ДСТУ ISO/IEC 27018:2016 Информационные технологии. Методы защиты. Кодекс установившейся практики для защиты персональной идентификационной информации (РІІ) в общедоступных облаках, действующих как процессоры...

Данный документ доступнен в тарифе «ВСЕ ВКЛЮЧЕНО»

У Вас есть вопросы по документу? Мы рады на них ответить!Перечень бесплатных документовОбнаружили ошибку в документе или на сайте? Пожалуйста, напишите нам об этом!Оставить заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУ ISO/IEC 27018:2016
(ISO/IEC 27018:2014, IDT)

Інформаційні технології

МЕТОДИ ЗАХИСТУ

Кодекс усталеної практики для захисту
персональної ідентифікаційної інформації (РІІ)
у загальнодоступних хмарах, що діють як процесори РІІ

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2018

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем Національної академії наук України та Міністерства освіти і науки України (Міжнародний Центр), Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний

і навчальний центр проблем стандартизації, сертифікації та якості» (З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)) від 23 грудня 2016 р. №435 з 2017-10-01

3 Національний стандартвідповідає ISO/IEC 27018:2014 «Information technology — Security techniques — Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors (Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РІІ) у загальнодоступних хмарах, що діють як процесори РІІ)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 27018:2015

ЗМІСТ

Національний вступ

0 Вступ до ISO/IEC 27018:2014

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Огляд

4.1 Структура цього стандарту

4.2 Категорії заходів захисту

5 Політики інформаційної безпеки

5.1 Спрямованість менеджменту щодо інформаційної безпеки

6 Організація інформаційної безпеки

6.1 Внутрішня організація

6.2 Мобільні пристрої та віддалена робота

7 Безпека людських ресурсів

7.1 До найму

7.2 Протягом найму

7.3 Закінчення та зміна найму

8 Менеджмент активів

9 Керування доступом

9.1 Бізнес-вимоги до керування доступом

9.2 Менеджмент доступу користувача

9.3 Відповідальності користувачів

9.4 Керування доступом до систем і прикладних програм

10 Криптографія

10.1 Криптографічні заходи захисту

11 Фізична безпека та безпека зовнішнього середовища

11.1 Захищені зони

11.2 Обладнання

12 Експлуатаційна безпека

12.1 Процедури щодо експлуатації та відповідальності

12.2 Захист від зловмисного програмного забезпечення

12.3 Резервне копіювання

12.4 Ведення журналів і моніторинг

12.5 Контролювання операційного програмного забезпечення

12.6 Менеджмент технічних вразливостей

12.7 Розгляд аудиту інформаційних систем

13 Безпека комунікацій

13.1 Менеджмент мережної безпеки

13.2 Передача інформації

14 Придбання, розроблення та обслуговування систем

15 Взаємовідносини з постачальниками

16 Менеджмент інцидентів інформаційної безпеки

16.1 Менеджмент інцидентів інформаційної безпеки та покращення

17 Аспекти інформаційної безпеки менеджменту неперервності бізнесу

18 Відповідність

18.1 Відповідність правовим і встановленим договором вимогам

18.2 Перегляд інформаційної безпеки

Додаток А (обов’язковий) Розширена множина заходів загальнодоступного хмарного процесора РІІ для захисту РІІ

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27018:2016 (ISO/IEC 27018:2014, IDТ) «Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РІІ) у загальнодоступних хмарах, що діють як процесори РІІ)», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 27018:2014 (версія en) «Information technology — Security techniques — Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors»

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27018:2015 (прийнятого методом підтвердження)

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;

— вилучено «Передмову» до ISO/IEC 27018:2014 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті);

— вилучено виноски 1)—4), оскільки ISO/IEC 17788, ISO/IEC 17789, ISO/IEC 27040 уже опубліковано.

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

0 ВСТУП до ISO/IEC 27018:2014

0.1 Підґрунтя та контекст

Постачальники хмарної послуги, які обробляють інформацію, що встановлює особу (РІІ), відповідно до їхніх контрактів зі споживачами мають надавати свої послуги у способи, які дозволяють обом сторонам дотримуватися вимог, застосовних правових та регулятивних норм, що стосуються захисту РІІ. Вимоги та спосіб, у який ці вимоги поділено між постачальником хмарних послуг та його споживачами, варіюються згідно з правовою юрисдикцією та згідно з умовами контракту між постачальником хмарних послуг і споживачем. На законодавство, яке регулює, як дозволено обробляти РІІ (наприклад, збирати, використовувати, передавати або знищувати), іноді посилаються як на законодавство із захисту даних; на РІІ іноді посилаються як на персональні дані або персональну інформацію та обов’язки, які накладаються на процесор РІІ, варіюються від юрисдикції до юрисдикції, що робить їх викликами для бізнесів, які постачають послуги з хмарних обчислень, що поширюються в міжнародному масштабі.

Загальнодоступний постачальник хмарних обчислень є «процесором РІІ», коли він обробляє РІІ задля споживача хмарних послуг та згідно з його інструкціями. Споживач хмарних послуг, у якого є договірні взаємовідносини із загальнодоступним хмарним процесором РІІ, може змінюватись у діапазоні від фізичної особи, «принципалу РІІ», що обробляє свою власну РІІ у хмарі, до організації, «контролера РІІ», що обробляє РІІ, яка стосується багатьох «принципалів РІІ». Споживач хмарної послуги може уповноважити одного чи більше користувачів, пов’язаних з ним, користуватись послугами, які доступні йому згідно з його контрактом із загальнодоступним хмарним процесором РІІ. Зазначимо, що споживач хмарних послуг має повноваження щодо оброблення та використання даних. Споживач хмарних послуг, який є також контролером РІІ, може мати більш широку множину зобов’язань щодо захисту РІІ, ніж загальнодоступний хмарний процесор РІІ.

Підтримування різниці між контролером РІІ та процесором РІІ спирається на те, що загальнодоступний процесор РІІ не має інших цілей щодо оброблення даних, ніж ті, що встановлюються споживачем хмарних послуг по відношенню до РІІ, яку він обробляє, та операцій, необхідних для досягнення цілей споживача хмарних послуг.

Примітка. Там, де загальнодоступний хмарний процесор РІІ обробляє облікові дані споживача хмарних послуг, він для цієї цілі може діяти як контролер РІІ. Цей стандарт не охоплює таку діяльність.

Метою цього стандарту, коли його застосовують разом із цілями інформаційної безпеки та заходами захисту ISO/IEC 27002, є створення спільної множини категорій та заходів захисту, що можуть бути імплементовані постачальником загальнодоступних хмарних послуг, який діє як процесор РІІ. Він має такі цілі:

— допомогти постачальнику загальнодоступних РІІ хмарних обчислень відповідати застосовним зобов’язанням під час дій як процесора РІІ незалежно від того, чи ці зобов’язання накладаються на процесор РІІ прямо або через договір;

— дати можливість, щоб загальнодоступний процесор РІІ був прозорим у релевантних речах для того, щоб споживачі хмарних послуг могли вибрати послуги оброблення РІІ на базі хмар, добре керованих;

— допомогти споживачеві хмарних послуг і загальнодоступному хмарному процесору РІІ в укладанні договірної угоди;

— забезпечити споживачів хмарних послуг механізмом проведення аудитів і перевірки відповідності правам та обов’язкам у випадках, коли здійснення аудиту даних, що розміщені індивідуальним споживачем хмарних послуг у багатосторонньому віртуалізованому серверному (хмарному) середовищі, може бути непрактичним з технічної точки зору та може збільшити ризики наявним фізичним і логічним мережевим засобам безпеки.

Цей стандарт не замінює чинного законодавства та регулювання, але може допомогти наданню загальних основних положень щодо відповідності для загальнодоступних постачальників хмарних послуг, зокрема тих, хто проводить свою діяльність на міжнародному ринку.

0.2 Заходи захисту РІІ для загальнодоступних послуг з хмарних обчислень

Цей стандарт створений для організацій, щоб використовувати як еталон для вибору заходів захисту РІІ в рамках процесу імплементації системи менеджменту інформаційної безпеки хмарних обчислень, що ґрунтується на ISO/IEC 27001, або як настановчий документ для імплементації загальноприйнятих заходів захисту РІІ для організацій, що діють як загальнодоступні процесори РІІ. Зокрема цей стандарт ґрунтується на ISO/IEC 27002, беручи до уваги розгляд конкретних ризикових середовищ, що виникають завдяки тим вимогам щодо захисту РІІ, які можуть бути застосовані до загальнодоступних постачальників послуг хмарних обчислень, що діють як процесори РІІ.

Зазвичай організація, що імплементує ISO/IEC 27001, захищає свої власні інформаційні активи. Однак у контексті вимог до захисту РІІ для загальнодоступного постачальника хмарних послуг, що діє як процесор РІІ, організація захищає інформаційні активи, довірені їй її споживачами. Імплементація заходів захисту ISO/IEC 27002 загальнодоступним хмарним процесором РІІ є необхідною та прийнятною для цієї цілі. Цей стандарт доповнює заходи захисту ISO/IEC 27002, щоб пристосувати розподілений характер ризиків та існування договірних взаємовідносин між споживачем хмарних послуг і загальнодоступним хмарним процесором РІІ. Цей стандарт доповнює ISO/IEC 27002 у два способи:

— настанова щодо імплементації, застосовна для загальнодоступного хмарного захисту РІІ, надається для визначених заходів захисту, що подані в ISO/IEC 27002, і

— додаток А надає множину додаткових заходів захисту і асоційовану з ним настанову, що адресована вимогам загальнодоступного хмарного захисту РІІ, які не адресовані наявною в ISO/IEC 27002 множиною заходів захисту.

Більшість заходів захисту та настанова в цьому стандарті також будуть застосовними для контролера РІІ. Однак контролер РІІ буде в більшості випадків суб’єктом додаткових забов’язань, які в цьому стандарті не визначено.

0.3 Вимоги щодо захисту РІІ

Суттєво, щоб організація визначала свої вимоги щодо захисту РІІ. Існують три основні джерела вимог, як подано нижче.

а) Правові, встановлені законом, нормативні та встановлені договорами вимоги: одним джерелом є правові, встановлені законом, регулятивні та встановлені договором вимоги та зобов’язання, які організація, її торгові партнери, контрактори та постачальники послуг повинні задовольнити їх соціокуль- турну відповідальність і їх операційне середовище. Варто зазначити, що законодавство, регулювання та встановлені договором зобов’язання, взяті процесором РІІ можуть зобов’язати вибір конкретних заходів захисту та можуть також зробити необхідними конкретні критерії для імплементації цих заходів. Ці вимоги можуть варіюватися від одної юрисдикції до іншої.

b) Ризики: інше джерело походить з оцінювання ризиків організації, пов'язаних з РІІ, беручи до уваги всеохватні бізнес-стратегію і бізнес-цілі організації. Під час оцінювання ризиків визначають загрози, обчислюють вразливість, імовірність виникнення та потенційний збиток. ISO/IEC 27005 надає настанову щодо менеджменту ризиків інформаційної безпеки, охоплюючи пораду щодо оцінювання ризиків, прийняття ризиків, сповіщення ризиків, моніторинг ризиків і перегляд ризиків. ISO/IEC 29134 надає настанову щодо оцінювання збитків прайвесі.

c) Корпоративні політики: хоча багато аспектів, що покриваються корпоративною політикою та походять з правових і соціокультурних зобов’язань, організація може також добровільно вибрати вимоги поза критеріями, які походять з вимог пункту а).

0.4 Вибрання та імплементація заходів захисту в середовищі хмарних обчислень

Заходи захисту можна вибрати з цього стандарту (який охоплює за допомогою посилань заходи захисту з ISO/IEC 27002, створюючи комбіновану еталонну множину заходів захисту для сектора чи застосування, визначених сферою застосування). За потреби, заходи захисту можуть бути вибрані з інших наборів заходів захисту або можуть бути створені нові заходи захисту, щоб належним чином задовольнити конкретні потреби.

Примітка. Послуга оброблення РІІ, що надається загальнодоступним процесором РІІ, може швидше розглядатись як застосування хмарних обчислень, а не як власна галузь. Тим не менше термін «специфічний для галузі» використовують у цьому стандарті, оскільки він є узгодженим терміном, який використовують в інших стандартах серії 27000.

Вибір заходів захисту залежить від рішень організації, що ґрунтуються на критеріях для прийняття ризиків, опцій оброблення ризиків і загального підходу щодо менеджменту ризиків, що застосовують в організації, враховуючи договірні угоди, її споживачів і постачальників, а також те, що вона є суб’єктом усього релевантного національного і міжнародного законодавства та регулювання. Якщо заходи захисту з цього стандарту не вибираються, то це необхідно задокументувати з обґрунтуванням щодо вилучення.

Крім того, вибір та імплементація заходів захисту залежить від фактичної ролі загальнодоступного постачальника хмар у контексті всієї еталонної архітектури хмарних обчислень (див. ISO/IEC 17789). Багато різних організацій можуть бути залучені до надання інфраструктури та прикладних послуг у середовищі хмарних обчислень. За деяких обставин вибрані заходи захисту можуть бути унікальними для конкретної категорії послуг еталонної архітектури хмарних обчислень. У інших випадках може бути розподіл ролей під час імплементації заходів захисту. Договірні угоди мають чітко конкретизувати відповідальності щодо захисту РІІ усіх організацій, залучених до надання або використання хмарних послуг, зокрема й загальнодоступного хмарного процесора РІІ, цього субпідрядника та споживача хмарних послуг.

Заходи захисту в цьому стандарті можна розглядати як настановчі принципи та застосовані для більшості організацій. Нижче їх пояснюють детальніше разом з настановами щодо імплементації. Імплементацію можна зробити простішою, якщо вимоги щодо захисту РІІ розглядали під час проектування інформаційної системи, послуг та операцій загальнодоступного хмарного процесора РІІ. Такий розгляд є елементом концепції, яку часто називають «Прайвесі за допомогою проектування». У бібліографії подано відповідні документи, такі як ISO/IEC 29101.

0.5 Розроблення додаткових настанов

Цей стандарт можна вважати відправною точкою для розроблення настанов щодо захисту РІІ. Існує можливість того, що не всі заходи захисту та настанови в цьому зводі практик будуть застосовні. Більш того, можуть бути потрібні додаткові заходи захисту та настанови, не охоплені цим стандартом. Якщо розробляють документи, що містять додаткові настанови або заходи захисту, може бути корисним залучити перехресні посилання до розділів у цьому стандарті, коли це можливо застосувати для полегшення перевіряння відповідності аудиторами та бізнес-партнерами. 0.6 Розгляд життєвого циклу

РІІ має природний життєвий цикл від створення та через зберігання, оброблення, використання й передавання до її поступового руйнування чи псування. Ризики для РІІ можуть варіюватися протягом її існування, але захист РІІ залишається важливим до деяких меж на всіх стадіях.

Вимоги щодо захисту РІІ, які необхідно брати до уваги як для наявних, так і для нових інформаційних систем, управляються протягом їх життєвого циклу.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ МЕТОДИ ЗАХИСТУ
Кодекс усталеної практики для захисту персональної
ідентифікаційної інформації (РІІ) у загальнодоступних хмарах,
що діють як процесори РІІ

INFORMATION TECHNOLOGY SECURITY TECHNIQUES
Code of practice for protection of personally identifiable
information (Pll) in public clouds acting as Pll processors

Чинний від 2017-10-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт установлює загальноприйняті цілі заходів захисту і настанови для їх імплементації щодо, захисту персональної ідентифікаційної інформації (РІІ) відповідно до принципів забезпечення прайвесі в ISO/IEC 29100 для середовища загальнодоступних хмарних обчислень.

Зокрема, цей стандарт конкретизує настанови, що ґрунтуються на ISO/IEC 27002, беручи до уваги регуляторні вимоги для захисту РІІ, які можуть бути застосовні в контексті середовищ(а) ризиків інформаційної безпеки постачальника загальнодоступних хмарних послуг.

Цей стандарт є застосовним до всіх типів і розмірів організацій, охоплюючи державні та приватні компанії, урядові підприємства та неприбуткові організації, які надають послуги оброблення інформації як процесори РІІ через хмарні обчислення, встановлені в договорі з іншими організаціями.

Настанови в цьому стандарті можуть бути також релевантними для організацій, які діють як контролери РІІ; однак контролери РІІ можуть підпорядковуватись додатковим законодавству, регулюванню та зобов’язанням, які не застосовують до процесорів РІІ. Цей стандарт не призначений для того, щоб покривати такі додаткові зобов’язання.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи треба застосовувати в цьому стандарті. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань треба користуватися останніми виданнями нормативних документів (разом з усіма змінами).

ISO/IEC 17788 | Rec. ITU-T Y.3500 Information technology — Cloud computing — Overview and vocabulary)

ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary

ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements

ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls

ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 17788 | Rec. ITU-T Y.3500 Інформаційні технології. Хмарне обчислення. Огляд і словник термінів

ISO/IEC 27000:2014 Інформаційні технології. Методи захисту. Системи менеджменту інформаційної безпеки. Огляд і словник термінів

ISO/IEC 27001:2013 Інформаційні технології. Методи захисту. Системи менеджменту інформаційної безпеки. Вимоги

ISO/IEC 27002:2013 Інформаційні технології. Методи захисту. Кодекс усталеної практики для заходів захисту з інформаційної безпеки

ISO/IEC 29100:2011 Інформаційні технології. Методи захисту. Основні положення захисту прайвесі.

Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».

Войти в Личный кабинет Подробнее о тарифах

БУДСТАНДАРТ Online