Сертификация ISO 27018
ISO/IEC 27018 — международный стандарт, устанавливающий согласованный на международном уровне набор контролей защиты персональных данных в публичных облаках. Стандарт добавляет двадцать четыре уникальных для поставщиков облачных услуг контроля, охватывающих защиту PII на всех этапах жизненного цикла — от сбора до уничтожения, прозрачное распределение ответственности между провайдером, его субподрядчиками и клиентом, технические меры (шифрование, контроль доступа, журналирование), процедуры реагирования на утечки данных и права субъектов данных. Стандарт базируется на 11 принципах приватности из ISO/IEC 29100 — тех самых, что лежат в основе GDPR.
Imperium Certific — аккредитованный НААУ орган по сертификации. Мы проводим сертификационные аудиты в соответствии с требованиями ДСТУ ISO/IEC 27018:2019 (ISO/IEC 27018:2019, IDT) как расширение scope сертификации по ISO/IEC 27001.
Важно понимать: ISO/IEC 27018, как и ISO/IEC 27017, по своей природе является сводом устоявшихся практик (code of practice), а не requirements-стандартом. Самостоятельной сертификации по ISO 27018 не существует — сертификация достигается через расширение scope аудита ISO/IEC 27001 с включением двадцати четырех контролей защиты PII в Statement of Applicability. Такая практика является отраслевым стандартом — по этой модели сертифицированы Microsoft Azure, AWS, Google Cloud, Oracle и другие ведущие облачные провайдеры мира.
Кому подходит сертификация ISO 27018
Стандарт ISO/IEC 27018 создан для поставщиков публичных облачных услуг, действующих как процессоры персональных данных — обрабатывающих данные не для себя, а по поручению и по инструкциям своих клиентов-заказчиков. Сертификация особенно актуальна для:
Поставщики SaaS, PaaS и IaaS
— компании, в облачных сервисах которых клиенты хранят данные своих сотрудников, покупателей, пациентов или пользователей
Дата-центры и хостинг-провайдеры
— колокация, dedicated-серверы, виртуальные дата-центры, обрабатывающие клиентские PII
Разработчики облачных бизнес-платформ
— CRM, ERP, HRM, медицинские, образовательные, финансовые SaaS-решения, работающие с персональными данными
IT-аутсорсинг и MSP-услуги
— управляемые сервисы, аутсорсинг IT-инфраструктуры, обработка данных, контакт-центры
Субподрядчики облачных провайдеров
— компании, выполняющие роль обработчиков PII в цепочке облачных услуг для другого CSP
Контролеры PII, использующие облачные услуги
— организации, определяющие цели обработки данных и обязанные подтвердить должную осмотрительность в выборе облачного процессора
Любая организация
— от стартапа до государственного предприятия, работающая с персональными данными в публичных облаках и обязанная доказать регуляторам, аудиторам и клиентам надлежащий уровень защиты PII
Преимущества сертификации ISO 27018
Сертификация ISO 27018 отвечает на главный вопрос современного цифрового бизнеса: как облачному провайдеру доказать клиенту, регулятору и аудитору, что персональные данные под его контролем действительно защищены.
-
Доступ к крупным заказам и тендерам — корпоративные клиенты, банки, страховые, медицинские учреждения и международные компании всё чаще включают требование соответствия ISO/IEC 27018 в тендерную документацию. Без сертификата провайдер рискует не попасть в короткий список — особенно в государственных и европейских тендерах
-
Готовность к GDPR и Закону Украины «О защите персональных данных» — стандарт системно покрывает технические и организационные меры, требуемые статьёй 32 GDPR. Сертификат значительно упрощает доказательство должной осмотрительности перед европейскими и украинскими регуляторами и снижает риск штрафов, которые по GDPR могут достигать 20 миллионов евро или 4% мирового оборота
-
Конкурентное преимущество на международном рынке — по этому стандарту сертифицированы Microsoft Azure, AWS, Google Cloud, Oracle. Имея такой же сертификат, украинская компания говорит с заказчиками и партнёрами на одном языке, что особенно важно в условиях евроинтеграции и выхода на зарубежные рынки
-
Готовый каркас для договоров обработки данных (DPA) — Annex A стандарта фактически является перечнем условий, которые должны быть в договоре обработки данных: уведомления об утечках, возврат или уничтожение PII, географическое расположение серверов, запрет коммерческого использования данных клиентов, контроль субподрядчиков. Это экономит юристам недели работы и закрывает типичные «дыры» в контрактах
-
Прозрачное распределение ответственности с клиентом — стандарт чётко регламентирует, что обязан делать провайдер, а что остаётся на клиенте — в моделях IaaS, PaaS и SaaS. Это снимает десятки потенциальных споров ещё на этапе заключения договора и спасает во время инцидентов
-
Укрепление доверия клиентов и упрощение внешних аудитов — сертификат является публичным доказательством того, что провайдер не использует данные клиентов в собственных маркетинговых целях, контролирует субподрядчиков, ведёт журнал раскрытий информации и готов быстро уведомить о любом инциденте. Вместо десятков отдельных клиентских аудитов инфраструктуры (что технически сложно в мультитенантной среде) провайдер предоставляет один независимый сертификат
Заказать сертификацию
Процесс сертификации ISO 27018
Сертификация по ISO/IEC 27018 проводится как add-on assessment в рамках сертификационного аудита ISO/IEC 27001 и соответствует требованиям ISO/IEC 17021-1 и аккредитации НААУ.
Этап 1 — Заявка и определение scope — Организация подаёт заявку на сертификацию ISO 27001 с расширением scope по ISO 27018. Мы анализируем архитектуру облачных услуг, объём и категории обрабатываемых PII, роли контролера и процессора, географию обработки данных, перечень субподрядчиков и модель предоставления услуг для определения трудоёмкости аудита.
Этап 2 — Аудит первого этапа (документальный) — Проверка готовности СУИБ и контролей защиты PII: политика защиты персональных данных в облаке, реестр PII и категорий субъектов данных, Statement of Applicability с включёнными контролями ISO 27018, договоры обработки данных (DPA), процедуры уведомления об утечках, процедуры реализации прав субъектов данных.
Этап 3 — Аудит второго этапа (на месте) — Команда аудиторов проверяет практическое функционирование контролей 27018: шифрование PII при хранении и передаче, контроль доступа к данным клиентов, журналирование операций с PII, безопасное удаление временных файлов и предварительно использованного дискового пространства, уникальные ID пользователей, управление субподрядчиками, возврат/уничтожение PII после завершения договора.
Этап 4 — Решение о сертификации — По результатам аудита формируется отчёт. Решение о выдаче сертификата принимается независимо от аудиторской группы, что обеспечивает беспристрастность оценки.
Этап 5 — Выдача сертификата — Выдаётся сертификат ISO/IEC 27001 с прямым указанием в scope-стейтменте, что СУИБ включает контроли ISO/IEC 27018:2019. Сертификат выдаётся сроком на 3 года. Информация о сертификации вносится в реестр.
Этап 6 — Надзорные аудиты — Ежегодные надзорные аудиты подтверждают непрерывное функционирование контролей 27018 в составе СУИБ. Ресертификационный аудит проводится до окончания срока действия сертификата.
Стоимость сертификации ISO 27018
Стоимость сертификации по ISO 27018 добавляется к базовой стоимости сертификации ISO 27001 и определяется индивидуально на основе предварительного анализа.
Факторы, влияющие на стоимость:
Рассчитать стоимость →
Рассчитаем стоимость
Заполните короткий опросник — подготовим предложение под ваш бизнес
Документы для сертификации ISO 27018
Помимо стандартного пакета документов для ISO 27001, организация должна дополнительно подготовить:
- — 1. Политика защиты персональных данных в облачных услугах
- — 2. Реестр PII и категорий субъектов данных
- — 3. Statement of Applicability с включёнными контролями ISO/IEC 27018
- — 4. Договоры обработки данных (DPA) с клиентами облачных услуг
- — 5. Перечень субподрядчиков, имеющих доступ к PII, и соглашения с ними
- — 6. Процедура уведомления клиентов и регуляторов об утечках PII
- — 7. Реестр раскрытий PII (требования правоохранительных органов, судебные запросы)
- — — 8. Процедуры реализации прав субъектов данных (доступ, исправление, удаление)
- — — 9. Процедура возврата или уничтожения PII после завершения сотрудничества
- — — 10. Документ по географии обработки PII (location of PII processing)
- — — 11. Политика шифрования PII при хранении и передаче
- — — 12. Процедура безопасного удаления временных файлов и освобождённого дискового пространства
Получить заявку на сертификацию ISO 27018 →
Надіслати заявкуFAQ
Нет. ISO/IEC 27018 является сводом устоявшихся практик (code of practice), а не сертификационным стандартом. Сертификация достигается через расширение scope сертификации ISO/IEC 27001 с добавлением двадцати четырёх уникальных для CSP контролей защиты PII в Statement of Applicability. В scope-стейтменте сертификата указывается ссылка на ISO/IEC 27018:2019.
ISO/IEC 27018 базируется на 11 принципах приватности из ISO/IEC 29100 — тех самых, что лежат в основе GDPR. Стандарт системно покрывает технические и организационные меры, требуемые статьёй 32 GDPR. Сертификат значительно упрощает доказательство должной осмотрительности перед регуляторами и снижает риск штрафов, которые по GDPR могут достигать 20 миллионов евро или 4% мирового оборота.
ISO/IEC 27017 устанавливает общие контроли информационной безопасности для облачных услуг и адресован как провайдерам, так и потребителям облачных услуг. ISO/IEC 27018 специализируется именно на защите персональных данных (PII), обрабатываемых в публичных облаках, и адресован прежде всего провайдерам, действующим как процессоры PII. Оба стандарта дополняют ISO/IEC 27001 и часто сертифицируются вместе как единая экосистема облачных контролей.
Или напишите нам прямо сейчас
Перезвоним в течение рабочего дня