Услуги в облака – нова версия на ISO/IEC 27018:2019

Услуги в облака – нова версия на ISO/IEC 27018:2019
Интернет допринася значително за напредването на световната икономика и появата на различни устройства, свързани с интернет, ускорява достъпа до многобройни технологии за организациите от всякакъв мащаб. Но това е меч с две остриета: макар интернет да осигурява огромен потенциал, разпространението му води до повече възможности за киберпрестъпления. Последните проучвания сочат, че световната киберпрестъпност е на стойност 600 милиарда долара годишно.
Информационната сигурност е проблем, предизвикващ безпокойство в дигиталната ера, тъй като заплахите могат да бъдат невидими, пагубни и непрекъснато увеличаващи се. Серията международни стандарти ISO/IEC 27000 е създадена с цел справяне с този проблем, като позволява на организациите да се ориентират в безкрайното киберпространство. Последният обновен стандарт от серията е ISO/IEC 27018:2019 "Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни (PII) в обществени облаци, действащи като администратори на лични данни". Неговото второ издание беше публикувано от Международната организация по стандартизация (ISO) в началото на 2019 година. Сега, с новите насоки, изложени от ISO, се повдига въпросът дали има големи промени в новото издание и как ISO/IEC 27018 взаимодейства с други ключови регламенти като например GDPR.
 
Краткият отговор на този въпрос е включен в предговора на раздел 2 на стандарта: "Това второ издание отменя и заменя първото издание (ISO/IEC 27018:2014) и представлява незначително преразглеждане. Основната промяна в сравнение с предишното издание е поправянето на редакционна грешка в приложение А."
 
Това означава, че повечето насоки, изложени в ISO/IEC 27018, остават до голяма степен непроменени, с няколко акцента:
 
1) Всички препратки към ISO/IEC 27018 като международен стандарт са променени и отразяват стандарта като "документ".
Това произтича от техническия факт, че ISO/IEC 27018 не е стандарт, спрямо който дадена организация може да бъде сертифицирана, а по-скоро допълнителен набор от контролни механизми и насоки, които допълват съществуващата система за управление на информационната сигурност на организацията, която е сертифицирана в съответствие с ISO 27001 стандарта за информационна сигурност.
 
2) Незначителни актуализации на някои помощни глаголи ("may" и "can") за по-подходящо адресиране на индивидуалните нужди и изисквания на организациите в различните индустрии.
Това не отразява значителни промени в документа, а по-скоро е опит да се представи по-просто това, за което е отговорна организацията. Това е очевидно, като се има предвид, че в повечето случаи "may" /в смисъл на "би могло" / от версия 2014 е актуализиран на "can" /в смисъл "може" "има способност" /. Такъв е случаят с Анекс А в ръководството за прилагане на обществения облак, обработващ лични данни в Политиката за използване на криптографски механизми за контрол: "Администраторът на лични данни в обществен облак трябва да предоставя информация на клиента на услугата относно обстоятелствата, при които използва криптографски механизми, за да защити личните данни. Администраторът на лични данни в облак трябва също така да предоставя информация на клиента за всички възможности, които той предоставя, и които биха могли мо​гат да помогнат на клиента да приложи собствена криптографска защита".
 
3) Добавяне на раздел "Общи" в началото на поредицата за разширен контрол на администратора на лични данни в обществен облак (по-рано известен като A1 - A11).
 
В този раздел не са предписани нови контролни механизми, но добавянето на общата секция технически разширява контролните механизми на A1 - A12. Принципите на неприкосновеност на личния живот (т.е. съгласие и избор, легитимност точност на целта и т.н.) са останали същите и основните проверки по принцип остават без съществени актуализации, с изключение на принципа, споменат в раздел 2 по-горе.
 
Ако Вашата организация вече е сертифицирана в съответствие с ISO 27001, тогава сте обхванали 70% от нормативните документи, изисквани от ISO/IEC 27018. Въпреки това, ако използвате облачни технологии, тогава
ISO
/IEC 27018 е ефективен стандарт, чрез който компаниите могат да демонстрират съответствието на данните с GDPR, и по-специално тези, които се съхраняват в облака.



ЕТИКЕТИ

Новини

27 Март 2019
Интернет допринася значително за напредването на световната икономика и появата ...
25 Март 2019
На 18 април 2019 г. КОНСЕХО ЕООД организира обучение за практич...

Полезно

18 Април 2019
Нараняванията по пътищата са една от водещите причини за смърт в световен мащаб,...
13 Март 2019
Ако мислите, че за да получите сертификат за сигурност на информацията, съгласно...