30 июня 2015
—
заканчивается
22 августа 2015
Проект
Разработчик
Общество с ограниченной ответственностью «Информационно-аналитический вычислительный центр»
Технический комитет
Международные аналоги
Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27018–2014 «Информационные технологии. Методы и средства обеспечения безопасности. Свод правил для защиты персональных данных (ПДн) в публичных облаках, используемых для обработки ПДн» (ISO/IEC 27018:2014 «Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors»)
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.
ОКС/МКС/ISO
ОКС 35.020:35.040
Описание
Настоящий стандарт устанавливает общепринятые цели, меры и средства контроля и управления и рекомендации по реализации мер защиты персональных данных (ПДн) в соответствии с правилами конфиденциальности ИСО/МЭК 29100 для вычислительной среды публичных облаков.
В частности, настоящий стандарт определяет рекомендации, основываясь на ИСО/МЭК 27002 и учитывая нормативные требования по защите ПДн, которые могут быть применимы в контексте среды (сред) рисков информационной безопасности для провайдера сервисов публичных облаков.
Настоящий стандарт применим ко всем типам и размерам организаций, включая государственные и частные компании, правительственные объекты и некоммерческие организации, предоставляющим услуги обработки информации в качестве обработчиков ПДн на основе облачных вычислений в соответствии с договором с другими организациями.
Рекомендации настоящего международного стандарта могут также относиться к организациям, выступающим в качестве операторов ПДн; однако, на операторов ПДн могут распространяться дополнительные законы, нормы и обязательства по защите ПДн, не применимые к обработчикам ПДн. Настоящий международный стандарт не предназначен для рассмотрения таких дополнительных обязательств.
Файлы проекта
1 обсуждение
Цель настоящего стандарта, при его совместном использовании с целями и мерами и средствами контроля и управления информационной безопасностью стандарта ИСО/МЭК 27002, состоит в создании единой совокупности категорий и мер и средств контроля и управления безопасностью, которые могут быть реализованы провайдером вычислительных сервисов публичного облака, выступающим в качестве обработчика ПДн. Эта цель имеет следующие задачи:
- помочь сервис-провайдеру публичного облака соответствовать применимым обязательствам, если он выступает в качестве обработчика ПДн и такие обязательства возлагаются на обработчика ПДн непосредственно или в договоре;
- обеспечить прозрачность обработчика ПДн публичного облака в соответствующих вопросах, чтобы потребители сервиса облачных вычислений могли выбрать хорошо управляемые основанные на облачных вычислениях сервисы обработки ПДн;
- помочь потребителю сервиса облачных вычислений и обработчику ПДн публичного облака составить договорное соглашение;
- предоставить потребителям сервиса облачных вычислений аппарат для проведения аудита и проверки соответствия договорных прав и обязанностей в случаях, когда отдельные аудиты со стороны потребителя сервиса облачных вычислений данных, размещенных в среде со множеством виртуализированных серверов (облаков), могут быть неосуществимы технически и могут увеличивать риски для применяемых мер и средств контроля и управления безопасностью физических и логических сетей.
Настоящий стандарт не заменяет применимых законов и норм, но может предоставить общую основу проверки соответствия для сервис-провайдеров публичных облаков, в частности для тех, которые ведут свой бизнес на многонациональном рынке.