ISO/IEC 27018

Стандарт ISO/IEC 27018:2014 определяет общепринятые цели управления, меры контроля и руководящие принципы для реализации защиты персональных данных (PII) в соответствии с принципами приватности ISO/IEC 29100^[2]. Базируется преимущественно на следующих стандартах:

• ISO/IEC 17788^[3] — определяющий рамки и терминологию облачных вычислений, применимую ко всем типам организаций (коммерческим, государственным, некоммерческим и др.);
• ISO/IEC 27002 — свод передовых практик по информационной безопасности;
• ISO/IEC 29100^[2] — концептуальная основа для приватности и защиты данных.

В частности, ISO/IEC 27018:2014 устанавливает руководящие указания на основе ISO/IEC 27002 с учётом регуляторных требований по защите PII, которые могут быть применимы в информационно-безопасных средах провайдеров публичных облачных сервисов.

ISO/IEC 27018:2014 применяется к организациям всех типов и размеров, включая частные и государственные компании, государственные ведомства и некоммерческие организации, предоставляющие услуги по обработке данных как обработчики PII с использованием облачных вычислений.

Руководящие положения стандарта ISO/IEC 27018:2014 могут быть также актуальны для организаций, выполняющих функции оператора персональных данных, однако на последних могут распространяться дополнительные законодательные и регуляторные требования, не относящиеся к обработчикам. Стандарт ISO/IEC 27018:2014 не предназначен для охвата таких дополнительных обязательств.

До появления ISO/IEC 27018 не существовало признанного на международном уровне стандарта для защиты идентифицируемых персональных данных, хранимых в облаке. Существовал стандарт ISO/IEC 27001, предусматривающий гибкую систему выявления рисков информационной безопасности и выбора методов их реагирования. Для этого используются поставщики облачных сервисов (PSC)^[4].

Модель cloud computing основывается на совместном использовании инфраструктур: данные конкурирующих компаний могут храниться физически в одном центре обработки данных. При этом местоположение дата-центра влияет на применимое к данным законодательство — фактор, затрудняющий развитие облачных технологий. Это обусловлено разницей в понимании и правовом регулировании обработки данных в разных странах: так, применение данных регулируется как национальными законами (например, USA PATRIOT Act в США, французскими законами, решениями CNIL и европейскими регламентами)^[5].

Фрагментарность и различия законодательства способствовали появлению частных инициатив по выработке универсального свода международных практик, обязательных к применению всеми сторонами. В 2013 году ISO и IEC приняли связанные с защитой информационных систем стандарты ISO/IEC 27001 и ISO/IEC 27002, а 29 июля 2014 года — стандарт ISO/IEC 27018, регламентирующий особенности облачных вычислений. Работа над стандартом велась в сотрудничестве с Международным союзом электросвязи (ITU). Во Франции в процессе участвовала AFNOR и ведущие игроки рынка, такие как IBM, Hitachi Data System, OVH и Microsoft.

• Французская ассоциация по стандартизации (AFNOR)
• Международная организация по стандартизации (ISO)
• EY CertifyPoint^[6] — аккредитованный советом по аккредитации Нидерландов орган, член International Accreditation Forum^[7] (IAF). Сертификаты EY CertifyPoint признаются во всех странах — участниках IAF.

ISO/IEC 27018 — первый стандарт, детально регламентирующий защиту персональных данных в контексте облачных вычислений. Не обладая юридической обязательной силой, стандарт определяет совокупность передовых практик и правил, обязательных для добровольно присоединившихся поставщиков. В частности, поставщикам облачных вычислений предписываются четыре основные линии поведения:

• Информировать клиентов о месте хранения данных и обеспечить их защищённую обработку;
• Запрещается использовать клиентские данные в собственных (рекламных и маркетинговых) целях;
• Несоблюдение мер безопасности должно приводить к фиксации и расследованию инцидента, уведомлению клиентов и надзорных органов;
• Сертификация проводится аккредитованной независимой организацией (например, AFNOR).

Согласно публичным данным, в начале 2015 года компания Microsoft объявила о получении первого в мире сертификата ISO/IEC 27018 для облачного провайдера.

Стандарт ISO/IEC 27018 содержит шесть ключевых принципов:

1. Согласие: поставщикам облачных сервисов (PSC) запрещено использовать персональные данные клиентов для рекламы и маркетинга без их предварительного согласия. Клиенты не должны опасаться несанкционированного использования своих данных;
2. Контроль: только клиенты имеют явный контроль над использованием своих персональных данных;
3. Прозрачность: PSC обязаны информировать о местоположении хранения данных и принимать понятные обязательства по их обработке;
4. Ответственность: при обнаружении инцидента PSC должны проводить проверку на предмет возможной утраты, раскрытия или искажения персональных данных;
5. Информирование: PSC должны уведомлять клиентов о всех инцидентах, документируя события и принятые меры;
6. Ежегодный аудит сторонней организацией: подтверждение соответствия проводится независимым аудитом, результаты которого могут использоваться клиентами для подтверждения своих собственных регуляторных обязательств.

В целом, внедрение стандарта ISO/IEC 27018 должно обеспечить организациям и клиентам гарантии в многогранной защите их персональных данных^[8].

Стандарт содержит следующие части:

• Введение
• 0. Вступление
• 1. Область применения
• 2. Нормативные ссылки
• 3. Термины и определения
• 4. Общие положения
• 5. Политики информационной безопасности
• 6. Организация информационной безопасности
• 7. Управление персоналом
• 8. Управление активами
• 9. Контроль доступа
• 10. Криптография
• 11. Физическая и средовая безопасность
• 12. Эксплуатационная безопасность
• 13. Безопасность коммуникаций
• 14. Приобретение, разработка и поддержка информационных систем
• 15. Взаимодействие с поставщиками
• 16. Управление инцидентами информационной безопасности
• 17. Обеспечение устойчивости и непрерывности бизнеса
• 18. Соответствие требованиям

Разделы приложения включают:

• A.1 Согласие и выбор
• A.2 Законность и определённость целей
• A.3 Ограничение сбора
• A.4 Минимизация данных
• A.5 Ограничение использования, хранения и раскрытия
• A.6 Точность и качество
• A.7 Открытость, прозрачность и уведомления
• A.8 Участие субъекта и доступ
• A.9 Подотчётность
• A.10 Информационная безопасность
• A.11 Соответствие требованиям приватности

По итогам четырёхлетней дискуссии Европейский союз завершил процесс введения общеобязательного регламента, вступившего в силу в мае 2018 года^[9]. Новый регламент выделяет шесть пунктов. Стандарты ISO/IEC формируют кодекс передовой практики, который не полностью совпадает с требованиями Евросоюза. По данным AFNOR^[10], стандарты добровольны и пересматриваются раз в 5 лет. Также стандарт делает упор на 6 ключевых принципов:

• Переносимость данных — возможность пользователя получить свои персональные данные для их последующего перемещения между платформами;
• Повышенная прозрачность, позволяющая пользователю реализовывать свои права на доступ и исправление данных;
• Защита несовершеннолетних — для регистрации детей младше 16 лет требуется согласие родителей;
• Единый орган рассмотрения жалоб по вопросам защиты данных;
• Усиленные санкции: штраф до 4 % мирового оборота;
• Утверждение права на забвение.