В январе 2019 года сайт ИСО сообщил о публикации второй редакции стандарта ISO/IEC 27018:2019 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors) объёмом 34 страницы, см. https://www.iso.org/standard/76559.html и https://www.iso.org/obp/ui/#!iso:std:76559:en . Стандарт подготовлен технически подкомитетом ИСО/МЭК JTC1/ SC27 «Методы и средства обеспечения безопасности информационных технологий», он заменил первую редакцию, выпущенную в 2014 году.
В аннотации на документ отмечается следующее:
«Настоящий документ устанавливает общепринятые цели управления, меры и средства управления и даёт рекомендации по реализации мер по защите персональных данных (Personally Identifiable Information, PII) в соответствии с принципами защиты неприкосновенности частной жизни, сформулированными в стандарте ISO/IEC 29100, для среды облачных вычислений в публичных облаках.Содержание документа следующее:
В частности, настоящий документ содержит рекомендации, основанные на стандарт ISO/IEC 27002, принимая во внимание законодательно-нормативные требования в отношении защиты персональных данных, которые могут быть применимы в контексте рисков информационной безопасности поставщика публичных облачных услуг.
Настоящий документ применим в организациях любого типа и размера, включая государственные и частные компании, государственные органы и учреждения, а также некоммерческие организации, которые предоставляют услуги обработки информации в качестве обработчиков персональных данных посредством облачных вычислений по контракту с другими организациями.
Содержащиеся в настоящем документе рекомендации могут также могут быть полезны для организаций, действующим в качестве операторов персональных данных. Однако на операторов персональных данных могут распространяться дополнительные положения законов, правила и обязательства по защите персональных данных, которые не распространяются на обработчиков персональных данных. Настоящий документ не рассчитан на то, чтобы охватить подобные дополнительные обязательства.»
ПредисловиеДругие материалы на блоге, относящиеся к данному стандарту, можно найти в подборке http://rusrim.blogspot.com/search?q=27018&max-results=20&by-date=true
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Политики информационной безопасности
6. Организация информационной безопасности
7. Кадровая безопасность
8. Менеджмент активов
9. Контроль доступа
10. Криптография
11. Физическая и экологическая безопасность
12. Безопасность оперативной деятельности
13. Безопасность коммуникаций
14. Закупка, развитие и поддержание систем
15. Взаимоотношения с поставщиками
16. Менеджмент инцидентов информационной безопасности
17. Аспекты информационной безопасности менеджмента непрерывности деловой деятельности
18. Исполнение законодательно-нормативных требований
Приложение A: Расширенный набор мер защиты персональных данных для публичных облаков, выступающих в роли обработчика персональных данных
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/76559.html
https://www.iso.org/obp/ui/#!iso:std:76559:en
Комментариев нет:
Отправить комментарий