Открыть сервис

ISO 27018

ISO 27018 — это международный стандарт, устанавливающий требования к защите персональных данных (ПДн) при их обработке в публичных облачных вычислениях. Официальное полное название: «Информационные технологии — Методы безопасности — Практические правила защиты персональных данных в публичных облаках, действующих в качестве обработчиков ПДн». Стандарт был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как дополнение к семейству стандартов ISO/IEC 27000, в частности к ISO/IEC 27001 (системы менеджмента информационной безопасности) и ISO/IEC 27002 (свод правил по управлению информационной безопасностью). Основная цель ISO 27018 — предоставить облачным провайдерам (обработчикам ПДн) конкретные рекомендации и требования для обеспечения конфиденциальности, целостности и доступности персональных данных, а также для демонстрации соответствия законодательству о защите данных, такому как Общий регламент по защите данных (GDPR) Европейского союза.

История создания

Разработка ISO 27018 началась в 2010-х годах в ответ на стремительный рост использования публичных облачных сервисов и сопутствующие риски для конфиденциальности персональных данных. До появления этого стандарта облачные провайдеры, стремясь подтвердить свою надежность, часто проходили сертификацию по ISO/IEC 27001, однако этот стандарт не содержал специфических требований, касающихся обработки именно персональных данных. Это создавало неопределенность для клиентов (контролеров данных), особенно в регулируемых отраслях и юрисдикциях с жесткими законами о защите данных.

Первая редакция стандарта была опубликована в 2014 году. Она стала первым международным стандартом, специально ориентированным на защиту персональных данных в облаке. В 2019 году была выпущена вторая редакция (ISO/IEC 27018:2019), которая учла изменения в нормативной среде, включая вступление в силу GDPR в 2018 году, а также уточнила некоторые требования и добавила новые рекомендации.

Структура и ключевые требования

Стандарт построен на основе требований ISO/IEC 27001 и дополняет их специфическими для обработки ПДн элементами. Он не заменяет ISO/IEC 27001, а расширяет его применительно к облачным сервисам. Основные разделы и требования ISO 27018 включают:

Ответственность и прозрачность

Управление доступом и контроль

Обработка и хранение данных

Управление субпроцессорами

Инциденты и аудит

Применение и значение

ISO 27018 является добровольным стандартом, но его сертификация служит важным конкурентным преимуществом для облачных провайдеров. Для клиентов, особенно для организаций, работающих с большими объемами персональных данных (например, в здравоохранении, финансах, электронной коммерции), наличие у провайдера сертификата ISO 27018 является одним из ключевых критериев выбора.

Стандарт особенно актуален в контексте трансграничной передачи данных. Хотя он не является прямым эквивалентом национальных законов (например, Федерального закона «О персональных данных» № 152-ФЗ в России или GDPR в ЕС), его требования во многом соответствуют принципам этих законов. Сертификация помогает провайдерам продемонстрировать, что они принимают адекватные меры для защиты ПДн, что упрощает выполнение требований регуляторов.

В России, где действует строгое законодательство о локализации персональных данных (требование хранить ПДн граждан РФ на серверах, расположенных на территории РФ), использование ISO 27018 может быть частью комплексной стратегии обеспечения безопасности, но не отменяет необходимости соблюдения национальных норм.

Критика и ограничения

Несмотря на широкое признание, ISO 27018 имеет ряд ограничений:

Связь с другими стандартами

ISO 27018 входит в семейство стандартов ISO/IEC 27000 и тесно связан с:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →