ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                   Listopad 2019

Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

ČSN
ISO/IEC 27018

36 9709

 

Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

Technologies de linformation – Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans linformatique en nuage public agissant comme processeur de PII

Tato norma je českou verzí mezinárodní normy ISO/IEC 27018:2019. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27018:2019. It was translated by the Czech Agency for Standardization. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 27018 (36 9709) z března 2017.


Národní předmluva

Změny proti předchozí normě

Toto druhé vydání zrušuje a nahrazuje první vydání a je jeho revizí menšího rozsahu. Hlavní změnou je oprava ediční chyby v příloze A.

Informace o citovaných dokumentech

ISO/IEC 17788 zavedena v ČSN ISO/IEC 17788 (36 9865) Informační technologie – Cloud computing – Přehled a slovník

ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27002:2013 zavedena v ČSN EN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací

Souvisící ČSN

ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura

ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN ISO/IEC 27005 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací

ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat

ČSN ISO/IEC 29100:2015 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí

ČSN ISO/IEC 29101 (36 9708) Informační technologie – Bezpečnostní techniky – Rámec architektury soukromí

ČSN ISO/IEC 29134 (36 9712) Informační technologie – Bezpečnostní techniky – Směrnice pro posuzování
dopadu na soukromí

Vysvětlivky k textu převzaté normy

Pro účely této normy byly použity následující anglické termíny v původním tvaru, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:

cloud, cloud computing, malware, hardcopy

Vypracování normy

Zpracovatel: Ing. Alena Hönigová, IČO 61470716

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky –                                          ISO/IEC 27018
Soubor postupů na ochranu osobně identifikovatelných informací (PII)    Druhé vydání
ve veřejných cloudech vystupujících jako zpracovatelé PII                            2019-01

ICS 35.030

Obsah

Strana

Předmluva..................................................................................................................................................................................................... 6

Úvod................................................................................................................................................................................................................ 7

1............ Předmět normy........................................................................................................................................................................... 10

2............ Citované dokumenty.................................................................................................................................................................. 10

3............ Termíny a definice..................................................................................................................................................................... 10

4............ Přehled......................................................................................................................................................................................... 11

4.1......... Struktura této normy................................................................................................................................................................... 11

4.2......... Kategorie opatření...................................................................................................................................................................... 12

5............ Politiky bezpečnosti informací................................................................................................................................................. 12

5.1......... Pokyny managementu organizace k bezpečnosti informací............................................................................................ 12

5.1.1...... Politiky pro bezpečnost informací........................................................................................................................................... 13

5.1.2...... Přezkoumání politik pro bezpečnost informací.................................................................................................................... 13

6............ Organizace bezpečnosti informací......................................................................................................................................... 13

6.1......... Interní organizace....................................................................................................................................................................... 13

6.1.1...... Role a odpovědnosti bezpečnosti informací......................................................................................................................... 13

6.1.2...... Princip oddělení povinností...................................................................................................................................................... 13

6.1.3...... Kontakt s autoritami................................................................................................................................................................... 13

6.1.4...... Kontakt se zvláštními zájmovými skupinami........................................................................................................................ 13

6.1.5...... Bezpečnost informací v řízení projektů.................................................................................................................................. 13

6.2......... Mobilní zařízení a práce na dálku........................................................................................................................................... 14

7............ Bezpečnost lidských zdrojů...................................................................................................................................................... 14

7.1......... Před vznikem pracovního poměru.......................................................................................................................................... 14

7.2......... Během pracovního poměru..................................................................................................................................................... 14

7.2.1...... Odpovědnosti managementu organizace............................................................................................................................. 14

7.2.2...... Povědomí, vzdělávání a školení o bezpečnosti informací................................................................................................. 14

7.2.3...... Disciplinární řízení...................................................................................................................................................................... 14

7.3......... Ukončení a změna pracovního poměru................................................................................................................................ 14

8............ Řízení aktiv................................................................................................................................................................................... 14

9............ Řízení přístupu............................................................................................................................................................................ 14

9.1......... Požadavky organizace na řízení přístupu.............................................................................................................................. 14

9.2......... Správa a řízení přístupu uživatelů........................................................................................................................................... 14

9.2.1...... Registrace a zrušení registrace uživatele.............................................................................................................................. 15

Strana

9.2.2...... Zřízení přístupu uživatele.......................................................................................................................................................... 15

9.2.3...... Správa a řízení privilegovaných přístupových práv............................................................................................................. 15

9.2.4...... Správa a řízení tajných autentizačních informací uživatele............................................................................................... 15

9.2.5...... Přezkoumání přístupových práv uživatelů............................................................................................................................. 15

9.2.6...... Odebrání nebo úprava přístupových práv............................................................................................................................. 15

9.3......... Odpovědnosti uživatelů............................................................................................................................................................. 15

9.3.1...... Použití tajných autentizačních informací............................................................................................................................... 15

9.4......... Řízení přístupu k systémům a aplikacím............................................................................................................................... 15

9.4.1...... Omezení přístupu k informacím.............................................................................................................................................. 15

9.4.2...... Bezpečné postupy přihlášení................................................................................................................................................... 15

9.4.3...... Systém správy hesel.................................................................................................................................................................. 16

9.4.4...... Použití privilegovaných obslužných programů..................................................................................................................... 16

9.4.5...... Řízení přístupu ke zdrojovému kódu programu................................................................................................................... 16

10.......... Kryptografie................................................................................................................................................................................. 16

10.1....... Kryptografická opatření............................................................................................................................................................. 16

10.1.1... Politika použití kryptografických opatření.............................................................................................................................. 16

10.1.2... Správa klíčů................................................................................................................................................................................. 16

11.......... Fyzická bezpečnost a bezpečnost prostředí......................................................................................................................... 16

11.1....... Zabezpečené oblasti................................................................................................................................................................. 16

11.2....... Zařízení......................................................................................................................................................................................... 16

11.2.1... Umístění zařízení a jeho ochrana........................................................................................................................................... 16

11.2.2... Podpůrné služby......................................................................................................................................................................... 16

11.2.3... Bezpečnost kabelových rozvodů............................................................................................................................................. 17

11.2.4... Údržba zařízení........................................................................................................................................................................... 17

11.2.5... Přemístění aktiv.......................................................................................................................................................................... 17

11.2.6... Bezpečnost zařízení a aktiv mimo prostory organizace..................................................................................................... 17

11.2.7... Bezpečná likvidace nebo opakované použití zařízení........................................................................................................ 17

11.2.8... Neobsluhovaná uživatelská zařízení...................................................................................................................................... 17

11.2.9... Zásada prázdného stolu a prázdné obrazovky monitoru................................................................................................... 17

12.......... Bezpečnost provozu.................................................................................................................................................................. 17

12.1....... Provozní postupy a odpovědnosti........................................................................................................................................... 17

12.1.1... Dokumentace provozních postupů......................................................................................................................................... 17

12.1.2... Řízení změn................................................................................................................................................................................. 17

12.1.3... Řízení kapacit.............................................................................................................................................................................. 17

12.1.4... Princip oddělení prostředí vývoje, testování a provozu....................................................................................................... 17

12.2....... Ochrana před malwarem.......................................................................................................................................................... 18

12.3....... Zálohování................................................................................................................................................................................... 18

12.3.1... Zálohování informací................................................................................................................................................................. 18

12.4....... Zaznamenávání formou logů a monitorování...................................................................................................................... 18

12.4.1... Zaznamenávání událostí formou logů................................................................................................................................... 18

12.4.2... Ochrana logů............................................................................................................................................................................... 19

12.4.3... Logy o činnosti administrátorů a operátorů........................................................................................................................... 19

12.4.4... Synchronizace hodin................................................................................................................................................................. 19

Strana

12.5....... Řízení a kontrola provozního softwaru................................................................................................................................... 19

12.6....... Správa a řízení technických zranitelností............................................................................................................................... 19

12.7....... Hlediska auditu informačních systémů.................................................................................................................................. 19

13.......... Bezpečnost komunikací............................................................................................................................................................ 19

13.1....... Správa bezpečnosti sítě............................................................................................................................................................ 19

13.2....... Přenos informací........................................................................................................................................................................ 19

13.2.1... Politiky a postupy při přenosu informací................................................................................................................................ 19

13.2.2... Dohody o přenosu informací................................................................................................................................................... 19

13.2.3... Elektronické předávání zpráv................................................................................................................................................... 20

13.2.4... Dohody o důvěrnosti nebo mlčenlivosti................................................................................................................................. 20

14.......... Akvizice, vývoj a údržba systému............................................................................................................................................ 20

15.......... Vztahy s dodavateli.................................................................................................................................................................... 20

16.......... Řízení incidentů bezpečnosti informací................................................................................................................................. 20

16.1....... Řízení incidentů bezpečnosti informací a zlepšování......................................................................................................... 20

16.1.1... Odpovědnosti a postupy........................................................................................................................................................... 20

16.1.2... Podávání zpráv o událostech bezpečnosti informací......................................................................................................... 20

16.1.3... Podávání zpráv o slabých místech bezpečnosti informací................................................................................................ 20

16.1.4... Posuzování a rozhodování o událostech bezpečnosti informací..................................................................................... 20

16.1.5... Odezva na incidenty bezpečnosti informací......................................................................................................................... 21

16.1.6... Ponaučení z incidentů bezpečnosti informací...................................................................................................................... 21

16.1.7... Shromažďování důkazů............................................................................................................................................................ 21

17.......... Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací........................................................... 21

18.......... Soulad s požadavky................................................................................................................................................................... 21

18.1....... Soulad se zákonnými a smluvními požadavky.................................................................................................................... 21

18.2....... Přezkoumání bezpečnosti informací...................................................................................................................................... 21

18.2.1... Nezávislé přezkoumání bezpečnosti informací................................................................................................................... 21

18.2.2... Soulad s bezpečnostními politikami a normami.................................................................................................................. 21

18.2.3... Přezkoumání technického souladu........................................................................................................................................ 21

Příloha A (normativní) Soubor opatření na ochranu PII rozšířený zpracovatelem PII ve veřejném cloudu............................. 22

Bibliografie.................................................................................................................................................................................................. 29

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2019

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401  Ch. de Blandonnet 8

CH-1214 Vernier, Geneva

Phone: +41 22 749 01 11

Fax: + 41 22 749 09 47

Email: copyright@iso.org

Website: www.iso.org

Publikováno ve Švýcarsku

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezi-
národních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti infor-
mační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na www.iso.org/iso/foreword.html.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27018:2014) a je jeho revizí menšího rozsahu. Hlavní změnou proti předchozímu vydání je oprava ediční chyby v příloze A.

Jakákoliv zpětná vazba nebo otázky týkající se tohoto dokumentu by měly být směrovány na národní normalizační orgán uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html.

Úvod

0.1 Základ a kontext

Poskytovatelé cloudových služeb, kteří zpracovávají osobně identifikovatelné informace (PII) na základě smlouvy se svými zákazníky, musí zpracovávat své služby způsobem umožňujícím oběma stranám splnit požadavky pou-
žitelné legislativy a předpisů pokrývajících ochranu PII. Požadavky a způsob, jakým jsou požadavky rozděleny mezi poskytovatele cloudových služeb a jeho zákazníky, se mění v závislosti na právní jurisdikci, a podle podmínek smluvního vztahu mezi poskytovatelem cloudových služeb a zákazníkem. Legislativa, která určuje, jak mohou být PII zpracovávány (tj. shromažďovány, používány, přenášeny a likvidovány) je někdy zmiňována jako legislativa na ochranu dat; PII se někdy nazývají osobní data nebo osobní informace. Povinnosti zpracovatele PII týkající se zpracovatele PII se liší v jednotlivých jurisdikcích, což je výzvou pro činnosti poskytující služby cloud computingu, aby fungovaly nadnárodně.

Poskytovatel veřejných cloudových služeb je „zpracovatel PII“, když zpracovává PII pro a v souladu s pokyny zákazníka cloudových služeb. Zákazníkem cloudových služeb, který má smluvní vztah se zpracovatelem PII ve veřejném cloudu, může být fyzická osoba, „subjekt PII“, zpracovávající svá vlastní PII v cloudu, nebo organizace, „dohlížitel PII“, zpracovávající PII týkající se mnoha subjektů PII. Zákazník cloudových služeb by mohl autorizovat jednoho nebo více uživatelů cloudových služeb s nimi spojených, aby používal služby, které jsou pro ně dostupné na základě smlouvy se zpracovatelem PII veřejných služeb. Zákazník cloudových služeb je oprávněn zpracovávat a používat data. Zákazníka cloudových služeb, který je také dohlížitel PII, se může týkat širší soubor povinností určujících ochranu PII než zpracovatele PII ve veřejném cloudu. Udržování odlišností mezi dohlížitelem PII a zpracovatelem PII spoléhá na zpracovatele PII ve veřejném cloudu, který nemá jiné cíle zpracování dat než cíle
nastavené zákazníkem cloudových služeb vzhledem k PII, která zpracovává, a operacím nutným pro dosažení cílů zákazníka cloudových služeb.

POZNÁMKA Jestliže zpracovatel PII ve veřejném cloudu zpracovává účetní data zákazníka cloudových služeb, mohl by pro tento účel vystupovat jako dohlížitel PII. Tento dokument tuto činnost nepokrývá.

Záměrem tohoto dokumentu, je-li používán společně s cíli bezpečnosti informací a opatřeními uvedenými v ISO/IEC 27002, je vytvářet obecnou sadu bezpečnostních kategorií a opatření, které mohou být implementovány poskytovatelem veřejných služeb cloud computingu vystupujícího v roli zpracovatele PII. Má následující cíle:

    pomoci poskytovateli služeb veřejného cloudu vyhovět aplikovatelným povinnostem, když vystupuje jako zpracovatel PII, ať už takové povinnosti připadnou zpracovateli PII přímo nebo smluvně;

    umožnit zpracovateli PII ve veřejném cloudu být transparentním v příslušných záležitostech, aby zákazníci cloudových služeb mohli vybrat dobře spravované služby zpracování PII založených na cloudu;

    pomoci zákazníkovi cloudových služeb a zpracovateli PII ve veřejném cloudu při uzavírání smluvních ujednání;

    poskytnout zákazníkům cloudových služeb mechanismus pro provádění auditu a vyhovění právům a povinnostem v případech, kdy audity jednotlivého zákazníka cloudových služeb dat hostovaných v (cloud) prostředí virtualizovaného serveru pro více stran mohou být technicky neproveditelné a mohly by zvyšovat rizika pro zavedená fyzická a logická opatření síťové bezpečnosti.

Tento dokument může pomoci poskytovatelům veřejných cloudových služeb, zejména těm, které jsou provozovány na nadnárodním trhu, poskytnutím rámce obecné shody.

0.2 Opatření na ochranu PII pro veřejné služby cloud computingu

Tento dokument je navržen tak, aby ho organizace mohly používat jako odkaz na výběr opatření na ochranu PII v procesu implementování systému řízení bezpečnosti informací cloud computingu na základě ISO/IEC 27001, nebo jako pokyny k implementaci obecně akceptovaných opatření na ochranu PII pro organizace vystupující jako zpracovatelé PII ve veřejném cloudu. Tento dokument je především založen na ISO/IEC 27002, přičemž zohledňuje specifická riziková prostředí, vyplývající z těch požadavků na ochranu PII, které se mohou aplikovat na
poskytovatele veřejných služeb cloud computingu vystupujících jako zpracovatelé PII.

Obvykle organizace implementující ISO/IEC 27001 chrání svoje vlastní informační aktiva. V kontextu požadavků na ochranu PII na poskytovatele veřejných cloudových služeb vystupujících jako zpracovatel PII však organizace chrání informační aktiva, která mu zákaznici svěřili. Implementace opatření z ISO/IEC 27002 zpracovatelem PII ve veřejném cloudu je k tomuto účelu vhodná a je nezbytná. Tento dokument rozšiřuje opatření uvedená
v ISO/IEC 27002, aby odpovídala distribuované povaze rizika a existenci smluvního vztahu mezi zákazníkem

cloudových služeb a zpracovatelem PII ve veřejném cloudu. Tento dokument rozšiřuje ISO/IEC 27002 dvěma způsoby:

    pokyny k implementaci použitelné na ochranu PII ve veřejném cloudu je poskytnut pro některá opatření uvedená v ISO/IEC 27002, a

    příloha A poskytuje sadu dalších opatření a připojené pokyny, které májí řešit požadavky na ochranu PII ve veřejném cloudu, kterými se nezabývá soubor opatření ISO/IEC 27002.

Většina z opatření a pokynů uvedených v tomto dokumentu se budou aplikovat také na dohlížitele PII. Dohlíži-
tel PII však je ve většině případů předmětem dalších závazků, které zde nejsou specifikovány.

0.3 Požadavky na ochranu PII

Je nezbytné, aby organizace stanovila své požadavky na ochranu PII. Existují tři hlavní zdroje požadavků, které jsou uvedené dále.

a)   Právní, statutární, regulatorní a smluvní požadavky: Jedním zdrojem jsou právní, statutární, regulatorní a smluvní požadavky a závazky, které organizace, její obchodní partneři, dodavatelé a poskytovatelé služeb musí plnit, a jejich sociokulturní odpovědnosti a provozní prostředí. Právní, regulační a smluvní závazky zpracovatele PII mohou určovat výběr konkrétních opatření a mohou také vyžadovat specifická kritéria pro implementování takových opatření. Tyto požadavky mohou být v různých jurisdikcích odlišné.

b)   Rizika: Další zdroj je odvozen z posouzení rizik hrozících organizaci spojené s PII, s přihlédnutím k celkové podnikatelské strategii a cílům organizace. Posouzením rizik se identifikují hrozby, zranitelnosti a pravděpodobnost výskytu a je odhadnut možný dopad. ISO/IEC 27005 poskytuje pokyny na řízení rizik bezpečnosti informací, zahrnující doporučení ohledně posouzení rizik, akceptace rizik, komunikace rizik, monitorování rizik a přezkoumání rizik. ISO/IEC 29134 poskytuje pokyny pro posouzení dopadu na soukromí.

c)   Korporátní politiky: I když mnoho aspektů pokrytých korporátní politikou je odvozeno z právních a sociálně kulturních závazků, organizace si mohou také dobrovolně zvolit, že přijmou vyšší kritéria než ta, která jsou odvozena z požadavků, uvedených pod bodem a).

0.4 Výběr a implementace opatření v prostředí cloud computingu

Opatření mohou být vybrána z tohoto dokumentu (který zahrnuje odkaz na opatření z ISO/IEC 27002 a vytváří tak spojený odkaz na soubor opatření pro úsek aplikací definovaný rozsahem). Opatření mohou být také na
základě požadavku vybrána ze souboru opatření, nebo mohou být navržena nová opatření, splňující specifické potřeby, je-li to vhodné.

POZNÁMKA Služba zpracovávající PII poskytnutá zpracovatelem PII ve veřejném cloudu může být vzata v úvahu jako aplikace cloud computingu, spíše než jako samostatný obor. Nicméně je v tomto dokumentu použit termín „specifický podle oborů“, protože je to obvyklý termín používaný v jiných normách řady ISO/IEC 27000.

Výběr opatření závisí na organizačních rozhodnutích vycházejících z kritérií pro akceptaci rizik, možnostech ošetření rizik, a obecném přístupu k řízení rizik, použitém organizací a, prostřednictvím smluvních ujednání, jejími zákazníky a dodavateli, a bude také podléhat příslušné národní a mezinárodní legislativě a předpisům. Když nejsou vybrána opatření z tohoto dokumentu, je třeba to zdokumentovat se zdůvodněním jejich vynechání.

Výběr a implementace opatření dále závisí na aktuální roli poskytovatele veřejného cloudu v kontextu celé referenční architektury cloud computingu (viz ISO/IEC 17789). Do poskytování infrastruktury a aplikačních služeb v prostředí cloud computingu může být zapojeno mnoho různých organizací. Za určitých okolností mohou být vybraná opatření jedinečná pro konkrétní kategorii služeb referenční architektury cloud computingu. V jiných případech se mohou při implementování bezpečnostních opatření vyskytnout sdílené role. Je nutné, aby smluvní ujednání jasně specifikovala odpovědnosti týkající se ochrany PII všech organizací zapojených do poskytování nebo používání cloudových služeb, zahrnujících zpracovatele PII veřejných služeb, jeho subdodavatele a zákazníka cloudových služeb.

Opatření v tomto dokumentu mohou být pokládána za základní principy a mohou být aplikovatelná pro většinu organizací. Podrobněji jsou vysvětlena dále společně s pokyny k implementaci. Implementace může být jednodušší, budou-li požadavky na ochranu PII vzaty v úvahu v návrhu informačního systému, služeb a operací zpracovatele PII ve veřejném cloudu. Takové zvážení je prvkem konceptu často nazývaným „Soukromí již ve fázi
návrhu“ (viz Bibliografie [9]).

0.5 Vytváření dalších směrnic

Na tento dokument je možné pohlížet jako na výchozí bod pro vytváření směrnic na ochranu PII. Je možné, že ne všechna opatření a pokyny v tomto souboru postupů budou použitelné. Mohou být také požadována další opatření a směrnice, které nejsou obsaženy v tomto dokumentu. Při vývoji dokumentů obsahujících další směrnice nebo opatření může být užitečné zařadit, kde je to vhodné, křížové odkazy na kapitoly tohoto dokumentu, aby se usnadnila kontrola shody prováděná auditory a obchodními partnery.

0.6 Faktory životního cyklu

PII má přirozený životní cyklus, od vytváření a počátku přes ukládání, zpracování, používání a přenášení k případnému zničení nebo pokažení. Rizika pro PII se mohou v průběhu jejich životního cyklu měnit, ale ochrana PII zůstává v určitém rozsahu ve všech etapách významná.

Požadavky na ochranu PII je nutné zohlednit při řízení existujících a nových informačních systémů po celou dobu jejich životního cyklu.

1 Předmět normy

Tento dokument stanoví obecně akceptované kontrolní cíle, opatření a směrnice pro zavedení opatření na ochranu osobně identifikovatelných informací (PII) spolu s principy soukromí uvedenými v ISO/IEC 29100 pro prostředí veřejného cloud computingu.

Tento dokument zejména specifikuje směrnice založené na ISO/IEC 27002, přičemž bere v úvahu regulatorní požadavky na ochranu PII, které mohou být použitelné v rámci kontextu prostředí rizik bezpečnosti informací poskytovatele služeb veřejného cloudu.

Tento dokument je použitelný pro všechny typy a velikosti organizací, zahrnující veřejné a soukromé společnosti, vládní úřady a neziskové organizace, které poskytují služby pro zpracování informací jako zpracovatelé PII prostřednictvím cloud computingu na základě smlouvy s jinými organizacemi.

Směrnice v tomto dokumentu mohou mít také význam pro organizace vystupující jako dohlížitelé PII; avšak
dohlížitelé PII mohou být předmětem další legislativy, předpisů a závazků na ochranu PII, které nejsou aplikované na zpracovatele PII. Cílem tohoto dokumentu není pokrytí takových dodatečných závazků.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz