Poskytovatelé cloudových služeb, kteří zpracovávají osobně identifikovatelné informace (PII) na základě smlouvy se svými zákazníky musí zpracovávat své služby způsobem umožňujícím oběma stranám splnit požadavky použitelné legislativy a předpisů pokrývajících ochranu PII.
Norma ISO/IEC 27018:2019 stanovuje obecně akceptované kontrolní cíle, opatření a směrnice pro zavedení opatření na ochranu osobně identifikovatelných informací (PII) spolu s principy soukromí uvedenými v ISO/IEC 29100 pro prostředí veřejného cloud computingu.
Norma ISO/IEC 27018:2019 zejména specifikuje směrnice založené na ISO/IEC 27002, přičemž bere v úvahu regulatorní požadavky na ochranu PII, které mohou být použitelné v rámci kontextu prostředí rizik bezpečnosti informací poskytovatele služeb veřejného cloudu.
Norma ISO/IEC 27018:2019 je použitelný pro všechny typy a velikosti organizací, zahrnující veřejné a soukromé společnosti, vládní úřady a neziskové organizace, které poskytují služby pro zpracování informací jako zpracovatelé PII prostřednictvím cloud computingu na základě smlouvy s jinými organizacemi.
Směrnice v tomto dokumentu mohou mít také význam pro organizace vystupující jako dohlížitelé PII; avšak dohlížitelé PII mohou být předmětem další legislativy, předpisů a závazků na ochranu PII, které nejsou aplikované na zpracovatele PII. Cílem tohoto dokumentu není pokrytí takových dodatečných závazků.
Požadavky a způsob, jakým jsou požadavky rozděleny mezi poskytovatele cloudových služeb a jeho zákazníky, se mění v závislosti na právní jurisdikci, a podle podmínek smluvního vztahu mezi poskytovatelem cloudových služeb a zákazníkem. Legislativa, která určuje, jak mohou být PII zpracovávány (tj. shromažďovány, používány, přenášeny a likvidovány) je někdy zmiňována jako legislativa na ochranu dat; PII se někdy nazývají osobní data nebo osobní informace.
Povinnosti zpracovatele PII týkající se zpracovatele PII se liší v jednotlivých jurisdikcích, což je výzvou pro organizace poskytující služby cloud computingu, aby fungovaly nadnárodně.
Poskytovatel veřejných cloudových služeb je „zpracovatel PII“, když zpracovává PII pro a v souladu s pokyny zákazníka cloudových služeb. Zákazníkem cloudových služeb, který má smluvní vztah se zpracovatelem PII ve veřejném cloudu, může být fyzická osoba, „subjekt PII“, zpracovávající jeho vlastní PII v cloudu, nebo organizace, „dohlížitel PII“, zpracovávající PII týkající se mnoha subjektů PII.
Zákazník cloudových služeb by mohl autorizovat jednoho nebo více uživatelů cloudových služeb s nimi spojených, aby používal služby, které jsou pro ně dostupné na základě smlouvy se zpracovatelem PII veřejných služeb.
Zákazník cloudových služeb je oprávněn zpracovávat a používat data. Zákazníka cloudových služeb, který je také dohlížitel PII, by se mohl týkat širší soubor povinností určujících ochranu PII, než zpracovatele PII ve veřejném cloudu. Udržování odlišností mezi dohlížitelem PII a zpracovatelem PII spoléhá na zpracovatele PII ve veřejném cloudu, který nemá jiné cíle zpracování dat, než cíle nastavené zákazníkem cloudových služeb vzhledem k PII, která zpracovává, a operacím nutným pro dosažení cílů zákazníka cloudových služeb.
Norma ISO/IEC 27018:2019 Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech
Je nezbytné, aby organizace stanovila své požadavky na ochranu PII. Existují tři hlavní zdroje požadavků, které jsou uvedené dále:
- Právní, statutární, regulatorní a smluvní požadavky: Jedním zdrojem jsou právní, statutární, regulatorní a smluvní požadavky a závazky, které organizace, její obchodní partneři, dodavatelé a poskytovatelé služeb musí plnit, a jejich sociokulturní odpovědnosti a provozní prostředí. Právní, regulační a smluvní závazky zpracovatele PII mohou určovat výběr konkrétních opatření a mohou také vyžadovat specifická kritéria pro implementování takových opatření. Tyto požadavky mohou být v různých jurisdikcích odlišné.
- Rizika: Další zdroj je odvozen z posouzení rizik hrozících organizaci spojené s PII, s přihlédnutím k celkové podnikatelské strategii a cílům organizace. Posouzením rizik se identifikují hrozby, zranitelnosti a pravděpodobnost výskytu a je odhadnut možný dopad. ISO/IEC 27005 poskytuje pokyny na řízení rizik bezpečnosti informací, zahrnující doporučení ohledně posouzení rizik, akceptace rizik, komunikace rizik, monitorování rizik a přezkoumání rizik. ISO/IEC 29134 poskytuje pokyny pro posouzení dopadu na soukromí.
- Korporátní politiky: I když mnoho aspektů pokrytých korporátní politikou je odvozeno z právních a sociálně kulturních závazků, organizace si mohou také dobrovolně zvolit, že přijmou vyšší kritéria než ta, která jsou odvozena z požadavků, uvedených pod bodem a).
ČSN ISO/IEC 27018 Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII
Norma ISO/IEC 27018:2019 je navržena tak, aby ho organizace mohly používat jako odkaz na výběr opatření na ochranu PII v procesu implementování systému řízení bezpečnosti informací cloud computingu na základě ISO/IEC 27001, nebo jako pokyny k implementaci obecně akceptovaných opatření na ochranu PII pro organizace vystupující jako zpracovatelé PII ve veřejném cloudu.
Tento dokument je především založen na ISO/IEC 27002, přičemž zohledňuje specifická riziková prostředí, vyplývající z těch požadavků na ochranu PII, které se mohou aplikovat na poskytovatele veřejných služeb cloud computingu vystupujících jako zpracovatelé PII.
Obvykle organizace implementující ISO/IEC 27001 chrání svoje vlastní informační aktiva. V kontextu požadavků na ochranu PII na poskytovatele veřejných cloudových služeb vystupujících jako zpracovatel PII však organizace chrání informační aktiva, která mu zákaznici svěřili. Implementace opatření z ISO/IEC 27002 zpracovatelem PII ve veřejném cloudu je k tomuto účelu vhodná a je nezbytná.
Norma ISO/IEC 27018:2019 rozšiřuje opatření uvedená v ISO/IEC 27002, aby odpovídala distribuované povaze rizika a existenci smluvního vztahu mezi zákazníkem cloudových služeb a zpracovatelem PII ve veřejném cloudu. Tento dokument rozšiřuje ISO/IEC 27002 dvěma způsoby:
- pokyny k implementaci použitelné na ochranu PII ve veřejném cloudu je poskytnut pro některá opatření uvedená v ISO/IEC 27002, a
- příloha A poskytuje sadu dalších opatření a připojené pokyny, které májí řešit požadavky na ochranu PII ve veřejném cloudu, kterými se nezabývá soubor opatření ISO/IEC 27002.
Většina z opatření a pokynů uvedených v tomto dokumentu se budou aplikovat také na dohlížitele PII. Dohlížitel PII však je ve většině případů předmětem dalších závazků, které zde nejsou specifikovány.
Norma ISO/IEC 27018:2019 poskytuje rámec pro řízení rizik týkajících se ochrany osobních údajů, která se ukládají a zpracovávají v cloudu. Tato norma obsahuje doporučení pro cloudové poskytovatele v oblasti ochrany osobních údajů, jako například:
- Ochrana osobních údajů: Cloudový poskytovatel musí zajistit, že osobní údaje jsou chráněny před neoprávněným přístupem, změnou, zničením nebo ztrátou. Tato ochrana by měla být zajištěna prostřednictvím fyzické a logických opatření.
- Prokazatelnost: Cloudový poskytovatel musí mít postupy pro ověření svých závazků v oblasti ochrany osobních údajů a být schopen poskytnout doklady o dodržování těchto postupů.
- Zpracování údajů na území země: Norma ISO 27018 doporučuje, aby byly osobní údaje zpracovávány v cloudových řešeních pouze na území země, která má přísné zákony na ochranu osobních údajů.
- Auditování: Cloudový poskytovatel musí mít procesy pro interní audity svého systému řízení ochrany osobních údajů a být schopen poskytnout zákazníkům informace o výsledcích těchto auditů.
V současnosti je ISO/IEC 27018:2019 jednou z nejdůležitějších norem v oblasti ochrany osobních údajů v cloudu a je stále více využívána jako referenční rámec pro ochranu osobních údajů v cloudových řešeních.
Aké nové požiadavky stanovuje norma ISO/IEC 27018:2019 vs ISO/IEC 27001
Jak můžete vidět, ISO/IEC 27018:2019 navrhuje největší doplňky v požadavkach bode 12 Zabezpečení provozu – to se týká hlavně ovládacích prvků 12.1.4 Oddělení vývojového, testovacího a provozního prostředí (když se k testování používají osobní údaje); 12.3.1 Zálohování informací (více kopií dat; postupy pro zálohování, obnovu a vymazání; poskytování informací zákazníkovi); a 12.4.1 Protokolování událostí (proces kontroly protokolů; zaznamenávání změněných informací o soukromí; poskytování informací zákazníkovi).
Příloha A normy ISO/IEC 27018:2019 uvádí následující dodatečné kontroly (které v normě ISO 27001/27002 neexistují), které by měly být implementovány, aby se zvýšila úroveň ochrany osobních údajů v cloudu:
- Práva zákazníka na přístup a vymazání údajů
- Zpracování údajů pouze za účelem, pro který zákazník tyto údaje poskytl
- Nepoužívá se data pro marketing a reklamu
- Smazání dočasných souborů
- Oznámení zákazníkovi v případě požadavku na zveřejnění údajů
- Evidence všech zveřejnění osobních údajů
- Zveřejnění informací o všech subdodavatelích použitých pro zpracování osobních údajů
- Oznámení zákazníkovi v případě úniku dat
- Správa dokumentů pro cloudové zásady a postupy
- Zásady pro vrácení, přenos a likvidaci osobních údajů
- Dohody o mlčenlivosti pro jednotlivce, kteří mají přístup k osobním údajům
- Omezení tisku osobních údajů
- Postup pro obnovu dat
- Oprávnění k odebrání fyzického média mimo web
- Omezení použití médií, která nemají schopnost šifrování
- Šifrování dat přenášených přes veřejné sítě
- Zničení tištěných médií s osobními údaji
- Použití jedinečných ID pro cloudové zákazníky
- Záznamy o přístupu uživatelů do cloudu
- Zakázání používání ID uživatelů, jejichž platnost vypršela
- Stanovení minimálních bezpečnostních kontrol ve smlouvách se zákazníky a subdodavateli
- Smazání dat v úložišti přidělených jiným zákazníkům
- Sdělení zákazníkovi cloudu, ve kterých zemích budou data uložena
- Zajištění, že data dorazí do cíle
ISO/IEC 27001 nebo ISO/IEC 27018:2019?
Závěrem však není volit mezi těmito dvěma standardy, ale implementovat je společně – ISO 27001 poskytuje nejlepší rámec pro řízení bezpečnosti (s rozhodujícím důrazem na řízení rizik), zatímco ISO 27018 poskytuje vynikající bezpečnostní detaily specifické pro cloud. Jednoduše začněte s ISO 27001 a přidávejte kousky z ISO 27018, jak postupujete ve svém implementačním projektu.
Souvisící ČSN k norme ISO/IEC 27018:2019 – Informační technologie – Bezpečnostní techniky
- ISO/IEC 17788 zavedena v ČSN ISO/IEC 17788 (36 9865) Informační technologie – Cloud computing – Přehled a slovník
- ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
- ISO/IEC 27002:2013 zavedena v ČSN EN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
- ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura
- ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
- ČSN ISO/IEC 27005 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
- ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat
- ČSN ISO/IEC 29100:2015 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí
- ČSN ISO/IEC 29101 (36 9708) Informační technologie – Bezpečnostní techniky – Rámec architektury soukromí
- ČSN ISO/IEC 29134 (36 9712) Informační technologie – Bezpečnostní techniky – Směrnice pro posuzování dopadu na soukromí