Стандарт разработан подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».
В России данный стандарт (в редакции 2019 года) был адаптирован как ГОСТ Р ИСО/МЭК 27018-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=228883 , а также мой пост https://rusrim.blogspot.com/2020/12/27018-2020.html .
Что представляет собой стандарт ISO/IEC 27018?
Стандарт ISO/IEC 27018 содержит рекомендации по защите персональных данных (ПДн) в публичных облачных сервисах, в частности, в случае, когда поставщик облачных услуг выступает в качестве обработчика персональных данных. Данный стандарт, основанный на стандарте ISO/IEC 27002, описывает адаптированные к облачным средам принципы и меры и средства контроля/управления, обеспечивая ответственную, прозрачную и безопасную обработку персональных данных поставщиками облачных услуг.
Мой комментарий: Здесь упоминается стандарт ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Меры и средства обеспечения информационной безопасности» (Information security, cybersecurity and privacy protection - Information security controls), см. https://www.iso.org/standard/75652.html и https://www.iso.org/obp/ui/#!iso:std:75652:en , а также мой пост http://rusrim.blogspot.com/2023/06/isoiec-270022022.html . В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363 , на основе редакции международного стандарта ISO/IEC 27002, выпущенной в 2013 году.
Чем важен стандарт ISO/IEC 27018?
По мере того, как облачные вычисления становятся способом предоставления услуг по умолчанию, организациям необходимо обеспечить надлежащую защиту персональных данных, хранящихся и обрабатываемых в облаке. Стандарт ISO/IEC 27018 помогает поставщикам облачных услуг исполнять законодательно-нормативные, договорные и этические обязательства в отношении персональных данных. Он обеспечивает исполнение законодательно-нормативных требований во всех применимых юрисдикциях, способствует повышению доверия клиентов и обеспечивает четкую структуру защиты данных в облаке.
Преимущества стандарта
Стандарт ISO/IEC 27018:
- Способствует повышению доверия благодаря соответствию глобальным принципам обеспечения неприкосновенности частной жизни (защиты персональных данных)
- Разъясняет роли и обязанности поставщиков облачных услуг и их клиентов
- Помогает поставщикам облачных услуг исполнять законодательно-нормативные требования и договорные обязательства
- Поддерживает прозрачность, возможность проведения аудита и подотчётность при обработке персональных данных
- Способствует реализации запроектированной защиты персональных данных (privacy-by-design) при разработке облачных сервисов
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Организационные меры контроля и управления
6. Кадровые меры контроля и управления
7. Физические меры контроля и управления
8. Технологические меры контроля и управления
Приложение A: Расширенный набор мер защиты персональных данных для публичных облаков, выступающих в роли обработчика персональных данных
Приложение B: Соответствие между настоящим документом и редакцией ISO/IEC 27018:2019
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/27018
https://www.iso.org/obp/ui/en/#!iso:std:88150:en
Комментариев нет:
Отправить комментарий