Обзор международного стандарта требований к поставщикам облачных услуг, обрабатывающим персональные данные
В то время, как облачные вычисления стремительно развиваются, основную озабоченность у их потенциальных клиентов вызывают вопросы прозрачности, конфиденциальности и контроля.
Облачный бизнес развивается таким образом, что клиентам поставщиков облачных услуг часто не хватает информации о том, как защищаются и обрабатываются перемещаемые в облако данные, и что произойдёт в случае, если они захотят перейти к другому поставщику или если их поставщик прекратит свою деятельность либо изменит положения своей политики.
Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК), подталкиваемые Европейской Комиссией, национальными органами по защите персональных данных и уполномоченными по информации, ответственными за разработку стандартов, содействующих обеспечению защиты персональных данных — разработали новый стандарт ISO/IEC 27018:2014 «Информационные технологии — Методы обеспечения безопасности — Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных»
В рекомендациях ИСО основное внимание уделяется цели стандарта, его основным элементам и потенциальному воздействию. Анализ проведен с европейской точки зрения, на основе европейского законодательства — как текущего, так и ожидаемого в ближайшее время. Кроме того, обсуждаются потребность в новом стандарте и его взаимосвязи с другими стандартами облачных вычислений и защита персональных данных.
Стандарт ISO/IEC 27018 содержит рекомендации для поставщиков облачных услуг, обрабатывающих персональные данные (ПДн) и предлагает ряд мер контроля и управления, которые поставщикам следует реализовать для смягчения конкретных рисков облачных вычислений. Стандарт нацелен на смягчение рисков, присущих публичных облакам. Он должен способствовать укреплению доверия к поставщикам услуг публичных облаков и дать рекомендации относительно того, что необходимо поставщикам следует выполнять в рамках договорных обязательств и законодательно-нормативных требований.
Документ стремится помочь поставщикам облачных услуг выполнять свои договорные обязательства и включает в себя стандарты прозрачности, в том числе уведомление клиентов о запросах правоохранительных органов на доступ к их данным и раскрытие перед клиентами сведений об использования услуг субподрядчиков.
Стандарт, рассматриваемый как основа для соответствия требованиям национального и наднационального законодательства, содержит элементы из европейской Директивы 95/46/EC о защите персональных данных, такие, как принципы качества обработки. Он также включает в себя принцип подотчетности.
Соблюдение требований нового стандарта может быть проверено, и независимые третьи стороны — органы по сертификации могут сертифицировать поставщиков на соответствие его требованиям.
Тем не менее, для завоевания стандартом европейского рынка нужно решить две основные его проблемы: отличие терминологии от терминологии европейского законодательства, и ограниченную область применения, охватывающую только тех поставщиков облачных услуг, что действуют в качестве обработчиков персональных данных (т.е. не являются операторами, и не определяют цели и порядок обработки ПДн — Н.Х.).
Ожидается, что потенциальное положительное воздействие стандарт может оказать посредством поощрения отрасли к принятию мер по соблюдению законодательства о персональных данных и к шагу вперед в деле обеспечения прозрачности во взаимоотношениях между поставщиками облачных услуг и их клиентами.
Практика покажет, как стандарт будет воспринят и оправдаются ли ожидания разработчиков этого документа.
Пол де Херт (Paul de Hert), Вагелис Папаконстантину (Vagelis Papakonstantinou) и Ирен Камара (Irene Kamara)
Источник: Блог Натальи Храмцовской
Читайте также:
ПодписатьсяCisco: с безопасностью все сложно
Компания Cisco опубликовала очередной ежегодный отчет по информационной безопасности по итогам 2014 года, зафиксировав ряд интересных тенденций в области защиты данных.