Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27018-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

Введение

     

0.1 Предпосылки и контекст

В случаях, когда для обработки персональных данных (ПДн) используются облачные вычисления, поставщик служб облачных вычислений, действующий на основании соответствующего договора с потребителем, должен организовать свои службы таким образом, чтобы требования законодательства и установленных регуляторами правил в области защиты ПДн соблюдались для обоих участников. Распределение конкретных требований и ответственности за их реализацию между участниками зависит от правовой юрисдикции и условий договора между потребителем и поставщиком. Совокупность законов, устанавливающих правила обработки ПДн (в том числе при их сборе, использовании, передаче и уничтожении), часто называют законодательством по защите данных, а ПДн иногда называют личной или персональной информацией. В различных юрисдикциях обязательства, возлагаемые на операторов ПДн, могут заметно отличаться друг от друга, что затрудняет многонациональное ведение бизнеса, предоставляющего службы облачных вычислений.

При использовании служб публичного облака, в котором обработка ПДн осуществляется в интересах и в соответствии с инструкциями потребителя служб облачных вычислений, поставщик служб публичного облака выступает в роли обработчика ПДн. Потребителями служб облачных вычислений (в рамках договорных отношений с обработчиком ПДн публичного облака) могут быть как физические лица (субъекты ПДн), обрабатывающие в облаке свои собственные ПДн, так и организации (операторы ПДн), обрабатывающие ПДн, принадлежащие многим субъектам ПДн. Потребитель служб облачных вычислений может уполномочить одного или многих связанных с ним пользователей на использование служб, доступных ему в рамках договора с обработчиком ПДн публичного облака. Важно, чтобы у потребителя служб облачных вычислений имелись полномочия на обработку и использование ПДн. Потребитель служб облачных вычислений, который одновременно является оператором ПДн, может подпадать под действие более широкой совокупности обязательств, регулирующих защиту ПДн, чем обработчик ПДн публичного облака. Основным признаком, отличающим обработчика ПДн от оператора ПДн, является то, что в процессе обработки ПДн поставщик служб публичного облака (обработчик ПДн) не имеет никаких других целей и не выполняет никаких других операций, кроме установленных потребителем служб облачных вычислений (оператором ПДн) для решения своих задач.

Примечание - При обработке учетных данных потребителя служб облачных вычислений обработчик ПДн публичного облака может выступать в качестве оператора ПДн. Особенности такого варианта распределения ответственности не являются предметом рассмотрения настоящего стандарта.

Цель настоящего стандарта, при его совместном использовании с целями, мерами обеспечения информационной безопасности (ИБ) ИСО/МЭК 27002, состоит в создании единой совокупности категорий, мер обеспечения ИБ, которые могут быть реализованы поставщиком служб публичного облака, выступающим в качестве обработчика ПДн. Эта цель имеет следующие задачи:

- помочь поставщику служб публичного облака соответствовать применимым обязательствам, если он выступает в качестве обработчика ПДн, и такие обязательства возлагаются на обработчика ПДн в законах, подзаконных нормативных правовых актах и договорных соглашениях;

- обеспечить открытость информации об обработчике ПДн публичного облака в соответствующих вопросах, чтобы потребители служб облачных вычислений могли выбрать хорошо управляемые, основанные на облачных вычислениях службы обработки ПДн;

- помочь потребителю служб облачных вычислений и обработчику ПДн публичного облака составить договорное соглашение;

- предоставить потребителям облачных служб методику для реализации прав и обязанностей по аудиту и соответствию требованиям в тех случаях, когда отдельный аудит со стороны потребителя облачных служб для данных, размещенных в среде виртуализированных серверов (облаков) с множеством участников, технически нецелесообразен и может увеличить риски для применяемых мер обеспечения ИБ физических и логических сетей.

Настоящий стандарт не заменяет действующих законов и норм и является методической основой для проверки на соответствие поставщика служб публичных облаков, в частности для тех поставщиков, которые ведут свой бизнес на многонациональном рынке.

0.2 Меры защиты персональных данных при использовании служб облачных вычислений в публичных облаках

Настоящий стандарт разработан для использования организациями в качестве справочника при выборе мер защиты ПДн в процессе реализации системы менеджмента ИБ облачных вычислений на основе ИСО/МЭК 27001, а также в качестве рекомендаций по реализации общепринятых мер защиты ПДн для организаций, выступающих в качестве обработчиков ПДн публичного облака. В частности, настоящий стандарт основан на требованиях ИСО/МЭК 27002 с учетом специфической среды (сред) риска, возникающей из тех требований по защите ПДн, которые могут быть применимы к поставщикам служб публичных облаков, выступающим в качестве обработчика ПДн.

Обычно организация, обеспечивающая выполнение требований ИСО/МЭК 27001, защищает свои собственные информационные активы. Однако в контексте требований по защите ПДн для поставщика служб публичного облака, выступающего в качестве обработчика ПДн, организация защищает информационные активы, доверенные ей ее потребителями. В этой ситуации применение обработчиком ПДн публичного облака мер обеспечения ИБ из ИСО/МЭК 27002 не только оправданно, но и необходимо. Настоящий стандарт дополняет ИСО/МЭК 27002 мерами обеспечения ИБ, которые учитывают распределенную природу риска и существование договорных отношений между потребителем служб облачных вычислений и обработчиком ПДн публичного облака. Настоящий стандарт дополняет ИСО/МЭК 27002 двумя способами:

- руководство по реализации, применимое к защите ПДн в публичных облаках, предусмотрено лишь для некоторых из существующих мер обеспечения ИБ из ИСО/МЭК 27002;

- приложение А содержит ряд дополнительных мер обеспечения ИБ, не вошедших в существующий набор мер обеспечения ИБ из ИСО/МЭК 27002, и соответствующее руководство, предназначенное для соблюдения требований по защите ПДн в публичных облаках.

Большинство мер обеспечения ИБ и руководство настоящего стандарта будут также применимы к оператору ПДн. Однако на оператора ПДн в большинстве случаев будут возлагаться дополнительные обязательства, не установленные в настоящем стандарте.

0.3 Требования по защите персональных данных

Важно, чтобы организация установила свои требования по защите ПДн. Существует три основных источника требований:

a) законы, подзаконные нормативные правовые акты, договорные соглашения. Первый источник - это правовые, законодательные, установленные операторами и договором требования, которые должны соблюдаться организацией, ее торговыми партнерами, подрядчиками и поставщиками, а также их социокультурная ответственность и среда ведения бизнеса. Следует отметить, что законы, нормы и договорные обязательства, взятые на себя обработчиком ПДн, могут устанавливать требования к выбору определенных мер обеспечения ИБ и сделать обязательными определенные критерии реализации этих мер обеспечения ИБ. Такие требования могут меняться от одной юрисдикции к другой;

b) риски. Второй источник требований получен из оценки рисков, связанных с ПДн, с учетом бизнес-стратегии и целей организации. В рамках оценки рисков идентифицируются угрозы и уязвимости и оцениваются вероятности их реализации и потенциальные последствия. Руководство по управлению рисками ИБ, включая рекомендации по оценке, принятию, коммуникации, мониторингу и пересмотру рисков, приведено в ИСО/МЭК 27005. Руководство по оценке воздействия на конфиденциальность (тайну личной жизни, приватность) приведено в ИСО/МЭК 29134;

c) корпоративные политики - третий источник требований. В то время как многие аспекты, содержащиеся в корпоративной политике, получены на основании правовых и социокультурных обязательств, организация может принять решение добровольно расширить требования перечисления а).

0.4 Выбор и реализация мер обеспечения информационной безопасности в среде облачных вычислений

Меры обеспечения ИБ могут быть выбраны из настоящего стандарта (который включает в себя ссылку на меры обеспечения ИБ из ИСО/МЭК 27002, создающего объединенную справочную совокупность мер обеспечения ИБ для данной области или приложения, определенного в области применения). При необходимости меры обеспечения ИБ могут быть выбраны из других наборов мер обеспечения ИБ, а для удовлетворения соответствующих специфических потребностей могут быть разработаны новые меры обеспечения ИБ.

Примечание - Службы обработки ПДн, предоставляемые обработчиком ПДн публичного облака, могут рассматриваться как приложение облачных вычислений, а не как самостоятельный сектор (отрасль). Тем не менее в настоящем стандарте использован термин "с учетом специфики данной отрасли", поскольку это стандартный термин, используемый в других стандартах серии ИСО/МЭК 27000.

Выбор мер обеспечения ИБ зависит от решений организации, основанных на критериях принятия рисков, вариантах обработки рисков и общем подходе к управлению рисками, примененному к организации и, через договорные соглашения, к ее потребителям и поставщикам, а также должен согласовываться со всеми соответствующими применимыми национальными и международными законами и нормами. Если меры обеспечения ИБ из настоящего стандарта не выбраны, то это должно быть задокументировано с обоснованием причин.

Кроме того, выбор и реализация мер обеспечения ИБ зависят от фактической роли поставщика публичного облака в контексте всей эталонной архитектуры облачных вычислений (см. ИСО/МЭК 17789). В поддержание инфраструктурных служб и приложений в среде облачных вычислений может быть вовлечено много различных организаций. В некоторых случаях выбранные меры обеспечения ИБ могут быть уникальны для определенной категории служб эталонной архитектуры облачных вычислений. В других случаях при реализации мер обеспечения ИБ могут существовать общие роли. Договорные соглашения должны определять обязанности по защите ПДн всех организаций, вовлеченных в поддержание или использование служб облачных вычислений, включая обработчика ПДн публичного облака, его субподрядчиков и потребителя служб облачных вычислений.

Меры обеспечения ИБ, описанные в настоящем стандарте, можно считать руководящими принципами и применимыми для большинства организаций. Такие меры обеспечения ИБ, а также руководство по их реализации подробно рассмотрены в настоящем стандарте. Реализация может быть упрощена, если требования по защите ПДн были учтены на стадии проектирования информационных систем, служб и работ обработчика ПДн публичного облака. Данное соображение является элементом концепции, часто называемой "спроектированная защита данных". Соответствующие документы приведены в библиографии (см. [19]).

0.5 Разработка дополнительных рекомендаций