Wzmacnianie ochrony danych w chmurze publicznej - perspektywa standardu ISO 27018

Masowe przenoszenie danych do chmury przez firmy stawia bezpieczeństwo informacji w centrum uwagi. Szczególnie istotna staje się ochrona danych osobowych (PII), stanowiąca nie tylko wymóg prawny, ale również fundament zaufania klientów. W odpowiedzi na te wyzwania powstał standard ISO 27018. Warto przyjrzeć się bliżej, jak pomaga on dostawcom usług chmurowych (CSP) zapewnić najwyższy poziom ochrony powierzonych im informacji.

Czym jest ISO 27018?

ISO/IEC 27018 to pierwszy międzynarodowy standard stworzony specjalnie do ochrony danych osobowych w środowisku chmury publicznej. Wprowadzony w 2014 roku przez Międzynarodową Organizację Normalizacyjną (ISO) oraz Międzynarodową Komisję Elektrotechniczną (IEC), doczekał się aktualizacji w 2019 roku. Zmiany normy ISO 27018 są obecnie w trakcie akceptacji pod numerem ISO/IEC FDIS 27018. 

Standard określa "powszechnie akceptowane cele kontrolne, kontrole i wytyczne dotyczące wdrażania środków ochrony danych osobowych" dla dostawców usług chmurowych. Co istotne, ISO 27018 nie funkcjonuje jako samodzielny standard certyfikacji, lecz stanowi rozszerzenie istniejącego standardu ISO 27001, wprowadzając specyficzne kontrole dotyczące ochrony PII w chmurze.

Wśród danych osobowych chronionych przez ISO 27018 znajdują się: imię i nazwisko, adres domowy, adres email, numer telefonu, numery identyfikacyjne (dowód osobisty, paszport), dane biometryczne (odciski palców, twarz), numery kart kredytowych, tożsamość cyfrowa oraz data urodzenia.

Relacje ISO 27018 z innymi standardami bezpieczeństwa

Standard ISO 27018 nie funkcjonuje w próżni, lecz stanowi część rodziny standardów ISO 27000, definiujących najlepsze praktyki zarządzania bezpieczeństwem informacji. Zrozumienie jego powiązań z innymi standardami pomaga dostrzec pełny obraz:

ISO 27001 dostarcza wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS) i zawiera 93 kontroli, stanowiąc podstawę, na której opiera się ISO 27018. Z kolei ISO 27002 rozszerza ISO 27001, dostarczając wiedzę na temat doskonalenia ISMS, w tym zasady dotyczące cyberbezpieczeństwa i ochrony prywatności. Uzupełnieniem są ISO 27017, standard koncentrujący się na kontroli bezpieczeństwa dla usług chmurowych, oraz ISO 27701, obejmujący zarządzanie informacjami prywatnymi.

ISO 27018 wzbogaca te standardy o dodatkowe wytyczne i kontrole bezpieczeństwa, odpowiadające na specyficzne wyzwania związane z ochroną danych osobowych w chmurze publicznej.

Główne cele i wymagania ISO 27018

Standard ISO 27018 realizuje kilka kluczowych celów: wspiera procesorów PII w chmurze publicznej w wypełnianiu ich obowiązków, zwiększa przejrzystość umożliwiającą potencjalnym klientom dostęp do bezpiecznych usług przetwarzania PII w chmurze, pomaga w tworzeniu umów dotyczących przetwarzania danych osobowych oraz zapewnia metodologię zgodności.

Wymagania dotyczące wdrożenia ISO 27018 obejmują szereg kluczowych obszarów. Przede wszystkim konieczne jest opracowanie harmonogramu bezpiecznego usuwania danych PII, które nie są już potrzebne. Równie istotne są standardy dotyczące szyfrowania danych PII podczas przechowywania i transmisji. Niezbędna jest również umowa dotycząca usług chmurowych, określająca cel przetwarzania danych PII. Całość dopełniają wiarygodne gwarancje zarządzania informacjami dla usług chmurowych.

Kontrole wymagane przez ISO 27018

ISO 27018 wprowadza konkretne kontrole tworzące ramy ochrony danych osobowych. Ze względu na ich różnorodność i znaczenie dla jasności przekazu, warto wymienić najważniejsze z nich:

• Kontrola dostępu - ograniczająca możliwość korzystania z danych tylko dla uprawnionych osób

• Zarządzanie aktywami - polegające na identyfikacji, inwentaryzacji i ochronie aktywów informacyjnych

• Zarządzanie ciągłością działania - zapewniające dostępność usług w przypadku awarii

• Bezpieczeństwo komunikacji - chroniące informacje podczas transmisji

• Zgodność - z przepisami i zobowiązaniami umownymi

• Kryptografia - stosowanie technik szyfrowania do ochrony poufności i integralności danych

• Bezpieczeństwo zasobów ludzkich - obejmujące szkolenia i budowanie świadomości pracowników

• Zarządzanie incydentami - umożliwiające wykrywanie, raportowanie i reagowanie na incydenty bezpieczeństwa

• Bezpieczeństwo operacyjne - zapewniające poprawne funkcjonowanie systemów przetwarzania informacji

• Bezpieczeństwo fizyczne i środowiskowe - chroniące sprzęt i infrastrukturę

  
  

W ramach tych kontroli klienci otrzymują prawo dostępu do swoich danych i możliwość ich usunięcia. Co istotne, firma może przetwarzać dane wyłącznie w celu zatwierdzonym przez klienta i nie może wykorzystywać ich do celów marketingowych bez wyraźnej zgody.

Proces uzyskania certyfikacji ISO 27018

Certyfikacja ISO 27018 wymaga wcześniejszego uzyskania certyfikatu ISO 27001. Sam proces składa się z dwóch etapów, z których pierwszy to nieformalna ocena systemu zarządzania bezpieczeństwem informacji (ISMS). Na tym etapie audytorzy zapoznają się z organizacją i przeglądają dokumentację oraz procedury.

Drugi etap stanowi formalny audyt zgodności, podczas którego przeprowadzane są szczegółowe testy ISMS względem wymagań ISO 27001 oraz, w przypadku gdy organizacja stosuje również zgodność z ISO 27018, względem tych dodatkowych wymagań.

Cały proces certyfikacji zazwyczaj trwa około roku, przy czym ponowna certyfikacja wymagana jest co trzy lata. W międzyczasie audytorzy przeprowadzają regularne audyty nadzorcze, gwarantujące ciągłą zgodność z wymogami standardu.

Korzyści z wdrożenia ISO 27018

Implementacja ISO 27018 przynosi wymierne korzyści zarówno dostawcom usług chmurowych, jak i ich klientom. Poniżej przedstawiono najważniejsze z nich:

• Zwiększone zaufanie klientów - Certyfikacja ISO 27001 z uwzględnieniem wytycznych ISO 27018 dowodzi, że firma dogłębnie rozumie zasady bezpiecznego przetwarzania danych osobowych i aktywnie angażuje się w ich ochronę.

• Usprawnienie operacji globalnych - Ponieważ ISO 27018 stanowi część globalnie uznawanego standardu, ułatwia prowadzenie działalności międzynarodowej. Podpisywanie umów międzynarodowych przebiega sprawniej, gdy obie strony stosują te same wytyczne. Co więcej, wiele kontroli w ISO 27018 jest zgodnych z wymogami RODO, co dodatkowo upraszcza działania na rynku europejskim.

• Poprawa bezpieczeństwa i ochrony prawnej - Certyfikacja ustanawia podstawowy poziom bezpieczeństwa dla firm przetwarzających dane w chmurze. W przypadku naruszenia danych, wdrożenie kontroli ISO 27018 i posiadanie certyfikatu może chronić firmę przed zarzutami niedbałości.

• Usprawnienie procesów sprzedażowych - Umowy sprzedażowe w branży IT często napotykają przeszkody związane z zastrzeżeniami dotyczącymi bezpieczeństwa korporacyjnego. Zgodność z ISO 27018 upraszcza proces udzielania informacji wymaganych przez działy bezpieczeństwa. Zamiast przechodzić przez długi proces weryfikacji, certyfikowany dostawca może przedstawić potencjalnym klientom swoje Oświadczenie o Stosowaniu (SoA).

• Mniejsze obciążenie w porównaniu z ISO 27701 - Choć ISO 27701 zyskał popularność jako standard dotyczący prywatności, wymaga on wdrożenia systemu zarządzania informacjami prywatnymi (PIMS), co stanowi znaczące obciążenie dla organizacji. Firmy, które nie chcą wdrażać standardu opartego na systemie zarządzania, a jedynie pragną wykazać kontrole chroniące dane osobowe w chmurze publicznej, mogą wybrać ISO 27018 jako mniej wymagającą alternatywę.

  
  

Podsumowanie

ISO 27018 stanowi kompleksową odpowiedź na wyzwania związane z ochroną danych osobowych w chmurze publicznej. Jako rozszerzenie standardu ISO 27001, dostarcza specyficznych kontroli i wytycznych, które wspierają dostawców usług chmurowych w zapewnieniu bezpieczeństwa przetwarzanych danych.

W kontekście rosnącego znaczenia prywatności dla konsumentów oraz coraz bardziej rygorystycznych regulacji prawnych, zgodność z ISO 27018 staje się istotnym wyróżnikiem konkurencyjnym. Choć wdrożenie standardu wymaga nakładów finansowych i pracy, korzyści znacząco przewyższają początkową inwestycję. Zwiększone zaufanie klientów, usprawnienie procesów sprzedaży i działań globalnych oraz lepsza ochrona prawna to tylko niektóre z nich.

Wraz z upowszechnianiem się przetwarzania w chmurze można przewidywać, że zgodność z ISO 27018 będzie coraz częściej wymagana przez klientów poszukujących wiarygodnych dostawców usług chmurowych. Firmy, które wcześniej adoptują ten standard, mogą zdobyć przewagę konkurencyjną na dynamicznie rozwijającym się rynku, budując jednocześnie trwałe relacje z klientami oparte na zaufaniu i bezpieczeństwie.