ISO/IEC 27018:2014
Стандарт ISO/IEC 27018:2014 — «Информационные технологии — Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» разработанный в прошлом году Международной организацией по стандартизации (ИСО) и Международной электротехнической комиссией (МЭК), ни как не появляется в свободном доступе. Прям не узнаю интернет. Цена вопроса сейчас около 100 000 тенге.
На официальном сайте, по прайсу оригинал на английском языке + перевод от стандартиформа.
Данный стандарт может помочь упорядочить взаимоотношения заказчика с провайдером, сделать работу провайдера более прозрачной. Понятно дело что не все провайдеры захотят соблюдать эти рекомендации, но нам как облачным брокерам нужно поднимать этот вопрос. Если облачный брокер сможет поднять доверия к этому стандарту у заказчиков, путем его разъяснения и адаптации под рынок Казахстана. То провайдеры ни куда не денутся и будут придерживаться этих рекомендаций так как заказчик будет делать акцент на наличие сертификации по стандарту ISO/IEC 27018:2014.
Документ конечно же заточен под буржуйский рынок, но в общем он описывает вполне себе адекватные вещи, особенно интересна идея обязывать провайдера рассказывать об субподрядах при предоставлении услуги и уведомлять заказчика при запросах к его данным от правоохранительных органов. Мне кажется стандарт начнет применяться в РК в будущем, конечно же с учетом местного законодательства и нормативно правовых отношениях. Сертификат Tier 3 тоже в СНГ не сразу стал восприниматься, но потом люди потянулись к порядку. Правда сейчас кого не спроси у всех Tier 3 а как на официальный сайт на карту глянешь, так там их нет.
Update 15.12.2015
ISAE3402 — более приближенный к наше реальности стандарт. Сейчас работаем по его применению.