ГОСТ Р ИСО/МЭК 27018-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

12.3 Резервное копирование

Применяется цель, определенная в ИСО/МЭК 27002:2013 (см. 12.3).

12.3.1 Резервное копирование информации

Применяются меры обеспечения ИБ и соответствующие им рекомендации по реализации, определенные в ИСО/МЭК 27002 (см. 12.3.1). Также применяется следующая специфичная для данной области рекомендация: системы обработки информации, основанные на модели облачных вычислений, предоставляют дополнительные или альтернативные средства удаленного резервного копирования для защиты от потери данных, обеспечения непрерывности операций обработки данных и поддержки возможности восстановить операции обработки данных после события прерывания. В целях резервного копирования и/или восстановления должны создаваться или поддерживаться множественные копии данных в физически и/или логически разнесенных локациях (которые могут находиться в самой системе обработки информации).

В этой связи на потребителе служб облачных вычислений могут лежать специфические обязанности по защите ПДн. Если обработчик ПДн публичного облака явно предоставляет потребителю служб облачных вычислений резервное копирование и службы по восстановлению, то обработчик ПДн публичного облака должен предоставлять и понятную потребителю служб облачных вычислений информацию о возможностях служб по резервному копированию и восстановлению данных потребителя служб облачных вычислений.

Примечание - Отдельные юрисдикции могут предъявлять специальные требования к частоте резервного копирования. Организации, работающие в этих юрисдикциях, должны гарантировать соответствие этим требованиям.

 

Должны существовать соответствующие процедуры, позволяющие восстанавливать операции по обработке данных в течение указанного, документально зафиксированного периода после события прерывания.

Процедуры резервного копирования и восстановления должны пересматриваться с указанной, документально зафиксированной частотой.

Примечание - Отдельные юрисдикции могут предъявлять специальные требования к частоте пересмотра процедур восстановления и резервного копирования. Организации, работающие в этих юрисдикциях, должны гарантировать соответствие этим требованиям.

 

Привлечение субподрядчиков для хранения тиражированных или резервных копий обработанных данных обеспечивается мерами обеспечения ИБ настоящего стандарта, применяющегося к обработке ПДн субподрядчиками. Меры обеспечения ИБ настоящего стандарта также распространяются на случаи, когда имеет место передача на физических носителях.

Обработчик ПДн публичного облака должен иметь политику, содержащую требования к резервному копированию информации и любые другие требования (например, требования договоров и/или законодательства) по уничтожению ПДн, содержащихся в информации, хранимой для целей резервного копирования.