Росстандарт: Опубликован ГОСТ Р ИСО/МЭК 27018-2020 «Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки»

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в декабрьском 2020 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=12&year=2020 ) выложен стандарт ГОСТ Р ИСО/МЭК 27018-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки» объёмом 32 страницы, вступающий в силу 01.06.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=228883

Стандарт подготовлен Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН) и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе перевода на русский язык международного стандарта ISO/IEC 27018:2019 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors), о котором см. мой пост http://rusrim.blogspot.com/2019/02/isoiec-27018.html . Стандарт внесён Техническим комитетом по стандартизации ТК 22 «Информационные технологии».

В аннотации отмечается:

«Настоящий стандарт устанавливает общепринятые цели, меры обеспечения информационной безопасности (ИБ) и рекомендации по реализации мер защиты персональных данных (ПДн) в соответствии с правилами конфиденциальности ИСО/МЭК 29100 для вычислительной среды публичных облаков.

В частности, настоящий стандарт определяет рекомендации, основываясь на ИСО/МЭК 27002 и учитывая нормативные требования по защите ПДн. которые могут быть применимы в контексте рисков И Б для поставщика служб публичных облаков.
Настоящий стандарт применим к организациям всех типов и размеров, включая публичные и частные компании, государственные и некоммерческие организации, предоставляющим службы обработки информации в качестве обработчиков ПДн на основе облачных вычислений в соответствии с договором с другими организациями.

Рекомендации настоящего стандарта могут относиться к организациям, выступающим в качестве операторов ПДн, однако на операторов ПДн могут распространяться дополнительные законы, нормы и обязательства по защите ПДн. не применимые к обработчикам ПДн. Настоящий стандарт не предназначен для рассмотрения дополнительных обязательств.»

Содержание стандарта следующее:

1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие сведения
5. Политики информационной безопасности
6. Организация деятельности по информационной безопасности
7. Безопасность, связанная с персоналом
8. Менеджмент активов
9. Управление доступом
10. Криптография
11. Физическая безопасность и защита от воздействия окружающей среды
12. Безопасность при эксплуатации
13. Безопасность коммуникаций
14. Приобретение, разработка и поддержка систем
15. Взаимоотношения с поставщиками
16. Менеджмент инцидентов информационной безопасности
17. Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
18. Соответствие
Приложение А (обязательное): Расширенный набор мер обеспечения информационной безопасности обработчика персональных данных публичного облака для защиты персональных данных
Библиография

Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=228883