ГОСТ Р ИСО/МЭК 27018-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки
5.1 Руководящие указания в части информационной безопасности
Применяется цель, определенная в ИСО/МЭК 27002:2013 (см. 5.1).
5.1.1 Политики информационной безопасности
Применяются меры обеспечения ИБ и соответствующие им рекомендации по реализации, а также другая информация, определенные в ИСО/МЭК 27002 (см. 5.1.1). Также применяются следующие специфичные для данной области рекомендации.
Рекомендации по реализации мер защиты персональных данных в публичных облаках
Политики ИБ должны быть дополнены выражением поддержки и обязательством достигнуть соответствия с применимым законодательством по защите ПДн и договорными условиями, согласованными между обработчиком ПДн публичного облака и его клиентами (потребителями служб облачных вычислений).
Договорные соглашения должны четко распределять обязанности между обработчиком ПДн публичного облака, его субподрядчиками и потребителем служб облачных вычислений, приняв во внимание тип рассматриваемой службы облачных вычислений (например, категории служб laaS, PaaS или SaaS эталонной архитектуры облачных вычислений). Например, распределение обязанностей по мерам обеспечения ИБ прикладного уровня может отличаться в зависимости от того, предоставляет ли обработчик ПДн публичного облака службу SaaS или отдает предпочтение службе PaaS или laaS, на основе которого потребитель служб облачных вычислений может создать или разделить по уровням свои собственные приложения.
Другая информация по защите персональных данных в публичных облаках
В некоторых юрисдикциях обработчик ПДн публичного облака непосредственно подпадает под действие законодательства по защите ПДн. В других случаях законодательство по защите ПДн применяется только по отношению к оператору ПДн.
Механизм, обеспечивающий обязанность обработчика ПДн публичного облака поддерживать и управлять соответствием требованиям, предусматривается договором между потребителем служб облачных вычислений и обработчиком ПДн публичного облака. Договор может требовать оцениваемого во время независимой проверки соответствия, приемлемого для потребителя служб облачных вычислений, например, посредством реализации соответствующих мер обеспечения ИБ по настоящему стандарту и ИСО/МЭК 27002.
5.1.2 Пересмотр политик информационной безопасности
Применяются меры обеспечения ИБ и соответствующие им рекомендации по реализации, определенные в ИСО/МЭК 27002 (см. 5.1.2).