Programmēšana

Atbilstība ISO 27018: Lūk, kas jums jāzina

Jūs vedat sarunas par mākoņpakalpojumu līgumu. Lai panāktu darījumu, mākoņa nodrošinātāja pārstāvis noliekas pāri galdam, novērš skatienu un saka: "Starp citu, pakalpojums ir sertificēts atbilstoši ISO 27018."

ISO 270 - ko? Vai jums vajadzētu parakstīties vai atkāpties? Pateicoties ISO 27018 standartam personiski identificējamas informācijas (PII) aizsardzībai mākonī, kuru Starptautiskā standartu organizācija (ISO) pieņēma 2014. gada jūlijā, arvien vairāk tiks risināta tieši šāda izvēle.

Tā kā datu pārkāpumi, PII zaudēšana un identitātes zādzība turpinās bez ļaušanās, visi pasākumi, lai apturētu plūdmaiņu, ļoti interesē IT kopienu. Pat ja tā, līdz šim tikai Microsoft un Dropbox ir paziņojuši par mākoņpakalpojumiem, kas atbilst ISO 27018. 2015. gada februārī Microsoft sertificēja savu Azure mākoņpakalpojumu, Dynamics CRM un ERP mākoņdatošanas lietojumprogrammas un Office 365 mākoņdatošanas biznesa produktivitātes lietojumprogrammas. Dropbox 2015. gada aprīlī paziņoja, ka Dropbox for Business ir sertificēts. Ņemot vērā mākoņpakalpojumu sniedzēju un viņu pakalpojumu visumu, tas ir mazs sākums, taču lielākā daļa novērotāju uzskata, ka tas ir tikai laika jautājums, līdz lielākā daļa, ja ne visi mākoņu nodrošinātāji paziņo par atbilstību standartam.

Skatiet arī: Gartner: ilgs grūts kāpums uz augstu mākoņdatošanas drošības līmeni

ISO 27018 priekšrocības solās būt dziļas. Tie ietver:

  • Lielāka klientu uzticība mākoņpakalpojumiem
  • Ātrāka globālo operāciju ieviešana
  • Racionalizēti līgumi
  • Juridiskā aizsardzība mākoņa nodrošinātājiem un lietotājiem

Lūk, kāpēc:

Lielāka klientu uzticība mākoņpakalpojumiem. Atbilstība ISO 27018 nozīmē, ka mākoņa nodrošinātājs ir veicis procedūru sarakstu (sk. Sānjoslu), lai apstrādātu PII. Tā kā atbilstībai nepieciešama ikgadēja sertifikācija, šī procesa un tā rezultātā iegūtā sertifikāta stingrībai vajadzētu dot klientiem jaunu uzticību saviem pakalpojumu sniedzējiem.

"Tas parāda, ka jūsu mākoņdatošanas pakalpojumu sniedzējam ir noteikta līmeņa apstrāde ar PII," saka Christie Grabyan, uzņēmuma drošības prakses vadītāja no BishopFox, datu drošības konsultācijas.

Viens jurists apgalvo, ka pūļu jēga pārsniedz sertifikāta robežas. "Motivācija ir ne tikai tas, ka uz sienas ir papīra gabals. Jūs mēģināt nesaskrūvēt kāda cilvēka datus - apakšējā līnija - tas attiecas uz biznesu, klientiem un pārliecību," saka Kolins Ziks, likuma partneris. firma Foley Hoag Bostonā.

ISO 27018 ieteikumi un aizliegumi

Dos:

  • Nosakiet, vai atbilstība ISO27018 ir svarīga jūsu uzņēmumam un tā klientiem.
  • Nosakiet, vai ieguvumi atsvērs atbilstības izmaksas.
  • Definējiet PII, ciktāl tas attiecas uz jums, jūsu uzņēmumu un tā klientiem.
  • Uzziniet, vai jūsu mākoņa nodrošinātājs ievēro prasības, vai pieprasiet līdzvērtīgu aizsardzību.
  • Pieprasiet, lai jūsu mākoņa nodrošinātājs to izpilda. Tā kā daži pakalpojumu sniedzēji var uzņemties atbilstību tikai tad, ja klienti to mudina, jūsu balss ir svarīga.

Nedrīkst:

  • Neaizmirstiet, ka jūs joprojām esat atbildīgs par identificētās PII drošību.
  • Nemetiet savu mākoņa nodrošinātāju uzreiz tikai tāpēc, ka tam vēl ir atbilstības sertifikāts. Mākoņpakalpojumu sniedzējs var izpildīt lielāko daļu vai visus ISO 27018 nosacījumus, par kuriem esat vienojies ar viņiem, un tas vēl nav oficiāli pārbaudīts. Esiet informēts un pilnībā izprotiet tikai to, ko dara jūsu pakalpojumu sniedzējs.

Savukārt mākoņpakalpojumu sniedzēji cer, ka ziņa nonāk klientiem. "Mūsu klientiem jābūt tādiem, lai mums uzticētos. Viņiem neder, lai mūs pārbaudītu individuāli, tāpēc mums ir svarīgi, lai mums būtu neatkarīga sertifikācija," saka Patrick Heim, Dropbox uzticības un drošības vadītājs.

Neatkarīgi no tā, vai mākoņdatošanas pakalpojumu sniedzējs iegūst oficiālu sertifikāciju, līgumos var iekļaut standarta galvenos elementus. "Jūs joprojām varat privāti vest sarunas par visiem ISO 27018 noteikumiem," saka Ričards Kemps, advokāts un Apvienotās Karalistes advokātu biroja KempITLaw dibinātājs. Kad šie noteikumi kļūst arvien plašāk pieņemti, jāuzlabo kopēja prakse PII aizsardzībai mākoņdatošanas līgumos. Tam vajadzētu padarīt klientus ērtākus.

Ātrāka globālo operāciju ieviešana. Tā kā ISO 27018 nodrošina kopīgas vadlīnijas dažādās valstīs, mākoņpakalpojumu sniedzējiem būs vieglāk veikt uzņēmējdarbību visā pasaulē - un mākoņa klientiem būs jāslēdz ar viņiem līgumi par pakalpojumiem daudzos pasaules malās. Tā kā ISO 27018 standarts lielā mērā tika balstīts uz Eiropas Kopienas prasībām, uzņēmējdarbībai iesācējiem tur jānotiek daudz raitāk.

"Eiropas regulatīvie cilvēki saka, ka viņi ir patiesi satraukti par standarta ieviešanu," saka Neal Suggs, Microsoft Corp viceprezidents un asociētais ģenerāladvokāts. Bet ieguvumiem vajadzētu būt daudz tālākiem. "Ir vairāk nekā 100 valstis, kurās ir likumi, kas aizsargā datus un privātumu," saka Debora Hurlija, konsultāciju firmas Hurley dibinātāja un kolēģe Harvardas Universitātes Kvantitatīvo sociālo zinātņu institūtā. "Tā nav tikai Eiropas lieta. Katram biznesam vajadzētu sevi uzskatīt par globālu. Tas ir tāls ceļš, lai izpildītu pasaules valstu prasības," viņa piebilst.

No mākoņa nodrošinātāja viedokļa tas samazinās inženierijas centienus, kas nepieciešami, lai mākoņa pakalpojumus pielāgotu konkrētiem privātuma likumiem. "Standarts ļauj inženieriem vienreiz būvēt un strādāt daudziem. Ir grūti pielāgoties lokalizētajiem likumiem, saka Suggs. Pievieno Heim no Dropbox:" Septiņdesmit procenti mūsu klientu ir globāli. "

Racionalizēti līgumi

Mākoņa klienti bieži lūdz pakalpojumu sniedzējus aizpildīt anketu par viņu praksi, apstrādājot personas datus. To aizpildīšana ir laikietilpīga. Iegūstot sertifikātu, mākoņpakalpojumu sniedzēji var uzrādīt sertifikātu kā atbildi uz lielāko daļu, ja ne uz visiem šiem jautājumiem, samazinot dokumentus un saīsinot sarunu procesu.

"Korporatīvā drošība bremzē daudzus darījumus. Ir daudz berzes," saka Dens Grīnbergs, SIA Integrated Strategies & Tactics direktors, kurš ved sarunas par mākoņa līgumiem, bieži vien maziem tehnoloģiju uzņēmumiem. "32 jautājumu vietā atbilstības sertifikāts varētu rūpēties par 30 no šiem jautājumiem. Tas ir liels darījums." Es ceru, ka standarts samazina berzi, "viņš saka.

Viens no faktoriem, kas dažkārt var kavēt vai apturēt līguma procesu, ir kiberapdrošināšana, kuru apdrošināšanas pārvadātāji raksta, lai segtu datu pārkāpumu un privātuma pārkāpumu izmaksas. "Kiberapdrošināšana patiešām ir dārga, jo atšķirībā no zagļu signalizācijas nav standarta," saka Grīnbergs. "Kiberapdrošināšanas izmaksu dēļ man nācās iet prom no darījumiem," viņš piebilst.

Saistīts lasījums:

- 5 lietas, kas jums jāzina par kiberapdrošināšanu

- Kiberapdrošināšana: steidzas tikai muļķi

- Kiberapdrošināšana: ir tā vērts, bet piesargāties no izslēgšanas gadījumiem

- Korporatīvā kultūra kavē kiberapdrošināšanas pirkšanu

Viens apdrošināšanas kompānijas vadītājs saka, ka atbilstība standartam ir pozitīvs mākoņlīgumu faktors. "Ja pakalpojumu sniedzējs ir sertificēts saskaņā ar šo standartu, mēs vēlētos to redzēt, un noteikumi un nosacījumi to atspoguļotu," saka Ēriks Čerņaks, Minhenes Re U. S. operāciju kiberprakses vadītājs. Standarta jaunuma dēļ atbrīvojums no augstām likmēm nebūs tūlītējs, viņš piebilst: "Mums vajadzētu būt zināmai pieredzei, lai redzētu, vai tas garantē zemāku prēmiju."

Līgumiskā un tiesiskā aizsardzība. Lai gan juridisko precedentu noteikšanai ir pāragri, atbilstībai ISO 27018 standartam mākoņdatošanas pakalpojumu sniedzējiem un to klientiem būtu jādod labvēlīga pozīcija attiecībā uz līguma nosacījumu izpildi attiecībā uz informācijas privātumu.

ISO 27018 aptver plašu priekšmetu klāstu un nodrošina standartus, kas kavē revīzijas, klientu aptaujas un valdības pārskatus, atzīmē Ziks. Atbilstība ļauj mākoņpakalpojumu sniedzējam (CSP) pierādīt, ka tā privātuma politika un prakse ir pamatota un atbilst spēkā esošajiem standartiem.

"Tas nodrošina drošu ostu no juridiskā viedokļa pārkāpuma gadījumā," saka Zick.

Drošas ostas jēdziens nozīmē, ka mākoņdatošanas pakalpojumu sniedzēju nevar uzskatīt par nolaidīgu vai neapdomīgu attiecībā uz PII, jo tas ir uzņēmies grūtības iegūt sertifikātu. Mākoņa klients gūst līdzīgu labumu. "Ja jums ir tāds standarts, uz kuru atgriezties, varat teikt, ka tas ir sliktā puiša vaina, un nevainojiet mani," piebilst Ziks. Un atbilstībai būtu jāmaksā dividendes visā pasaulē. "Regulatoriem tas patīk, jo viņi to uzskata par pārliecību par atbilstību savas valsts datu aizsardzības noteikumiem," atzīmē Ziks.

Ko tālāk?

Ar visām šīm priekšrocībām, kas kavē mākoņu nodrošinātājus? Šķiet, ka ir divi galvenie faktori: izmaksu un laika saistības sertifikāta iegūšanai un to lietotāju trūkums, kuri prasa atbilstību.

"Mums nav neviena klienta, kurš to pieprasītu," saka Frenks Balonis, vecākais tehnisko pakalpojumu direktors Accellion, SPS, kas koncentrējas uz failu koplietošanu, īpaši mobilo ierīču lietotājiem.

Gan Microsoft, gan Dropbox ir lieli mākoņu nodrošinātāji ar dziļām kabatām un daudz ko var iegūt konkurences atšķirībā no atbilstības. Mazāki CPS atrodas citā laivā. "Visticamāk, tas būs apgrūtinājums mazākiem mākoņu nodrošinātājiem," saka Cernaks. Bet laika gaitā, pēc viņa teiktā, viņiem var nebūt izvēles. "Vai tā būs daļa no uzņemšanas cenas, lai kļūtu par mākoņa nodrošinātāju?"

Balonis saka, ka Accellion sagaida konkurences priekšrocības, kad līdz 2016. gada sākumam pabeigs savu ISO 27018 auditu. "Tas dod papildu pārliecību slimnīcām un juridiskām firmām - tiem klientiem, kuri uzliek augstākas cenas PII," viņš saka.

Lai gan atbilstība vienmēr prasīs pūles un izdevumus, pēc sertifikāta piešķiršanas ikgadējai sertifikācijai vajadzētu būt daudz vienkāršākai un lētākai, piekrīt eksperti. Lielākā daļa arī piekrīt, ka bez klientu pieprasījuma pēc atbilstības daudzi mākoņpakalpojumu sniedzēji kavēsies.

Mākoņa klientiem pirmais solis ir informēšana un jautājumu uzdošana. Ziks iesaka klientiem pārskatīt savus līgumus ar mākoņpakalpojumu sniedzējiem, lai pārliecinātos, vai pakalpojumu sniedzēji plāno ievērot ISO 27018. Tad viņiem būtu jāapsver līgumu grozījumi, lai pievienotu atbilstību ISO 27018. "Trešo personu akreditācijai patiešām ir vērtība, jo īpaši tāpēc, ka tā turpinās. Tā nekad neapstājas," saka Ziks. Bet viņš negaida, ka standarts mainīs mākoņu nozari vienā naktī. "Šis ir process, kura ieviešana prasīs vairākus gadus, ja ne desmit gadus."

Kas atbilst ISO 27018 standartam

Tā kā personu identificējošu informāciju (PII) var izmantot uzņēmējdarbības mērķiem, piemēram, mērķtiecīgai reklāmai un datu analīzei, kas ietekmē indivīdu, visiem ir svarīgi saprast, kas šie dati ir un kā tos var izmantot mākoņa nodrošinātāji. ISO 27018 mērķis ir izveidot šādu izpratni un dot personām iespēju piešķirt vai atsaukt piekrišanu viņu PII izmantošanai.

Lai gan standarts tika pieņemts 2014. gada jūlijā, ISO 27018, lai arī tas pats par sevi ir nozīmīgs, ir daļa no ISO 27000 saimes un ir evolucionārs papildinājums iepriekšējiem standartiem ISO 27001 un ISO 27002. Nav iespējams panākt atbilstību ISO 27018 bez pirmās pārspīlēšanas. ISO 27001 un ISO 27002 šķēršļi - ko daudzi mākoņu nodrošinātāji jau ir izdarījuši.

ISO 27000 standartu saime risina privātuma, konfidencialitātes un tehniskās drošības jautājumus. Standarti ieskicē simtiem iespējamo kontroļu un kontroles mehānismu. Īsumā:

  • ISO 27001 - aptver drošību mākonī. Nepieciešama ikgadēja sertifikācija.
  • ISO 27002 - norāda, kā ievērot ISO 27001.
  • ISO 27018 - pievieno personu identificējošu informāciju 27001 darbības jomai.

ISO 27018 nosaka, ka atbilstošie mākoņpakalpojumu sniedzēji (CSP):

  • Bez klienta skaidras piekrišanas neizmantos klienta datus saviem patstāvīgiem mērķiem, piemēram, reklāmai un mārketingam.
  • Nesaistīs līgumu par pakalpojumu izmantošanu ar SPS personas datu izmantošanu reklāmai un mārketingam.

Turklāt ISO 27018:

  • Nosaka skaidrus un pārredzamus parametrus personiskās informācijas atgriešanai, pārsūtīšanai un drošai iznīcināšanai.
  • Pieprasa, lai SPS atklātu visu to apakšapstrādātāju identitāti, kurus viņi iesaistījuši, lai palīdzētu datu apstrādē, pirms klienti noslēdz līgumu.
  • Ja SPS maina apakšapstrādātājus, SPS ir nekavējoties jāinformē klienti, lai dotu viņiem iespēju iebilst pret līguma laušanu.

ISO 27018 nav radies vakuumā. Tas ir līdzīgs citiem standartiem, piemēram, HIPAA, kas attiecas uz personas veselības informāciju (PHI), kā arī SSAE (Paziņojums par atestācijas uzdevumu standartiem Nr. 16) un ISAE (Starptautiskie atestācijas darba standarti Nr. 3402), kas ir revīzijas standarti drošības kontrolei un drošības kontroles efektivitātei, ko izveidojuši Amerikas sertificēto valsts grāmatvežu institūts un Starptautiskās Grāmatvežu federācijas Starptautisko revīzijas un nodrošināšanas standartu padome.

Ziniet savu PII

Ir pulksten 3:00; vai jūs zināt, kur atrodas jūsu personu identificējošā informācija (PII)?

Pirms varat atbildēt uz šo jautājumu, jums ir jādefinē tikai tas, kas ir PII, ciktāl tas attiecas uz jūsu biznesu.

Vispārīgi runājot, PII ir jebkura informācija, kas ir izsekojama indivīdam. ISO 27018 standartā ISO apraksta PII kā "jebkuru informāciju, kuru (a) var izmantot, lai identificētu PII principālu, uz kuru šāda informācija attiecas, vai (b) ir vai varētu būt tieši vai netieši saistīta ar PII principālu".

Visbiežāk tas ir personas vārds un cita personiskā informācija, piemēram, adrese vai sociālās apdrošināšanas numurs. Tomēr tas varētu būt arī fizisks raksturojums, piemēram, cilvēka balss, sejas attēls vai video par signalizatora kustību, piemēram, personas gaita. Turklāt sarežģīti algoritmi arvien vairāk spēj piesaistīt arvien mazākus informācijas bitus konkrētam indivīdam.

Līgumsaistību nolūkā klienta ziņā ir pateikt, kas ir PII.

Kā paskaidrots ISO dokumentā, "publisks mākoņa PII procesors parasti nespēj skaidri zināt, vai tā apstrādātā informācija ietilpst kādā noteiktā kategorijā, ja vien mākoņpakalpojuma klients to nedara caurspīdīgu."

Tulkojums: Kā mākoņa klientam jums jāzina, ko jūs uzskatāt par PII, un jums jāinformē mākoņa nodrošinātājs.

Kad esat to izdarījis, sertificētam mākoņa nodrošinātājam ir jāapstrādā šī informācija saskaņā ar ISO 27018 vadlīnijām.

Šo stāstu "Atbilstība ISO 27018: Lūk, kas jums jāzina" sākotnēji publicēja ITworld.

Jums varētu patikt arī

$config[zx-auto] not found$config[zx-overlay] not found