ČESKÁ TECHNICKÁ NORMA
ICS 35.030 Listopad 2019
Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII |
ČSN 36 9709 |
Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Technologies de l’information – Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII
Tato norma je českou verzí mezinárodní normy ISO/IEC 27018:2019. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.
This standard is the Czech version of the International Standard ISO/IEC 27018:2019. It was translated by the Czech Agency for Standardization. It has the same status as the official version.
Nahrazení předchozích norem
Touto normou se nahrazuje ČSN ISO/IEC 27018 (36 9709) z března 2017.
Národní předmluva
Změny proti předchozí normě
Toto druhé vydání zrušuje a nahrazuje první vydání a je jeho revizí menšího rozsahu. Hlavní změnou je oprava ediční chyby v příloze A.
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27002:2013 zavedena v ČSN EN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
Souvisící ČSN
ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura
ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat
ČSN ISO/IEC 29100:2015 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí
ČSN ISO/IEC 29101 (36 9708) Informační technologie – Bezpečnostní techniky – Rámec architektury soukromí
ČSN ISO/IEC 29134 (36 9712) Informační
technologie – Bezpečnostní techniky – Směrnice pro posuzování
dopadu na soukromí
Vysvětlivky k textu převzaté normy
Pro účely této normy byly použity následující anglické termíny v původním tvaru, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:
cloud, cloud computing, malware, hardcopy
Vypracování normy
Zpracovatel: Ing. Alena Hönigová, IČO 61470716
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav Škop
Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Informační technologie –
Bezpečnostní techniky – ISO/IEC 27018
Soubor postupů na ochranu osobně
identifikovatelných informací (PII) Druhé vydání
ve veřejných cloudech vystupujících jako zpracovatelé PII 2019-01
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 6
Úvod................................................................................................................................................................................................................ 7
1............ Předmět normy........................................................................................................................................................................... 10
2............ Citované dokumenty.................................................................................................................................................................. 10
3............ Termíny a definice..................................................................................................................................................................... 10
4............ Přehled......................................................................................................................................................................................... 11
4.1......... Struktura této normy................................................................................................................................................................... 11
4.2......... Kategorie opatření...................................................................................................................................................................... 12
5............ Politiky bezpečnosti informací................................................................................................................................................. 12
5.1......... Pokyny managementu organizace k bezpečnosti informací............................................................................................ 12
5.1.1...... Politiky pro bezpečnost informací........................................................................................................................................... 13
5.1.2...... Přezkoumání politik pro bezpečnost informací.................................................................................................................... 13
6............ Organizace bezpečnosti informací......................................................................................................................................... 13
6.1......... Interní organizace....................................................................................................................................................................... 13
6.1.1...... Role a odpovědnosti bezpečnosti informací......................................................................................................................... 13
6.1.2...... Princip oddělení povinností...................................................................................................................................................... 13
6.1.3...... Kontakt s autoritami................................................................................................................................................................... 13
6.1.4...... Kontakt se zvláštními zájmovými skupinami........................................................................................................................ 13
6.1.5...... Bezpečnost informací v řízení projektů.................................................................................................................................. 13
6.2......... Mobilní zařízení a práce na dálku........................................................................................................................................... 14
7............ Bezpečnost lidských zdrojů...................................................................................................................................................... 14
7.1......... Před vznikem pracovního poměru.......................................................................................................................................... 14
7.2......... Během pracovního poměru..................................................................................................................................................... 14
7.2.1...... Odpovědnosti managementu organizace............................................................................................................................. 14
7.2.2...... Povědomí, vzdělávání a školení o bezpečnosti informací................................................................................................. 14
7.2.3...... Disciplinární řízení...................................................................................................................................................................... 14
7.3......... Ukončení a změna pracovního poměru................................................................................................................................ 14
8............ Řízení aktiv................................................................................................................................................................................... 14
9............ Řízení přístupu............................................................................................................................................................................ 14
9.1......... Požadavky organizace na řízení přístupu.............................................................................................................................. 14
9.2......... Správa a řízení přístupu uživatelů........................................................................................................................................... 14
9.2.1...... Registrace a zrušení registrace uživatele.............................................................................................................................. 15
Strana
9.2.2...... Zřízení přístupu uživatele.......................................................................................................................................................... 15
9.2.3...... Správa a řízení privilegovaných přístupových práv............................................................................................................. 15
9.2.4...... Správa a řízení tajných autentizačních informací uživatele............................................................................................... 15
9.2.5...... Přezkoumání přístupových práv uživatelů............................................................................................................................. 15
9.2.6...... Odebrání nebo úprava přístupových práv............................................................................................................................. 15
9.3......... Odpovědnosti uživatelů............................................................................................................................................................. 15
9.3.1...... Použití tajných autentizačních informací............................................................................................................................... 15
9.4......... Řízení přístupu k systémům a aplikacím............................................................................................................................... 15
9.4.1...... Omezení přístupu k informacím.............................................................................................................................................. 15
9.4.2...... Bezpečné postupy přihlášení................................................................................................................................................... 15
9.4.3...... Systém správy hesel.................................................................................................................................................................. 16
9.4.4...... Použití privilegovaných obslužných programů..................................................................................................................... 16
9.4.5...... Řízení přístupu ke zdrojovému kódu programu................................................................................................................... 16
10.......... Kryptografie................................................................................................................................................................................. 16
10.1....... Kryptografická opatření............................................................................................................................................................. 16
10.1.1... Politika použití kryptografických opatření.............................................................................................................................. 16
10.1.2... Správa klíčů................................................................................................................................................................................. 16
11.......... Fyzická bezpečnost a bezpečnost prostředí......................................................................................................................... 16
11.1....... Zabezpečené oblasti................................................................................................................................................................. 16
11.2....... Zařízení......................................................................................................................................................................................... 16
11.2.1... Umístění zařízení a jeho ochrana........................................................................................................................................... 16
11.2.2... Podpůrné služby......................................................................................................................................................................... 16
11.2.3... Bezpečnost kabelových rozvodů............................................................................................................................................. 17
11.2.4... Údržba zařízení........................................................................................................................................................................... 17
11.2.5... Přemístění aktiv.......................................................................................................................................................................... 17
11.2.6... Bezpečnost zařízení a aktiv mimo prostory organizace..................................................................................................... 17
11.2.7... Bezpečná likvidace nebo opakované použití zařízení........................................................................................................ 17
11.2.8... Neobsluhovaná uživatelská zařízení...................................................................................................................................... 17
11.2.9... Zásada prázdného stolu a prázdné obrazovky monitoru................................................................................................... 17
12.......... Bezpečnost provozu.................................................................................................................................................................. 17
12.1....... Provozní postupy a odpovědnosti........................................................................................................................................... 17
12.1.1... Dokumentace provozních postupů......................................................................................................................................... 17
12.1.2... Řízení změn................................................................................................................................................................................. 17
12.1.3... Řízení kapacit.............................................................................................................................................................................. 17
12.1.4... Princip oddělení prostředí vývoje, testování a provozu....................................................................................................... 17
12.2....... Ochrana před malwarem.......................................................................................................................................................... 18
12.3....... Zálohování................................................................................................................................................................................... 18
12.3.1... Zálohování informací................................................................................................................................................................. 18
12.4....... Zaznamenávání formou logů a monitorování...................................................................................................................... 18
12.4.1... Zaznamenávání událostí formou logů................................................................................................................................... 18
12.4.2... Ochrana logů............................................................................................................................................................................... 19
12.4.3... Logy o činnosti administrátorů a operátorů........................................................................................................................... 19
12.4.4... Synchronizace hodin................................................................................................................................................................. 19
Strana
12.5....... Řízení a kontrola provozního softwaru................................................................................................................................... 19
12.6....... Správa a řízení technických zranitelností............................................................................................................................... 19
12.7....... Hlediska auditu informačních systémů.................................................................................................................................. 19
13.......... Bezpečnost komunikací............................................................................................................................................................ 19
13.1....... Správa bezpečnosti sítě............................................................................................................................................................ 19
13.2....... Přenos informací........................................................................................................................................................................ 19
13.2.1... Politiky a postupy při přenosu informací................................................................................................................................ 19
13.2.2... Dohody o přenosu informací................................................................................................................................................... 19
13.2.3... Elektronické předávání zpráv................................................................................................................................................... 20
13.2.4... Dohody o důvěrnosti nebo mlčenlivosti................................................................................................................................. 20
14.......... Akvizice, vývoj a údržba systému............................................................................................................................................ 20
15.......... Vztahy s dodavateli.................................................................................................................................................................... 20
16.......... Řízení incidentů bezpečnosti informací................................................................................................................................. 20
16.1....... Řízení incidentů bezpečnosti informací a zlepšování......................................................................................................... 20
16.1.1... Odpovědnosti a postupy........................................................................................................................................................... 20
16.1.2... Podávání zpráv o událostech bezpečnosti informací......................................................................................................... 20
16.1.3... Podávání zpráv o slabých místech bezpečnosti informací................................................................................................ 20
16.1.4... Posuzování a rozhodování o událostech bezpečnosti informací..................................................................................... 20
16.1.5... Odezva na incidenty bezpečnosti informací......................................................................................................................... 21
16.1.6... Ponaučení z incidentů bezpečnosti informací...................................................................................................................... 21
16.1.7... Shromažďování důkazů............................................................................................................................................................ 21
17.......... Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací........................................................... 21
18.......... Soulad s požadavky................................................................................................................................................................... 21
18.1....... Soulad se zákonnými a smluvními požadavky.................................................................................................................... 21
18.2....... Přezkoumání bezpečnosti informací...................................................................................................................................... 21
18.2.1... Nezávislé přezkoumání bezpečnosti informací................................................................................................................... 21
18.2.2... Soulad s bezpečnostními politikami a normami.................................................................................................................. 21
18.2.3... Přezkoumání technického souladu........................................................................................................................................ 21
Příloha A (normativní) Soubor opatření na ochranu PII rozšířený zpracovatelem PII ve veřejném cloudu............................. 22
Bibliografie.................................................................................................................................................................................................. 29
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2019 Veškerá
práva vyhrazena. Žádná část
této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se
to v souvislosti s její ISO copyright office CP 401 • Ch. de Blandonnet 8 CH-1214 Vernier, Geneva Phone: +41 22 749 01 11 Fax: + 41 22 749 09 47 Email: copyright@iso.org Website: www.iso.org Publikováno ve Švýcarsku |
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány,
které jsou členy ISO nebo IEC, se podílejí na vypracování mezi-
národních norem prostřednictvím svých technických komisí ustavených
příslušnými organizacemi pro jednotlivé obory
technické činnosti. Technické komise ISO a IEC spolupracují v oborech
společného zájmu. Práce se zúčastňují také další vládní i nevládní
mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.
V oblasti infor-
mační technologie zřídily ISO a IEC společnou technickou komisi
ISO/IEC JTC 1.
Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na www.iso.org/iso/foreword.html.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.
Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27018:2014) a je jeho revizí menšího rozsahu. Hlavní změnou proti předchozímu vydání je oprava ediční chyby v příloze A.
Jakákoliv zpětná vazba nebo otázky týkající se tohoto dokumentu by měly být směrovány na národní normalizační orgán uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html.
0.1 Základ a kontext
Poskytovatelé cloudových služeb, kteří zpracovávají osobně
identifikovatelné informace (PII) na základě smlouvy se svými zákazníky, musí
zpracovávat své služby způsobem umožňujícím oběma stranám splnit požadavky pou-
žitelné legislativy a předpisů pokrývajících ochranu PII. Požadavky
a způsob, jakým jsou požadavky rozděleny mezi poskytovatele cloudových
služeb a jeho zákazníky, se mění v závislosti na právní jurisdikci,
a podle podmínek smluvního vztahu mezi poskytovatelem cloudových služeb
a zákazníkem. Legislativa, která určuje, jak mohou být PII zpracovávány
(tj. shromažďovány, používány, přenášeny a likvidovány) je někdy zmiňována
jako legislativa na ochranu dat; PII se někdy nazývají osobní data nebo osobní
informace. Povinnosti zpracovatele PII týkající se zpracovatele PII se liší
v jednotlivých jurisdikcích, což je výzvou pro činnosti poskytující služby
cloud computingu, aby fungovaly nadnárodně.
Poskytovatel veřejných cloudových služeb je „zpracovatel
PII“, když zpracovává PII pro a v souladu s pokyny zákazníka
cloudových služeb. Zákazníkem cloudových služeb, který má smluvní vztah se
zpracovatelem PII ve veřejném cloudu, může být fyzická osoba, „subjekt PII“,
zpracovávající svá vlastní PII v cloudu, nebo organizace, „dohlížitel
PII“, zpracovávající PII týkající se mnoha subjektů PII. Zákazník cloudových
služeb by mohl autorizovat jednoho nebo více uživatelů cloudových služeb
s nimi spojených, aby používal služby, které jsou pro ně dostupné na
základě smlouvy se zpracovatelem PII veřejných služeb. Zákazník cloudových
služeb je oprávněn zpracovávat a používat data. Zákazníka cloudových
služeb, který je také dohlížitel PII, se může týkat širší soubor povinností
určujících ochranu PII než zpracovatele PII ve veřejném cloudu. Udržování
odlišností mezi dohlížitelem PII a zpracovatelem PII spoléhá na
zpracovatele PII ve veřejném cloudu, který nemá jiné cíle zpracování dat než
cíle
nastavené zákazníkem cloudových služeb vzhledem k PII, která zpracovává,
a operacím nutným pro dosažení cílů zákazníka cloudových služeb.
POZNÁMKA Jestliže zpracovatel PII ve veřejném cloudu zpracovává účetní data zákazníka cloudových služeb, mohl by pro tento účel vystupovat jako dohlížitel PII. Tento dokument tuto činnost nepokrývá.
Záměrem tohoto dokumentu, je-li používán společně s cíli bezpečnosti informací a opatřeními uvedenými v ISO/IEC 27002, je vytvářet obecnou sadu bezpečnostních kategorií a opatření, které mohou být implementovány poskytovatelem veřejných služeb cloud computingu vystupujícího v roli zpracovatele PII. Má následující cíle:
– pomoci poskytovateli služeb veřejného cloudu vyhovět aplikovatelným povinnostem, když vystupuje jako zpracovatel PII, ať už takové povinnosti připadnou zpracovateli PII přímo nebo smluvně;
– umožnit zpracovateli PII ve veřejném cloudu být transparentním v příslušných záležitostech, aby zákazníci cloudových služeb mohli vybrat dobře spravované služby zpracování PII založených na cloudu;
– pomoci zákazníkovi cloudových služeb a zpracovateli PII ve veřejném cloudu při uzavírání smluvních ujednání;
– poskytnout zákazníkům cloudových služeb mechanismus pro provádění auditu a vyhovění právům a povinnostem v případech, kdy audity jednotlivého zákazníka cloudových služeb dat hostovaných v (cloud) prostředí virtualizovaného serveru pro více stran mohou být technicky neproveditelné a mohly by zvyšovat rizika pro zavedená fyzická a logická opatření síťové bezpečnosti.
Tento dokument může pomoci poskytovatelům veřejných cloudových služeb, zejména těm, které jsou provozovány na nadnárodním trhu, poskytnutím rámce obecné shody.
0.2 Opatření na ochranu PII pro veřejné služby cloud computingu
Tento dokument je navržen tak, aby ho organizace mohly
používat jako odkaz na výběr opatření na ochranu PII v procesu
implementování systému řízení bezpečnosti informací cloud computingu na základě
ISO/IEC 27001, nebo jako pokyny k implementaci obecně akceptovaných
opatření na ochranu PII pro organizace vystupující jako zpracovatelé PII ve veřejném
cloudu. Tento dokument je především založen na ISO/IEC 27002, přičemž
zohledňuje specifická riziková prostředí, vyplývající z těch požadavků na
ochranu PII, které se mohou aplikovat na
poskytovatele veřejných služeb cloud computingu vystupujících jako zpracovatelé
PII.
Obvykle organizace implementující ISO/IEC 27001 chrání
svoje vlastní informační aktiva. V kontextu požadavků na ochranu PII na
poskytovatele veřejných cloudových služeb vystupujících jako zpracovatel PII
však organizace chrání informační aktiva, která mu zákaznici svěřili.
Implementace opatření z ISO/IEC 27002 zpracovatelem PII ve veřejném
cloudu je k tomuto účelu vhodná a je nezbytná. Tento dokument
rozšiřuje opatření uvedená
v ISO/IEC 27002, aby odpovídala distribuované povaze rizika
a existenci smluvního vztahu mezi zákazníkem
cloudových služeb a zpracovatelem PII ve veřejném cloudu. Tento dokument rozšiřuje ISO/IEC 27002 dvěma způsoby:
– pokyny k implementaci použitelné na ochranu PII ve veřejném cloudu je poskytnut pro některá opatření uvedená v ISO/IEC 27002, a
– příloha A poskytuje sadu dalších opatření a připojené pokyny, které májí řešit požadavky na ochranu PII ve veřejném cloudu, kterými se nezabývá soubor opatření ISO/IEC 27002.
Většina z opatření a pokynů uvedených v tomto
dokumentu se budou aplikovat také na dohlížitele PII. Dohlíži-
tel PII však je ve většině případů předmětem dalších závazků, které zde nejsou
specifikovány.
0.3 Požadavky na ochranu PII
Je nezbytné, aby organizace stanovila své požadavky na ochranu PII. Existují tři hlavní zdroje požadavků, které jsou uvedené dále.
a) Právní, statutární, regulatorní a smluvní požadavky: Jedním zdrojem jsou právní, statutární, regulatorní a smluvní požadavky a závazky, které organizace, její obchodní partneři, dodavatelé a poskytovatelé služeb musí plnit, a jejich sociokulturní odpovědnosti a provozní prostředí. Právní, regulační a smluvní závazky zpracovatele PII mohou určovat výběr konkrétních opatření a mohou také vyžadovat specifická kritéria pro implementování takových opatření. Tyto požadavky mohou být v různých jurisdikcích odlišné.
b) Rizika: Další zdroj je odvozen z posouzení rizik hrozících organizaci spojené s PII, s přihlédnutím k celkové podnikatelské strategii a cílům organizace. Posouzením rizik se identifikují hrozby, zranitelnosti a pravděpodobnost výskytu a je odhadnut možný dopad. ISO/IEC 27005 poskytuje pokyny na řízení rizik bezpečnosti informací, zahrnující doporučení ohledně posouzení rizik, akceptace rizik, komunikace rizik, monitorování rizik a přezkoumání rizik. ISO/IEC 29134 poskytuje pokyny pro posouzení dopadu na soukromí.
c) Korporátní politiky: I když mnoho aspektů pokrytých korporátní politikou je odvozeno z právních a sociálně kulturních závazků, organizace si mohou také dobrovolně zvolit, že přijmou vyšší kritéria než ta, která jsou odvozena z požadavků, uvedených pod bodem a).
0.4 Výběr a implementace opatření v prostředí cloud computingu
Opatření mohou být vybrána z tohoto dokumentu (který
zahrnuje odkaz na opatření z ISO/IEC 27002 a vytváří tak spojený
odkaz na soubor opatření pro úsek aplikací definovaný rozsahem). Opatření mohou
být také na
základě požadavku vybrána ze souboru opatření, nebo mohou být navržena nová
opatření, splňující specifické potřeby, je-li to vhodné.
POZNÁMKA Služba zpracovávající PII poskytnutá zpracovatelem PII ve veřejném cloudu může být vzata v úvahu jako aplikace cloud computingu, spíše než jako samostatný obor. Nicméně je v tomto dokumentu použit termín „specifický podle oborů“, protože je to obvyklý termín používaný v jiných normách řady ISO/IEC 27000.
Výběr opatření závisí na organizačních rozhodnutích vycházejících z kritérií pro akceptaci rizik, možnostech ošetření rizik, a obecném přístupu k řízení rizik, použitém organizací a, prostřednictvím smluvních ujednání, jejími zákazníky a dodavateli, a bude také podléhat příslušné národní a mezinárodní legislativě a předpisům. Když nejsou vybrána opatření z tohoto dokumentu, je třeba to zdokumentovat se zdůvodněním jejich vynechání.
Výběr a implementace opatření dále závisí na aktuální roli poskytovatele veřejného cloudu v kontextu celé referenční architektury cloud computingu (viz ISO/IEC 17789). Do poskytování infrastruktury a aplikačních služeb v prostředí cloud computingu může být zapojeno mnoho různých organizací. Za určitých okolností mohou být vybraná opatření jedinečná pro konkrétní kategorii služeb referenční architektury cloud computingu. V jiných případech se mohou při implementování bezpečnostních opatření vyskytnout sdílené role. Je nutné, aby smluvní ujednání jasně specifikovala odpovědnosti týkající se ochrany PII všech organizací zapojených do poskytování nebo používání cloudových služeb, zahrnujících zpracovatele PII veřejných služeb, jeho subdodavatele a zákazníka cloudových služeb.
Opatření v tomto dokumentu mohou být pokládána za
základní principy a mohou být aplikovatelná pro většinu organizací.
Podrobněji jsou vysvětlena dále společně s pokyny k implementaci.
Implementace může být jednodušší, budou-li požadavky na ochranu PII vzaty
v úvahu v návrhu informačního systému, služeb a operací
zpracovatele PII ve veřejném cloudu. Takové zvážení je prvkem konceptu často
nazývaným „Soukromí již ve fázi
návrhu“ (viz Bibliografie [9]).
0.5 Vytváření dalších směrnic
Na tento dokument je možné pohlížet jako na výchozí bod pro vytváření směrnic na ochranu PII. Je možné, že ne všechna opatření a pokyny v tomto souboru postupů budou použitelné. Mohou být také požadována další opatření a směrnice, které nejsou obsaženy v tomto dokumentu. Při vývoji dokumentů obsahujících další směrnice nebo opatření může být užitečné zařadit, kde je to vhodné, křížové odkazy na kapitoly tohoto dokumentu, aby se usnadnila kontrola shody prováděná auditory a obchodními partnery.
0.6 Faktory životního cyklu
PII má přirozený životní cyklus, od vytváření a počátku přes ukládání, zpracování, používání a přenášení k případnému zničení nebo pokažení. Rizika pro PII se mohou v průběhu jejich životního cyklu měnit, ale ochrana PII zůstává v určitém rozsahu ve všech etapách významná.
Požadavky na ochranu PII je nutné zohlednit při řízení existujících a nových informačních systémů po celou dobu jejich životního cyklu.
Tento dokument stanoví obecně akceptované kontrolní cíle, opatření a směrnice pro zavedení opatření na ochranu osobně identifikovatelných informací (PII) spolu s principy soukromí uvedenými v ISO/IEC 29100 pro prostředí veřejného cloud computingu.
Tento dokument zejména specifikuje směrnice založené na ISO/IEC 27002, přičemž bere v úvahu regulatorní požadavky na ochranu PII, které mohou být použitelné v rámci kontextu prostředí rizik bezpečnosti informací poskytovatele služeb veřejného cloudu.
Tento dokument je použitelný pro všechny typy a velikosti organizací, zahrnující veřejné a soukromé společnosti, vládní úřady a neziskové organizace, které poskytují služby pro zpracování informací jako zpracovatelé PII prostřednictvím cloud computingu na základě smlouvy s jinými organizacemi.
Směrnice v tomto dokumentu
mohou mít také význam pro organizace vystupující jako dohlížitelé PII; avšak
dohlížitelé PII mohou být předmětem další legislativy, předpisů a závazků
na ochranu PII, které nejsou aplikované na zpracovatele PII. Cílem tohoto
dokumentu není pokrytí takových dodatečných závazků.
Konec náhledu - text dále pokračuje v placené verzi ČSN.
Zdroj: www.cni.cz