Новый ГОСТ: Вопросы безопасности и защиты персональных данных в соглашениях об уровне обслуживания для облачных услуг

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в декабрьском 2020 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=12&year=2020 ) выложен стандарт ГОСТ Р ИСО/МЭК 19086-4-2020 «Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных» объёмом 24 страницы, вступающий в силу  01.06.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=228880 .

Стандарт подготовлен Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН) и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе перевода на русский язык международного стандарта ISO/IEC 19086-4:2019 «Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 4: Компоненты безопасности и защиты персональных данных» (Cloud computing - Service level agreement (SLA) framework - Part 4: Components of security and of protection of PII), о котором см. мой пост http://rusrim.blogspot.com/2019/02/blog-post_28.html . Стандарт внесён Техническим комитетом по стандартизации ТК 22 «Информационные технологии».

В аннотации отмечается:

«Настоящий стандарт описывает компоненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в соглашениях об уровне обслуживания облачных служб (облачное SLA), включая соответствующие требования и рекомендации.

Настоящий стандарт предназначен для использования как поставщиками, так и потребителями облачных служб.»

Содержание стандарта следующее:

1. Область применения
2. Нормативные ссылки.
3. Термины и определения
4. Обозначения и сокращения
5. Взаимосвязь настоящего стандарта с другими частями ИСО/МЭК 19086
6. Обзор
7. Компоненты обеспечения информационной безопасности
•    7.1. Компонент «Политики информационной безопасности»
•    7.2. Компонент «Организация деятельности по информационной безопасности»
•    7.3. Компонент «Менеджмент активов»
•    7.4. Компонент «Управление доступом»
•    7.5. Компонент «Криптография»
•    7.6. Компонент «Физическая безопасность и защита от воздействия окружающей среды»
•    7.7. Компонент «Безопасность при эксплуатации»
•    7.8. Компонент «Безопасность коммуникаций»
•    7.9. Компонент «Приобретение, разработка и поддержка систем»
•    7.10. Компонент «Взаимоотношения с поставщиками»
•    7.11. Компонент «Менеджмент инцидентов информационной безопасности»
•    7.12. Компонент «Менеджмент непрерывности деятельности организации»
•    7.13. Компонент «Соответствие нормативным требованиям»
8 Защита персональных данных
•    8.1. Компонент а Согласие и возможность выбора»
•    8.2. Компонент «Законность и декларация целей обработки персональных данных»
•    8.3. Компонент «Минимизация данных»
•    8.4. Компонент «Ограничение использования, хранения и раскрытия»
•    8.5. Компонент «Точность и качество»
•    8.6. Компонент «Открытость, прозрачность и наблюдаемость»
•    8.7. Компонент «Индивидуальное участие и доступ»
•    8.8. Компонент «Подотчетность»
•    8.9. Компонент соответствия условий обработки персональных данных законодательству.
Библиография

Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=228880