаційним стандартом серії 27000 залишається лише ISO/IEC 27001. Сертифікація за ISO 27017 досягається через розширення scope аудиту ISO/IEC 27001 з включенням контролів 27017 до Statement of Applicability. Така практика є галузевим стандартом — за цією моделлю сертифіковані Microsoft Azure, AWS, Google Cloud, Oracle, Salesforce та інші провідні хмарні провайдери світу.
Акредитація НААУ
Imperium Certific — орган з сертифікації, акредитований Національним агентством з акредитації України (НААУ) відповідно до вимог ДСТУ EN ISO/IEC 17021-1. Сертифікати, видані акредитованим органом, визнаються у рамках багатосторонніх угод IAF MLA та EA MLA, що забезпечує їхнє міжнародне визнання без додаткових процедур підтвердження.
Кому підходить сертифікація ISO 27017
Стандарт ISO/IEC 27017 застосовний до будь-якої організації, яка надає або використовує хмарні обчислення. Сертифікація особливо актуальна для:
Постачальники хмарних послуг (CSP)
— SaaS-, PaaS-, IaaS-провайдери, хмарні платформи, BaaS- та FaaS-сервіси
Дата-центри та хостинг-провайдери
— колокація, dedicated-сервери, віртуальні дата-центри, edge-локації
Розробники хмарних SaaS-рішень
— CRM, ERP, HRM, медичні платформи, освітні системи, фінтех-сервіси
MSP та MSSP компанії
— керовані сервіси, мережева безпека як послуга, SOC-as-a-Service, керування хмарною інфраструктурою
Інтегратори та брокери хмарних послуг
— компанії, що проєктують мультихмарні архітектури, перепродають хмарні послуги, керують міграцією
Споживачі хмарних послуг (CSC)
— фінансові установи, медичні організації, державні підприємства та компанії, що мігрують критичні навантаження у хмару й мають довести належний контроль над хмарними ризиками
Будь-яка організація
— що передає, зберігає або обробляє інформацію у хмарних середовищах і потребує системного підходу до безпеки на стику з провайдером
Переваги сертифікації ISO 27017
Сертифікація ISO 27017 — це системна відповідь на специфічні ризики хмарних обчислень, які не покриваються загальними контролями ISO 27001.
-
Закриття саме хмарних ризиків — стандарт додає сім спеціальних контролів для хмарного середовища (сегрегація у віртуальних обчислювальних середовищах, посилення безпеки віртуальних машин, моніторинг хмарних послуг, узгодження безпеки віртуальних і фізичних мереж та інші) плюс розширені настанови з імплементації для тридцяти семи контролів ISO/IEC 27002 у хмарному контексті
-
Чіткий розподіл відповідальності CSP ↔ CSC — стандарт формалізує модель shared responsibility, знімаючи десятки потенційних суперечок між провайдером і клієнтом ще на етапі укладення договору. Кожна сторона чітко знає, які контролі реалізує самостійно, а які — у партнерстві
-
Конкурентна перевага у корпоративних та міжнародних тендерах — банки, страхові, медичні установи та компанії з ЄС дедалі частіше включають вимогу відповідності ISO 27017 у тендерну документацію для хмарних послуг. Без такого сертифіката провайдер ризикує не потрапити до короткого списку
-
Готовність до європейських регуляторних вимог — стандарт є фундаментом для відповідності EUCS (European Cybersecurity Certification Scheme for Cloud Services), вимогам Директиви NIS2, а також для роботи з обробкою персональних даних згідно з GDPR у зв'язці з ISO/IEC 27018
-
Підвищення довіри клієнтів і партнерів — сертифікат є публічним доказом того, що організація професійно керує специфічними хмарними загрозами: компрометацією гіпервізора, неавторизованим міжтенантним доступом, неконтрольованим розповсюдженням адміністративних привілеїв, ризиками безпечного видалення даних у мультитенантній інфраструктурі
-
Інтеграція з ISO 27001 без дублювання документації — оскільки ISO 27017 побудований на базі ISO/IEC 27002 та сертифікується як розширення scope ISO 27001, додаткова документаційна робота мінімальна. Контролі 27017 органічно інтегруються в існуючу СУІБ через Statement of Applicability
Замовити сертифікацію
Процес сертифікації ISO 27017
ISO/IEC 27017 сертифікація проводиться як add-on assessment у рамках сертифікаційного аудиту ISO/IEC 27001 і відповідає вимогам ISO/IEC 17021-1 та акредитації НААУ.
Етап 1 — Заявка та визначення scope — Організація подає заявку на сертифікацію ISO 27001 з розширенням scope за ISO 27017. Ми аналізуємо архітектуру хмарних послуг, моделі надання (SaaS/PaaS/IaaS), ролі CSP та CSC у scope СУІБ, кількість тенантів, географію дата-центрів та обсяг хмарної інфраструктури для визначення трудомісткості аудиту.
Етап 2 — Аудит першого етапу (документальний) — Перевірка готовності СУІБ та хмарних контролів: політика інформаційної безпеки у хмарному контексті, оцінка хмарних ризиків, Statement of Applicability з включеними контролями ISO 27017, договірна модель з клієнтами та субпідрядниками, процедури управління віртуальною інфраструктурою.
Етап 3 — Аудит другого етапу (на місці) — Команда аудиторів перевіряє практичне функціонування контролів 27017: сегрегацію віртуальних середовищ, посилення безпеки VM-образів, моніторинг хмарних послуг, узгодження безпеки віртуальних і фізичних мереж, безпечне видалення активів клієнтів, операційну безпеку адміністраторів, узгодженість безпеки між CSP та CSC.
Етап 4 — Рішення про сертифікацію — За результатами аудиту формується звіт. Рішення про видачу сертифіката приймається незалежно від аудиторської групи, що забезпечує неупередженість оцінки.
Етап 5 — Видача сертифіката — Видається сертифікат ISO/IEC 27001 із прямим зазначенням у scope-стейтменті, що СУІБ включає контролі ISO/IEC 27017:2015. Сертифікат видається строком на 3 роки. Інформація про сертифікацію вноситься до реєстру Imperium Certific.
Етап 6 — Наглядові аудити — Щорічні наглядові аудити підтверджують безперервне функціонування контролів 27017 у складі СУІБ. Ресертифікаційний аудит проводиться до закінчення строку дії сертифіката.
Вартість сертифікації ISO 27017
Вартість сертифікації за ISO 27017 додається до базової вартості сертифікації ISO 27001 і визначається індивідуально на основі попереднього аналізу.
Фактори, що впливають на вартість:
Розрахувати вартість →
Прорахуємо вартість
Заповніть короткий опитувальник — підготуємо пропозицію під ваш бізнес
Документи для сертифікації ISO 27017
Окрім стандартного пакета документів для ISO 27001, організація має додатково підготувати:
- — 1. Опис архітектури хмарних послуг та моделей їх надання
- — 2. Опис розподілу ролей CSP та CSC у scope СУІБ
- — 3. Statement of Applicability з включеними контролями ISO/IEC 27017
- — 4. Договори з клієнтами хмарних послуг (cloud service agreements)
- — 5. Процедури управління віртуальною інфраструктурою та гіпервізорами
- — 6. Політика сегрегації віртуальних обчислювальних середовищ
- — 7. Процедури посилення безпеки віртуальних машин (VM hardening)
- — 8. Процедури моніторингу хмарних послуг та реєстрації подій
- — 9. Політика операційної безпеки адміністраторів хмарних послуг
- — 10. Процедура безпечного видалення активів клієнтів після завершення співпраці
- — 11. Реєстр субпідрядників та документи щодо керування ланцюгом хмарних послуг
- — 12. Документація щодо узгодження безпеки віртуальних і фізичних мереж
Отримати заявку на сертифікацію ISO 27017 →
Надіслати заявкуFAQ
Ні. ISO/IEC 27017 за своєю природою є кодексом усталеної практики (code of practice), а не сертифікаційним стандартом — у ньому відсутнє слово «Requirements» (Вимоги). Сертифікаційним стандартом серії 27000 залишається лише ISO/IEC 27001. Сертифікація за ISO 27017 досягається як розширення scope сертифікації ISO/IEC 27001 — контролі 27017 додаються до Statement of Applicability, а scope-стейтмент сертифіката формулюється у форматі «in accordance with ISO/IEC 27001:2022 with controls from ISO/IEC 27017:2015». Така практика є галузевим стандартом — саме за цією моделлю сертифіковані всі провідні хмарні провайдери світу.
ISO/IEC 27017 встановлює контролі інформаційної безпеки для хмарних послуг загалом і адресований як хмарним провайдерам, так і споживачам хмарних послуг. ISO/IEC 27018 — спеціалізований стандарт, що фокусується саме на захисті персональних даних (PII), які обробляються у публічних хмарах, і адресований передусім провайдерам, що діють як процесори PII. Обидва стандарти доповнюють ISO/IEC 27001 і часто сертифікуються разом — як єдина екосистема контролів для хмарного бізнесу: 27001 (база СУІБ) + 27017 (хмарна безпека) + 27018 (захист PII у хмарі).
Так. ISO/IEC 27017 побудований як надбудова над ISO/IEC 27001 та ISO/IEC 27002 — він не може існувати у відриві від базової системи управління інформаційною безпекою. Сертифікація за ISO 27017 проводиться виключно у рамках сертифікації ISO 27001: або одночасно з первинним аудитом 27001 (для організацій, що тільки впроваджують СУІБ), або як розширення scope чинного сертифіката 27001 (для організацій, що вже мають підтверджену СУІБ і додають хмарні контролі).
Або напишіть нам прямо зараз
Зателефонуємо протягом робочого дня