20 декабря 2019
—
заканчивается
15 февраля 2020
Проект
Разработчик
Другие разработчики
Общество с ограниченной ответственностью «Информационно-аналитический вычислительный центр»
Технический комитет
Международные аналоги
Идентичен международному стандарту ИСО/МЭК 27018:2019 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил по применению общедоступного облачного процессора с расширенным управленческим набором для защиты персональной информации» (ISO/IEC 27018:2019 «Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors»).
ОКС/МКС/ISO
ОКС 35.030
Описание
Стандарт устанавливает общепринятые цели, меры и средства контроля и управления и рекомендации по реализации мер защиты персональных данных (ПДн) в соответствии с правилами конфиденциальности ИСО/МЭК 29100 для вычислительной среды публичных облаков.
В частности, стандарт определяет рекомендации, основываясь на ИСО/МЭК 27002 и учитывая нормативные требования по защите ПДн, которые могут быть применимы в контексте среды (сред) рисков информационной безопасности для провайдера сервисов публичных облаков.
Стандарт применим к организациям разных типов и размеров, включая государственные и частные компании, правительственные объекты и некоммерческие организации, предоставляющим услуги обработки информации в качестве обработчиков ПДн на основе облачных вычислений в соответствии с договором с другими организациями.
Рекомендации стандарта могут относиться к организациям, выступающим в качестве операторов ПДн, однако, на операторов ПДн могут распространяться дополнительные законы, нормы и обязательства по защите ПДн, не применимые к обработчикам ПДн. Стандарт не предназначен для рассмотрения дополнительных обязательств.
Файлы проекта
1 обсуждение
Публичное обсуждение проекта продлится до 15 февраля 2020 г.
Цель стандарта состоит в создании единой совокупности категорий, мер и средств контроля и управления безопасностью, которые могут быть реализованы провайдером вычислительных сервисов публичного облака, выступающим в качестве обработчика персональных данных (ПДн). Эта цель имеет следующие задачи:
- помочь сервис-провайдеру публичного облака соответствовать применимым обязательствам, если он выступает в качестве обработчика ПДн и такие обязательства возлагаются на обработчика ПДн непосредственно или в договоре;
- обеспечить прозрачность обработчика ПДн публичного облака в соответствующих вопросах, чтобы потребители сервиса облачных вычислений могли выбрать хорошо управляемые основанные на облачных вычислениях сервисы обработки ПДн;
- помочь потребителю сервиса облачных вычислений и обработчику ПДн публичного облака составить договорное соглашение;
- предоставить потребителям сервиса облачных вычислений аппарат для проведения аудита и проверки соответствия договорных прав и обязанностей в случаях, когда отдельные аудиты со стороны потребителя сервиса облачных вычислений данных, размещенных в среде со множеством виртуализированных серверов (облаков), могут быть неосуществимы технически и могут увеличивать риски для применяемых мер и средств контроля и управления безопасностью физических и логических сетей.
Стандарт не заменяет применимых законов и норм, но может предоставить общую основу проверки соответствия для сервис-провайдеров публичных облаков, в частности для тех сервис-провайдеров, которые ведут свой бизнес на многонациональном рынке.