На сайте Британского института стандартов начато публичное обсуждение стандарта ИСО по мерам защиты персональных данных при оказании публичных облачных услуг

13 января 2014 года на сайте Британского института стандартов был выложен для публичного обсуждения проект нового стандарта ISO/IEC DIS 27018 «Информационные технологии – Меры безопасности - Свод практики по мерам защиты персональных данных при оказании публичных облачных услуг в качестве обработчиков персональных данных, действующих по поручению оператора»  (Information technology - Security techniques - Code of practice for PII protection in public cloud acting as PII processors,  http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498 ), подготовленный техническим подкомитетом JTC1/SC27 Международной организации по стандартизации (ИСО).

Обсуждение продлится до 8 марта 2014 года. Познакомиться с проектом можно по адресу http://drafts.bsigroup.com/Home/Details/52362

Данный стандарт содержит общепринятые общие цели, меры контроля и управления и рекомендации по реализации мер по защите персональных данных (Personally Identifiable Information, PII) в среде публичного облака, соответствующих сформулированным в стандарте ISO/IEC 29100 принципам неприкосновенности частной жизни.

В частности, данный стандарт содержит опирающиеся на стандарт ISO/IEC 27002 рекомендации, учитывающие законодательно-нормативные требования к защите персональных данных, которые следует учитывать в контексте рисков в сфере информационной безопасности поставщика услуг публичного облака

Данный международный стандарт применим в организациях любого типа и размера, в том числе в государственных и частных компаниях, в государственных органах и учреждениях и в некоммерческих организациях, оказывающих услуги другим организациям по обработке информации в качестве действующих по поручению оператора персональных данных обработчиков персональных данных (PII processors) с использованием облачных вычислений.

Рекомендации данного стандарта также могут быть полезны организациям, являющимся операторами персональных данных (PII controllers), однако операторы могут также подпадать под  дополнительные законодательно-нормативные требования и обязательства, не относящиеся к обработчикам. Данный международный стандарт не охватывает дополнительные требования такого рода.

Источники: сайт Британского института стандартов / сайт ИСО
http://drafts.bsigroup.com/Home/Details/52362
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498