ГОСТ Р ИСО/МЭК 27018-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 10 ноября 2020 г. N 1042-ст

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

СВОД ПРАВИЛ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПДн) В ПУБЛИЧНЫХ

ОБЛАКАХ, ИСПОЛЬЗУЕМЫХ ДЛЯ ИХ ОБРАБОТКИ

 

Information technology. Security techniques and tools. Code

of practice for protection of personally identifiable

information (PII) in public clouds acting as PII processors

 

(ISO/IEC 27018:2019, Information technology - Security

techniques - Code of practice for protection of personally

identifiable information (PII) in public clouds acting

as PII processors, IDT)

 

ГОСТ Р ИСО/МЭК 27018-2020

 

ОКС 35.030

 

Дата введения

1 июня 2021 года

 

ОГЛАВЛЕНИЕ

 

• Предисловие
• Введение
• 1 Область применения
• 2 Нормативные ссылки
• 3 Термины и определения
• 4 Общие сведения
• 4.1 Структура стандарта
• 4.2 Категории мер обеспечения информационной безопасности
• 5 Политики информационной безопасности
• 6 Организация деятельности по информационной безопасности
• 6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
• 6.2 Мобильные устройства и дистанционная работа
• 7 Безопасность, связанная с персоналом
• 7.1 При приеме на работу
• 7.2 Во время работы
• 7.3 Увольнение и смена места работы
• 8 Менеджмент активов
• 9 Управление доступом
• 9.1 Требование бизнеса по управлению доступом
• 9.2 Процесс управления доступом пользователей
• 9.3 Ответственность пользователей
• 9.4 Управление доступом к системам и приложениям
• 10 Криптография
• 11 Физическая безопасность и защита от воздействия окружающей среды
• 11.1 Зоны безопасности
• 11.2 Оборудование
• 12 Безопасность при эксплуатации
• 12.1 Эксплуатационные процедуры и обязанности
• 12.2 Защита от вредоносных программ
• 12.3 Резервное копирование
• 12.4 Регистрация и мониторинг
• 12.5 Контроль программного обеспечения, находящегося в эксплуатации
• 12.6 Менеджмент технических уязвимостей
• 12.7 Особенности аудита информационных систем
• 13 Безопасность коммуникаций
• 13.1 Менеджмент информационной безопасности сетей
• 13.2 Передача информации
• 14 Приобретение, разработка и поддержка систем
• 15 Взаимоотношения с поставщиками
• 16 Менеджмент инцидентов информационной безопасности
• 17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
• 18 Соответствие
• 18.1 Соответствие правовым и договорным требованиям
• 18.2 Проверки информационной безопасности
• Приложение A. Расширенный набор мер обеспечения информационной безопасности обработчика персональных данных публичного облака для защиты персональных данных
• Приложение ДА. Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам
• Библиография