ГОСТ Р ИСО/МЭК 27018-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки
4.1 Структура стандарта
Настоящий стандарт имеет структуру, схожую со структурой ИСО/МЭК 27002. В случаях, когда определенные в ИСО/МЭК 27002 цели, меры обеспечения ИБ применимы напрямую, без каких-либо дополнительных особенностей, дается ссылка на ИСО/МЭК 27002. Дополнительные меры обеспечения ИБ и соответствующие им рекомендации по реализации, применимые к защите ПДн поставщиками служб облачных вычислений, приведены в приложении А.
В случаях, когда для мер обеспечения ИБ требуется дополнительное руководство, применимое к защите ПДн поставщиками служб облачных вычислений, оно приведено под заголовком "Рекомендации по реализации мер защиты персональных данных в публичных облаках". В ряде случаев соответствующая информация, усиливающая дополнительное руководство, приведена под заголовком "Другая информация по защите персональных данных в публичных облаках".
Как показано в таблице 1, специфичное для данной отрасли руководство по реализации и другая информация включены в определенные в ИСО/МЭК 27002 категории. Номера пунктов, указанные в таблице, приведены в соответствие с номерами пунктов в ИСО/МЭК 27002.
Настоящий стандарт должен использоваться вместе с ИСО/МЭК 27001, и применение дополнительных мер обеспечения ИБ, определенных в приложении А, должно рассматриваться как часть процесса внедрения Системы менеджмента ИБ на основе 27001.
Таблица 1 - Место специфичного для данной отрасли руководства и другой информации по реализации мер обеспечения ИБ из ИСО/МЭК 27002
Номер раздела | Категория мер обеспечения ИБ | Комментарии |
5 | Политики информационной безопасности | Предоставлено специфичное для данной области руководство по реализации и другая информация. |
6 | Организация деятельности по информационной безопасности | Предоставлено специфичное для данной области руководство по реализации. |
7 | Безопасность, связанная с персоналом | Предоставлено специфичное для данной области руководство по реализации и другая информация. |
8 | Менеджмент активов | Не предоставлено никакого специфичного для данной области руководства по реализации и другой информации. |
9 | Управление доступом | Предоставлено специфичное для данной области руководство по реализации вместе с перекрестной ссылкой на средство(а) управления в приложении А. |
10 | Криптография | Предоставлено специфичное для данной области руководство по реализации. |
11 | Физическая безопасность и защита от воздействия окружающей среды | Предоставлено специфичное для данной области руководство по реализации вместе с перекрестной ссылкой на средство(а) управления в приложении А. |
12 | Безопасность при эксплуатации | Предоставлено специфичное для данной области руководство по реализации. |
13 | Безопасность систем связи | Предоставлено специфичное для данной области руководство по реализации вместе с перекрестной ссылкой на средство(а) управления в приложении А. |
14 | Приобретение, разработка и поддержка систем | Не предоставлено никакого специфичного для данной области руководства по реализации и другой информации. |
15 | Взаимоотношения с поставщиками | Не предоставлено никакого специфичного для данной области руководства по реализации и другой информации. |
16 | Менеджмент инцидентов информационной безопасности | Предоставлено специфичное для данной области руководство по реализации. |
17 | Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации | Не предоставлено никакого специфичного для данной области руководства по реализации и другой информации. |
18 | Соответствие | Предоставлено специфичное для данной области руководство по реализации вместе с перекрестной ссылкой на средство(а) управления в приложении А. |