Обновлено: апрель 2026
В последние годы компании всё чаще используют облачные хранилища. Однако вместе с ростом удобства растут риски и, возможно, убытки. Обрабатывая персональные данные в облаке, компания отвечает за их безопасность. Любая их утечка влияет не только на репутацию организации, но и несёт серьёзные юридические последствия.
Поэтому в семействе ISO/IEC 27000 есть международный стандарт, который полностью посвящён защите персонально идентифицируемой информации в облаке – ISO/IEC 27018 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство по защите персональных данных в общедоступных облачных средах, выступающих в качестве обработчиков персональных данных».
Эволюция стандарта ISO/IEC 27018
До выхода на рынок ISO/IEC 27018 уже существовали стандарты по информационной безопасности, например, ISO/IEC 27001. Но он, прежде всего, сосредоточен на том, чтобы выстроить универсальную систему менеджмента информационной безопасности (СМИБ). Стандарт помогает защищать данные внутри компании, но не содержит специфических требований для работы с облаком.
К 2010-м годам компании начали массово переносить значимые данные в публичные облака, а существовавшие стандарты не регулировали такие вопросы, как порядок возврата и уничтожения данных, прозрачность локации хранения, запрет на вторичное использование данных клиентов. Поэтому появление ISO/IEC 27018 в 2014 году стало важной точкой развития защиты персональных данных.
В сертификационном комьюнити можно встретить мнение, что ISO/IEC 27018 – это «продолжение» GDPR. Однако GDPR вышел в 2016 году. Поэтому фактически, ISO/IEC 27018 предвосхитил ряд важных требований европейского регламента.
Что изменилось в ISO/IEC 27018 в 2025 году?
Обновление 2025 года принесло фундаментальную переработку структуры стандарта:
Структурная реорганизация
Предыдущая версия ISO/IEC 27018:2019 основывалась на стандарте ISO/IEC 27002:2013. То есть существовало 114 мер контроля в 14 разделах. Новая редакция перешла на структуру ISO/IEC 27002:2022: количество мер сократилось до 93, которые организованы в 4-х тематических группах:
- организационные,
- кадровые,
- физические,
- технологические.
Теперь у ISO/IEC 27018 единая структура со связанными стандартами, в том числе с ISO/IEC 27001:2022.
Положение B
В стандарт ввели Положение B, которое содержит таблицу соответствия между мерами контроля 2019 и 2025 года. Это важный шаг для снижения нагрузки на организации, которые сертифицированы по предыдущей версии. Теперь GAP-анализ проводится систематически, а не через ручной пересмотр каждой меры контроля.
Усиленные требования
Третья редакция:
- вводит чёткое разграничение ролей контроллера и обработчика PII,
- расширяет требования к управлению субподрядчиками,
- устанавливает строгие требования к прозрачности и подотчётности,
- требует ускорения уведомления об инцидентах безопасности.
Для каких компаний применяется стандарт ISO/IEC 27018?
Стандарт создан для поставщиков облачных сервисов, которые выступают в качестве обработчиков персональных данных (PII). То есть вам нужен ISO/IEC 27018, если компания – облачный оператор, который хранит и обрабатывает персональную информацию.
Под действие стандарта попадают:
- провайдеры IaaS, PaaS, SaaS,
- дата-центры,
- поставщики облачных сервисов,
- любые организации, которые обрабатывают персональные данные клиентов в облаке.
В чём особенность ISO/IEC 27018?
Этот стандарт – свод практик (code of practice), который дополняет семейство ISO 27000. Он помогает облачным провайдерам организовать защиту персональных данных с учётом рисков, которые характерны именно для этой сферы. ISO/IEC 27018 нельзя применить отдельно от ISO/IEC 27001.
Короткий чек-лист перед тем, как перейти к структуре стандарта:
- Данные ваших клиентов зашифрованы при передаче или хранении?
- Субподрядчики по обработке персональных данных официально задокументированы?
- У вас сформирован процесс удаления данных после завершения контракта?
- Политика уведомления об инцидентах предусматривает срок от 24 до 48 часов?
- Вы можете точно сказать, в какой стране хранятся данные клиентов?
Если хотя бы на один вопрос вы не можете ответить «да», то компания рискует не только своей репутацией, но и может в случае инцидентов может получить большие штрафы. ISO/IEC 27018 поможет закрыть эти риски.
Ключевые требования ISO/IEC 27018:2025?
Как мы уже говорили, ISO/IEC 27018 основывается на ISO/IEC 27001. В последней редакции стандарт содержит два типа мер:
Расширенные меры из ISO/IEC 27002 (порядка 16 мер)
Эти меры знакомы организациям, с внедрённой СМИБ, однако здесь они применяются конкретно к обработке персональных данных:
- контроль доступа,
- криптографическая защита,
- реагирование на инциденты,
- менеджмент цепочки поставщиков,
- безопасное удаление данных.
Дополнительные меры (порядка 25 мер, сгруппированных в Приложение А)
Это уникальные контроли, которые организованы по 9 принципам приватности.
Основные области стандарта
Контроль остаётся за клиентом
Провайдер может обрабатывать персональные данные только по инструкции клиента (через соглашение об обработке данных – DPA). А также без его согласия запрещено использовать эти данные в своих целях, например в маркетинге или для рекламы. Данные всегда остаются собственностью заказчика, а не облачного оператора.
Прозрачность
Клиент имеет право знать, где хранятся его данные (в какой стране и дата-центре) и кто к ним может получить доступ. Если подключаются субобработчики, информация о них должна быть раскрыта заранее. Также в новой редакции усилили требования к управлению субподрядчиками.
Уважение прав субъектов данных
В облачной платформе должна быть предусмотрена возможность выполнять запросы пользователей, например, на управление доступом, исправление, удаление или перенос данных. После завершения контракта провайдер должен вернуть данные клиенту и безопасно удалить копии.
Запрет на несанкционированные раскрытие данных
Передавать персональные данные третьим лицам можно только в нескольких случаях: по закону или по требованию клиента. Даже запрос от правоохранительных органов, по возможности, нужно согласовать с заказчиком. Провайдер должен также вести учёт всех раскрытий данных.
Уведомления об инцидентах
Если что-то произошло, например, утечка или несанкционированный доступ к данным, провайдер должен оперативно уведомить клиента. Все сотрудники, которые имеют доступ к персональным данным, должны быть связаны обязательствами конфиденциальности.
Усиленные меры безопасности
ISO/IEC 27018 требует дополнительных технических мер:
- запрет на хранение персональных данных на переносимых носителях,
- безопасное восстановление данных из резервных копий,
- шифрование при передаче по публичным сетям,
- уникальные ID для пользователей, работающих PII.
Минимизация и точность
Провайдер должен собирать только данные, которые действительно нужны, и следить за их актуальностью. Хранить персональную информацию можно только в рамках оговоренного срока.
ISO/IEC 27018 – это своего рода чек-лист для облачных провайдеров, которые хотят обрабатывать персональные данные по международным стандартам.
Место стандарта в экосистеме ISO 27000
Компаниям важно понимать связь между стандартами семейства ISO 27000. С этими знаниями вы можете корректно спланировать сертификацию.
ISO/IEC 27701 заслуживает отдельного внимания. В 2025 году он обновился параллельно с ISO/IEC 27018. Принципиальная разница в том, что ISO/IEC 27701:2025 стал самостоятельным стандартом системы менеджмента приватности. Теперь получить такой сертификат можно независимо от наличия ISO/IEC 27001.
Современным стеком облачной сертификации для провайдеров, которые ориентированы на корпоративный рынок, можно назвать: ISO/IEC 27001 (СМИБ) + ISO/IEC 27017 (облачная безопасность) + ISO/IEC 27018 (безопасность PII в облаке) + ISO/IEC 27701 (менеджмент приватности).
Почему ISO/IEC 27018 важнее, чем когда-либо?
На начало 2026 года в 172 странах мира приняты законы о защите персональных данных. Облачным провайдерам, работающим по всему миру, ISO/IEC 27018 помогает выстроить систему, которая будет схожа с регуляторными требованиями разных стран. Сертификация облегчит процесс получения соответствия этим требованиям.
В первую очередь сертификат ISO/IEC 27018 помогает компаниям повысить свой уровень информационной безопасности и укрепить доверие клиентов. Также он даёт:
Конкурентное преимущество
Организация с сертификатом получает международное признание, что облегчает выход на международный рынок, и повышает свои шансы на победу в тендерах.
Регуляторное соответствие
Сертификация помогает соблюдать требования законодательств разных стран по защите данных. Как мы уже говорили, она облегчает получение соответствия национальным требованиям.
Качественное управление рисками
Соответствуя требованиям стандарта, компания знает больше о своих рисках. Это снижает вероятность утечки данных и следующими за этим получение штрафов. Вы чётко разделяете ответственность между облачным провайдером и клиентом. Это делает работу прозрачней.
Операционную зрелость
Наконец, ISO/IEC 27018 говорит о вашей операционной зрелости. То есть у вас налажены внутренние процессы, персонал обучен, как действовать при инцидентах. Главное здесь то, что компания эффективно защищает данные не только на бумаге, но и на практике.
Рыночные тренды 2025-2026
Рынок облачной безопасности непрерывно растёт. В 2024 году его объём составим $ 35,84 млрд. По данным Grand View Research прогнозируется, что к 2030 году это число достигнет $ 75,26 млрд
Почему так происходит?
- Растёт мультифреймворковый подход. Компании всё чаще получают несколько сертификатов. Такой подход экономит затраты и делает компанию более привлекательной для крупных клиентов.
- Вышел стандарт менеджмента искусственного интеллекта (ISO/IEC 42001). Он дополняет существующие сертификаты и становится важным для компаний, которые используют ИИ.
- В Азии, на Ближнем востоке, в Латинской Америке ужесточаются требования к хранению данных. Компаниям нужно доказывать, что данные клиентов остаются в нужной юрисдикции. Это, в свою очередь, создаёт спрос на локализованные сертифицированные облачные решения.
Заключение
ISO/IEC 27018:2025 – это логичный ответ на вызовы цифровой эпохи, где последняя редакция полноценно подстраивается под современную реальность. В условиях, когда 172 страны уже приняли законы о защите персональных данных, стандарт остаётся доминирующей международной сертификацией для облака.
Для компаний, работающих в публичных облаках, это возможность выстроить эффективную систему и продемонстрировать клиентам, что их данные защищены.
Наша команда поможет вам пройти весь путь сертификации: от оценки текущих процессов до получения сертификата, включая переход на новую редакцию.
Изи Штандарт помогает организациям пройти сертификацию по ISO/IEC 27018:2025, включая переход с редакции 2019 года. Мы работаем с более чем 2000 клиентами по всему миру с 2014 года и сотрудничаем с 10+ международными органами по сертификации.