Введен в действие новый международный стандарт, являющийся практическим руководством по защите персональных данных, обрабатываемых в публичных облаках – ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.
Целью европейской стратегии облачных вычислений (2012 European Cloud Computing Strategy) является повышение эффективности и производительности путем внедрения “облаков” во всех секторах экономики. Основным препятствием к этому служат опасения насчет обеспечения приватности и безопасности данных в облаках. Ответственность за компрометацию данных при этом возлагается на облачных сервис-провайдеров, являющихся по закону либо операторами, либо обработчиками персональных данных. Новый стандарт ISO/IEC 27018:2014 позволит операторам ПДн демонстрировать свое соответствие лучшим практикам, путем проведения независимых аудитов систем менеджмента ПДн, обрабатываемых в облаках, в рамках авторитетных международных систем сертификации.
ISO/IEC 27018:2014 служит дополнением к ISO/IEC 27001, устанавливающему общие требования к системам менеджмента информационной безопасности (правильнее было бы говорить: системам менеджмента безопасности информации, СМБИ). Он устанавливает общепринятые цели и механизмы контроля, а также предоставляет руководство по их реализации в целях защиты ПДн (в стандарте это называется: Персонально Идентифицируемая Информация, Personally Identifiable Information (PII, ПИИ) в соответствии с принципами обеспечения приватности, сформулированными в международном стандарте ISO/IEC 29100 для публичных облачных сред.
Руководящие принципы данного стандарта базируются на ISO/IEC 27002. Однако при этом требования действующей местной нормативной базы в области защиты ПДн также должны учитываться.
Предшественником ISO/IEC 27018:2014 как известно был британский стандарт BS 10012:2009 Защита данных – Спецификация системы управления персональными данными”, который был первым в мире стандартом на эту тему. BS 10012:2009 был переведен GlobalTrust на русский язык и доступен в интернет-магазине gtrust.ru по адресу: http://shop.globaltrust.ru/show_good.php?idtov=1139
По структуре ISO/IEC 27018:2014 копирует ISO/IEC 27002:2013 и состоит из 20 разделов:
1 Scope
2 Normative references
3 Terms and definitions
4 Overview
5 Information security policies
6 Organization of information security
7 Human resource security
8 Asset management
9 Access control
10 Cryptography
11 Physical and environmental security
12 Operations security
13 Communications security
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
17 Information security aspects of business continuity management
18 Compliance
19 Annexes
20 Bibliography
Для получения актуальной информации о прочих стандартах, входящих в семейство ISO/IEC 27000, имеет смысл посетить соответствующий раздел на портале ISO27000.RU под названием
“Общие сведения о международных стандартах менеджмента информационной безопасности серии ISO/IEC 27000”. Данный раздел периодически обновляется вслед за развитием стандартов.