Услуги в облака – нова версия на ISO/IEC 27018:2019
Информационната сигурност е проблем, предизвикващ безпокойство в дигиталната ера, тъй като заплахите могат да бъдат невидими, пагубни и непрекъснато увеличаващи се. Серията международни стандарти ISO/IEC 27000 е създадена с цел справяне с този проблем, като позволява на организациите да се ориентират в безкрайното киберпространство. Последният обновен стандарт от серията е ISO/IEC 27018:2019 "Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на лични данни (PII) в обществени облаци, действащи като администратори на лични данни". Неговото второ издание беше публикувано от Международната организация по стандартизация (ISO) в началото на 2019 година. Сега, с новите насоки, изложени от ISO, се повдига въпросът дали има големи промени в новото издание и как ISO/IEC 27018 взаимодейства с други ключови регламенти като например GDPR.
Краткият отговор на този въпрос е включен в предговора на раздел 2 на стандарта: "Това второ издание отменя и заменя първото издание (ISO/IEC 27018:2014) и представлява незначително преразглеждане. Основната промяна в сравнение с предишното издание е поправянето на редакционна грешка в приложение А."
Това означава, че повечето насоки, изложени в ISO/IEC 27018, остават до голяма степен непроменени, с няколко акцента:
1) Всички препратки към ISO/IEC 27018 като международен стандарт са променени и отразяват стандарта като "документ".
Това произтича от техническия факт, че ISO/IEC 27018 не е стандарт, спрямо който дадена организация може да бъде сертифицирана, а по-скоро допълнителен набор от контролни механизми и насоки, които допълват съществуващата система за управление на информационната сигурност на организацията, която е сертифицирана в съответствие с ISO 27001 стандарта за информационна сигурност.
2) Незначителни актуализации на някои помощни глаголи ("may" и "can") за по-подходящо адресиране на индивидуалните нужди и изисквания на организациите в различните индустрии.
Това не отразява значителни промени в документа, а по-скоро е опит да се представи по-просто това, за което е отговорна организацията. Това е очевидно, като се има предвид, че в повечето случаи "may" /в смисъл на "би могло" / от версия 2014 е актуализиран на "can" /в смисъл "може" "има способност" /. Такъв е случаят с Анекс А в ръководството за прилагане на обществения облак, обработващ лични данни в Политиката за използване на криптографски механизми за контрол: "Администраторът на лични данни в обществен облак трябва да предоставя информация на клиента на услугата относно обстоятелствата, при които използва криптографски механизми, за да защити личните данни. Администраторът на лични данни в облак трябва също така да предоставя информация на клиента за всички възможности, които той предоставя, и които
3) Добавяне на раздел "Общи" в началото на поредицата за разширен контрол на администратора на лични данни в обществен облак (по-рано известен като A1 - A11).
В този раздел не са предписани нови контролни механизми, но добавянето на общата секция технически разширява контролните механизми на A1 - A12. Принципите на неприкосновеност на личния живот (т.е. съгласие и избор, легитимност точност на целта и т.н.) са останали същите и основните проверки по принцип остават без съществени актуализации, с изключение на принципа, споменат в раздел 2 по-горе.
Ако Вашата организация вече е сертифицирана в съответствие с ISO 27001, тогава сте обхванали 70% от нормативните документи, изисквани от ISO/IEC 27018. Въпреки това, ако използвате облачни технологии, тогава ISO/IEC 27018 е ефективен стандарт, чрез който компаниите могат да демонстрират съответствието на данните с GDPR, и по-специално тези, които се съхраняват в облака.
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
