В этой статье вы узнаете, зачем бизнесу, работающему в публичных облаках, стандарт ISO/IEC 27018: как он дополняет ISO/IEC 27001, какие риски помогает закрыть, какие требования предъявляет к провайдерам, и как он помогает обеспечить конфиденциальность персональных данных в соответствии с международными ожиданиями — от GDPR до корпоративных клиентов.
Почему появился ISO/IEC 27018 и что изменилось в подходе к защите данных
Мир уходит в облако. И быстро.
За последние годы бизнес всё активнее переезжает в облачные сервисы. Компании хранят и обрабатывают огромные объёмы информации, включая персональные данные, на платформах вроде AWS, Google Cloud, Azure. Обрабатываете персональные данные в облаке? Значит, вы напрямую отвечаете за их безопасность — даже если технически данные у провайдера.
Но вместе с ростом удобства растут и риски. Когда данные клиентов хранятся у внешнего провайдера, важно, чтобы они были под надёжной защитой. Любая утечка персональных данных — это не только потеря репутации, но и серьёзные юридические последствия. Поэтому перед отраслью встал вопрос: как выстроить доверие к облачным сервисам и гарантировать безопасность данных?
Раньше хватало ISO/IEC 27001. Теперь — нет.
До появления ISO/IEC 27018 уже существовали стандарты информационной безопасности, например, ISO/IEC 27001 и 27002. Они помогали защищать данные внутри компании, но почти не касались ситуаций, когда информация передаётся в облако.
Параллельно ужесточались требования со стороны регуляторов. В Европе приняли GDPR — один из самых строгих законов о защите данных. В США усилились рекомендации NIST. Везде стало очевидно: нужны международные правила, которые позволят облачным провайдерам работать с персональными данными на понятных и прозрачных условиях.
Ответом стал ISO/IEC 27018.
В 2014 году Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) представили ISO/IEC 27018 — первый в мире стандарт, специально разработанный для защиты персональных данных в публичных облаках.
Этот стандарт стал логичным продолжением GDPR и других инициатив по защите конфиденциальности. Он помогает провайдерам не только наладить процессы, но и продемонстрировать клиентам: их данные в безопасности.
Для кого и как применяется на практике ISO/IEC 27018
На кого рассчитан ISO/IEC 27018?
Этот стандарт создан специально для поставщиков облачных сервисов, которые обрабатывают персональные данные от имени своих клиентов. То есть, если вы — облачный оператор (обработчик), и вам доверили хранение или обработку персональной информации, ISO/IEC 27018 — про вас.
Он подходит как для частных компаний, так и для госструктур или некоммерческих организаций — главное, чтобы вы работали с данными клиентов в публичном облаке.
В чём суть?
ISO/IEC 27018 — это не самостоятельный стандарт, а дополнение к семейству ISO 27000. Его основная цель — помочь облачным провайдерам организовать защиту персональной информации с учётом рисков, которые характерны именно для облака.
С учётом появления GDPR и новых практик, ISO/IEC 27018 был обновлён в 2019 году. При этом, в отличие от «жёсткого» ISO/IEC 27001, ISO/IEC 27018 не содержит обязательных требований. Это скорее руководство — кодекс практик — с набором проверенных мер по защите данных и рекомендациями по их внедрению.
Готовы ли вы к проверке на приватность?
Перед тем как перейти к структуре стандарта, короткий чек-лист:
- Данные клиентов зашифрованы при передаче?
- Субподрядчики по обработке ПДн официально задокументированы?
- Есть процесс удаления данных по завершению контракта?
Если вы не можете уверенно ответить «да» — ISO/IEC 27018 поможет закрыть эти риски.
Ключевые требования ISO/IEC 27018
Что именно регулирует стандарт?
ISO/IEC 27018 основан на ISO/IEC 27002, но адаптирован под реалии публичного облака. Он не просто повторяет базовые меры безопасности — вроде контроля доступа или шифрования, — а объясняет, как внедрять их с учётом работы с персональными данными.
В стандарт включены два типа требований:
- Уточнённые меры из ISO/IEC 27002, адаптированные под облако и приватность;
- Дополнительные privacy-контроли, которых нет в ISO/IEC 27002, — они помогают соблюдать принципы конфиденциальности и права пользователей.
Всего в актуальной версии стандарта — около 40 детальных рекомендаций. Вот основные из них:
1. Контроль остаётся за клиентом
Провайдер может обрабатывать персональные данные только по инструкции клиента. Использовать эти данные в своих целях — например, для маркетинга — строго запрещено без явного согласия. Данные всегда остаются собственностью заказчика, а не облачного оператора.
2. Прозрачность
Клиент имеет право знать, где хранятся его данные (в какой стране и дата-центре) и кто к ним может получить доступ. Если подключаются субподрядчики, информация о них должна быть заранее раскрыта.
3. Уважение прав субъектов данных
Облачная платформа должна предусматривать возможности для выполнения запросов пользователей — например, на доступ, исправление или удаление своих данных. Также важно: по завершении контракта провайдер обязан вернуть данные клиенту и безопасно удалить копии.
4. Запрет на разглашение данных
Передача персональных данных третьим лицам возможна только по закону или по указанию клиента. Даже запрос от правоохранительных органов должен, по возможности, быть согласован с заказчиком.
5. Уведомления об инцидентах
Если произошла утечка или несанкционированный доступ к данным, провайдер обязан оперативно уведомить клиента. При этом все сотрудники, имеющие доступ к персональным данным, должны быть связаны обязательствами конфиденциальности.
6. Усиленные меры безопасности
ISO/IEC 27018 требует дополнительных технических мер:
– запрет на хранение персональных данных на переносимых носителях,
– безопасное восстановление данных из резервных копий,
– шифрование при передаче по публичным сетям,
– уникальные ID для пользователей, работающих с PII.
– запрет на хранение персональных данных на переносимых носителях,
– безопасное восстановление данных из резервных копий,
– шифрование при передаче по публичным сетям,
– уникальные ID для пользователей, работающих с PII.
Даже бумажные документы с персональными данными должны обрабатываться с повышенным контролем: шифровка, уничтожение, учёт.
7. Минимизация и точность
Провайдер обязан собирать только те данные, которые действительно нужны, и следить за их актуальностью. Хранить персональную информацию можно только в рамках оговорённого срока.
ISO/IEC 27018 — это своего рода чек-лист для облачных провайдеров, которые хотят обрабатывать персональные данные по международным стандартам. Он логично дополняет ISO/IEC 27001 и ISO 29100, усиливая фокус на приватности и прозрачности.
Как ISO/IEC 27018 соотносится с ISO/IEC 27001 и ISO/IEC 27017
ISO/IEC 27001 — основа всей системы
Если проводить аналогию, ISO/IEC 27001 — это фундамент. Именно он задаёт требования к системе управления информационной безопасностью (СМИБ) для любой организации, вне зависимости от отрасли. Этот стандарт помогает выстроить процессы, оценивать риски и применять защитные меры (контроли), описанные в ISO/IEC 27002.
Однако ISO/IEC 27001 сам по себе — "универсальный": он не делает акцент ни на облаке, ни на персональных данных. Поэтому для более узких задач были разработаны дополнительные стандарты — такие как ISO/IEC 27017 и ISO/IEC 27018.
ISO/IEC 27018 — расширение, а не замена
ISO/IEC 27018 нельзя использовать отдельно — он работает только в связке с ISO/IEC 27001. То есть, чтобы применять ISO/IEC 27018, у компании уже должна быть внедрена система управления безопасностью по ISO/IEC 27001.
А где в этой схеме ISO/IEC 27017?
ISO/IEC 27017 — это тоже надстройка над ISO/IEC 27001, но с другим фокусом. Если ISO/IEC 27018 про приватность и защиту персональных данных, то ISO/IEC 27017 — про техническую безопасность в облаке.
Он включает рекомендации:
- по разграничению ответственности между клиентом и провайдером;
- по настройке виртуальных машин;
- по управлению облачными ресурсами и т.д.
Проще говоря:
ISO/IEC 27017 — про безопасность облачной инфраструктуры.
ISO/IEC 27018 — про конфиденциальность и права пользователей.
ISO/IEC 27001 — основа, без которой ни один из двух не применяется.
ISO/IEC 27017 — про безопасность облачной инфраструктуры.
ISO/IEC 27018 — про конфиденциальность и права пользователей.
ISO/IEC 27001 — основа, без которой ни один из двух не применяется.
Все три стандарта работают в связке. ISO/IEC 27001 создаёт системную основу, ISO/IEC 27017 и ISO/IEC 27018 усиливают её в части облачных технологий. Вместе они формируют комплексный подход: от управления рисками до технической защиты и соблюдения прав пользователей.
Стандарт ISO/IEC 27018 — это логичный ответ на вызовы цифровой эпохи, когда бизнес всё чаще доверяет облачным провайдерам хранение и обработку персональных данных. Он не заменяет другие стандарты информационной безопасности, а дополняет их, делая акцент на прозрачности, ответственности и защите прав пользователей.
Для компаний, работающих в публичных облаках, ISO/IEC 27018 — это возможность не только выстроить эффективную систему приватности, но и продемонстрировать клиентам: их данные под надёжной защитой. А в связке с ISO/IEC 27001 и ISO/IEC 27017 он становится частью комплексного подхода к управлению информационными рисками в облачной среде.
Если вы планируете выход на международные рынки, работаете с GDPR или просто хотите повысить доверие к своим облачным услугам — ISO/IEC 27018 станет важным шагом в эту сторону. А наша команда поможет пройти этот путь — от оценки текущих процессов до подготовки к сертификации.