ISO IEC 27018-2019 PDF

Полное наименование и описание

ISO/IEC 27018:2019 — Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. Стандарт представляет собой кодекс практики для защиты персонально идентифицируемой информации (PII) при её обработке в публичных облаках, ориентированный на поставщиков облачных сервисов, действующих как обработчики PII.

Аннотация

Документ устанавливает общепринятые цели управления, контролы и рекомендации по реализации мер защиты PII в соответствии с принципами приватности из ISO/IEC 29100 и с учётом руководящих принципов ISO/IEC 27002. Он даёт практическую интерпретацию общих мер информационной безопасности применительно к сценариям публичного облака и контрактным отношениям между поставщиком облачных услуг и клиентами.

Общая информация

• Статус: Заменён / отозван — версия 2019 официально снята и заменена редакцией 2025; дата отзыва указана 26 августа 2025 года (withdrawal).
• Дата публикации: 15 января 2019 г. (ISO/IEC 27018:2019, 2‑я редакция).
• Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC), разработка — технический комитет ISO/IEC JTC 1/SC 27 (Information security, cybersecurity and privacy protection).
• ICS / категории: 35.030 — IT Security (включая шифрование).
• Редакция / версия: 2.0 (вторая редакция, 2019).
• Количество страниц: 23 страницы (исходный документ).

Область применения

Стандарт применим к организациям любого типа и размера, которые предоставляют услуги обработки информации в публичном облаке в роли обработчика PII по контракту для других организаций. Также рекомендации стандарта могут быть полезны и для организаций, действующих как контролёры PII, однако контролёры могут иметь дополнительные правовые обязательства, не охватываемые данным документом.

Ключевые темы и требования

• Интерпретация и применение контролей ISO/IEC 27002 в контексте обработки PII в публичном облаке.
• Принципы приватности (на основе ISO/IEC 29100): законность, ограничение цели, минимизация данных, прозрачность, точность, ограничение хранения и использования.
• Договорные и операционные требования к обработчикам PII: условия обработки, субподрядчики (sub‑processors), права аудита и отчётности.
• Требования к уведомлению о нарушениях безопасности, логированию и мониторингу доступа к PII.
• Требования к доступу и контролю привилегий, криптографической защите (транспорт/хранение) и управлению ключами.
• Рекомендации по сегрегации данных, управлению жизненным циклом PII (удаление, перенос), и по обеспечению прозрачности для клиентов облачных сервисов.
• Соответствие применимым нормативным требованиям приватности и помощь в контрактных соглашениях между поставщиком и клиентом.

Применение и пользователи

Основные пользователи стандарта — поставщики публичных облачных услуг (CSP), действующие как обработчики PII, — при разработке, внедрении и документировании мер защиты персональных данных. Также стандарт полезен для заказчиков облачных услуг, аудиторов, специалистов по управлению рисками и соответствию (compliance), юридических отделов и интеграторов, формирующих требования в контрактах на облачные сервисы.

Связанные стандарты

ISO/IEC 27018 тесно связан с семейством ISO/IEC 27000: в первую очередь с ISO/IEC 27002 (контролы информационной безопасности) и ISO/IEC 27001 (система управления информационной безопасностью), а также со стандартом ISO/IEC 29100 (принципы приватности). Для облачных сценариев релевантны также ISO/IEC 27017 (облачная безопасность) и ISO/IEC 27701 (PIMS — расширение по приватности). Кроме того, существовала предыдущая редакция ISO/IEC 27018:2014, отменённая выходом редакции 2019.

Ключевые слова

PII, публичное облако, обработчик данных, информационная безопасность, приватность, ISO/IEC 27018, ISO/IEC 27002, шифрование, управление доступом, уведомление о нарушениях, контроль субподрядчиков.

FAQ

В: Что это за стандарт?

О: Кодекс практики по защите персонально идентифицируемой информации (PII) в публичных облаках для поставщиков, выполняющих роль обработчика PII; предоставляет целевые контролы и рекомендации для защиты PII в облачной среде.

В: Что он регулирует?

О: Не законодательство, а набор практических рекомендаций: интерпретирует и дополняет контролы ISO/IEC 27002 применительно к обработке PII в публичных облаках, включая договорные и операционные требования, прозрачность, управление субподрядчиками и уведомления о нарушениях.

В: Кто обычно использует?

О: Поставщики публичных облачных услуг (в качестве обработчиков PII), клиенты облачных сервисов, аудиторы, специалисты по комплаенс и юристы при подготовке контрактов на облачные услуги.

В: Он актуален или заменён?

О: Редакция 2019 была опубликована 15 января 2019 г., однако затем была заменена более новой редакцией — документ 2019 официально получил дату отзыва 26 августа 2025 г.; актуальной является редакция 2025 (переход к новой версии может происходить в разные сроки у разных органов сертификации и национальных институтов). Приведены конкретные даты публикации и отзыва выше.

В: Это часть серии?

О: Да — стандарт входит в семейство ISO/IEC 27000 по информационной безопасности и приватности; логически связан и используется совместно с ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27017, ISO/IEC 29100 и ISO/IEC 27701.

В: Какие ключевые слова?

О: PII, облачная приватность, обработчик данных, контроль доступа, криптография, уведомление о нарушениях, субподрядчики, ISO/IEC 27018.