ISO 27018
ISO 27018 — это международный стандарт, устанавливающий требования к защите персональных данных (ПДн) при их обработке в публичных облачных вычислениях. Официальное полное название: «Информационные технологии — Методы безопасности — Практические правила защиты персональных данных в публичных облаках, действующих в качестве обработчиков ПДн». Стандарт был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как дополнение к семейству стандартов ISO/IEC 27000, в частности к ISO/IEC 27001 (системы менеджмента информационной безопасности) и ISO/IEC 27002 (свод правил по управлению информационной безопасностью). Основная цель ISO 27018 — предоставить облачным провайдерам (обработчикам ПДн) конкретные рекомендации и требования для обеспечения конфиденциальности, целостности и доступности персональных данных, а также для демонстрации соответствия законодательству о защите данных, такому как Общий регламент по защите данных (GDPR) Европейского союза.
История создания
Разработка ISO 27018 началась в 2010-х годах в ответ на стремительный рост использования публичных облачных сервисов и сопутствующие риски для конфиденциальности персональных данных. До появления этого стандарта облачные провайдеры, стремясь подтвердить свою надежность, часто проходили сертификацию по ISO/IEC 27001, однако этот стандарт не содержал специфических требований, касающихся обработки именно персональных данных. Это создавало неопределенность для клиентов (контролеров данных), особенно в регулируемых отраслях и юрисдикциях с жесткими законами о защите данных.
Первая редакция стандарта была опубликована в 2014 году. Она стала первым международным стандартом, специально ориентированным на защиту персональных данных в облаке. В 2019 году была выпущена вторая редакция (ISO/IEC 27018:2019), которая учла изменения в нормативной среде, включая вступление в силу GDPR в 2018 году, а также уточнила некоторые требования и добавила новые рекомендации.
Структура и ключевые требования
Стандарт построен на основе требований ISO/IEC 27001 и дополняет их специфическими для обработки ПДн элементами. Он не заменяет ISO/IEC 27001, а расширяет его применительно к облачным сервисам. Основные разделы и требования ISO 27018 включают:
Ответственность и прозрачность
- Определение ролей: Четкое разграничение ответственности между контролером данных (клиентом) и обработчиком данных (облачным провайдером). Провайдер обязан действовать только в соответствии с документированными инструкциями контролера.
- Прозрачность: Обязательство провайдера публиковать информацию о том, где географически хранятся и обрабатываются персональные данные, а также о субпроцессорах (третьих сторонах, привлекаемых для обработки).
- Уведомление о нарушениях: Требование незамедлительно уведомлять контролера данных о любом нарушении безопасности, которое привело к утечке персональных данных.
Управление доступом и контроль
- Минимизация доступа: Принцип наименьших привилегий — сотрудники провайдера должны иметь доступ только к тем персональным данным, которые необходимы для выполнения их служебных обязанностей.
- Аутентификация и авторизация: Использование надежных методов аутентификации (многофакторная аутентификация) и строгих политик управления учетными записями.
- Физическая безопасность: Защита центров обработки данных (ЦОД) от несанкционированного физического доступа.
Обработка и хранение данных
- Цель обработки: Персональные данные могут обрабатываться только для целей, заранее согласованных с контролером. Использование данных для собственных целей провайдера (например, для маркетинга или аналитики) запрещено без отдельного согласия.
- Удаление и возврат данных: По окончании срока действия договора или по запросу контролера провайдер обязан либо вернуть все персональные данные, либо безвозвратно их удалить, за исключением случаев, когда хранение требуется по закону.
- Изоляция данных: Требование к логической или физической изоляции персональных данных одного клиента от данных других клиентов в мультитенантной среде.
Управление субпроцессорами
- Согласование: Провайдер может привлекать субпроцессоров только с предварительного письменного согласия контролера данных. Контролер должен иметь возможность отказаться от услуг конкретного субпроцессора.
- Контрактные обязательства: Субпроцессоры должны быть связаны контрактом, налагающим на них те же обязательства по защите данных, что и на основного провайдера.
Инциденты и аудит
- Журналирование: Ведение подробных журналов (логов) всех операций с персональными данными (доступ, изменение, удаление) для возможности последующего аудита и расследования инцидентов.
- Право на аудит: Контролер данных или уполномоченный им аудитор имеет право проводить аудит провайдера для проверки соответствия требованиям стандарта и договора.
Применение и значение
ISO 27018 является добровольным стандартом, но его сертификация служит важным конкурентным преимуществом для облачных провайдеров. Для клиентов, особенно для организаций, работающих с большими объемами персональных данных (например, в здравоохранении, финансах, электронной коммерции), наличие у провайдера сертификата ISO 27018 является одним из ключевых критериев выбора.
Стандарт особенно актуален в контексте трансграничной передачи данных. Хотя он не является прямым эквивалентом национальных законов (например, Федерального закона «О персональных данных» № 152-ФЗ в России или GDPR в ЕС), его требования во многом соответствуют принципам этих законов. Сертификация помогает провайдерам продемонстрировать, что они принимают адекватные меры для защиты ПДн, что упрощает выполнение требований регуляторов.
В России, где действует строгое законодательство о локализации персональных данных (требование хранить ПДн граждан РФ на серверах, расположенных на территории РФ), использование ISO 27018 может быть частью комплексной стратегии обеспечения безопасности, но не отменяет необходимости соблюдения национальных норм.
Критика и ограничения
Несмотря на широкое признание, ISO 27018 имеет ряд ограничений:
- Добровольность: Сертификация не является обязательной, и многие провайдеры могут не проходить её, что создает сложности для сравнения уровня безопасности.
- Сложность аудита: Проведение аудита на соответствие стандарту требует времени и ресурсов, особенно для крупных распределенных облачных платформ.
- Неполное покрытие: Стандарт фокусируется на действиях обработчика данных, но не регулирует обязанности контролера данных (клиента), который также несет ответственность за законность сбора и обработки ПДн.
- Динамика законодательства: Стандарт, будучи международным, может отставать от изменений в национальных законодательствах, которые иногда вводят более строгие или специфические требования.
Связь с другими стандартами
ISO 27018 входит в семейство стандартов ISO/IEC 27000 и тесно связан с:
- ISO/IEC 27001: Базовый стандарт для СМИБ. Сертификация по ISO 27018 обычно проводится вместе с сертификацией по ISO 27001.
- ISO/IEC 27002: Содержит общие рекомендации по выбору и реализации мер безопасности.
- ISO/IEC 27017: Стандарт по информационной безопасности для облачных сервисов, который дополняет ISO/IEC 27002 рекомендациями для облачной среды. ISO 27018 фокусируется именно на защите персональных данных, в то время как ISO 27017 охватывает более широкий круг вопросов безопасности облака.
Источники
- ISO/IEC 27018:2019 — Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.
- ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (Российская Федерация).
- Регламент Европейского парламента и Совета Европейского союза 2016/679 (General Data Protection Regulation, GDPR).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →