Microsoft первой из крупных поставщиков облачных услуг внедрила международный стандарт по безопасности ISO/IE 27018 для своих облачных сервисов. Стандарт защищает пользовательскую информацию, которая хранится в Microsoft Azure, Microsoft Office 365 и других облачных сервисах. Стандарт ISO/IEC 27018 является практическим руководством по защите данных, которые обрабатываются в публичных облаках. Его внедрение станет еще одним шагом к усилению безопасности облачных сервисов и позволит реализовать единый подход к защите информации в облаках.
«Согласно нашим опросам, более 50% представителей бизнеса в Украине осознают важность защиты данных, однако не знают, как контролировать безопасность своих данных на сторонних сервисах, – комментирует Ольга Прокопович, юридический советник «Майкрософт Украина». – Концепция безопасности и защиты персональной информации всегда была неотъемлемой частью наших продуктов. А внедрение нового стандарта безопасности ISO/IEC 27018 для облачных сервисов является дополнительным аргументом в пользу наших решений».
Облачные сервисы, которые внедряют стандарт ISO/IEC 27018, должны отвечать пяти основным принципам:
1. Клиенты контролируют свою информацию. Совместимость со стандартом означает, что поставщик услуг обрабатывает персональные сведения в соответствии с инструкциями, которые предоставляет сам пользователь.
2. Контроль над обработкой данных. Стандарт обязывает информировать пользователя о размещении его данных и предоставлять сведения о сторонних фирмах, которые привлечены к работе с данными. Стандарт также обязывает информировать пользователя о попытке несанкционированного доступа к его информации или оборудования.
3. Сильная защита данных. Внедрение ISO 27018 предоставляет важные средства безопасности. Стандарт предусматривает ограничения на обработку персональных данных, их передачу, хранение и восстановление. Он также заставляет всех работников, которые имеют доступ к частной информации клиентов, подписать документ о неразглашении.
4. Защита от рекламы. Облачный сервис не может использовать данные пользователя для маркетинговых или рекламных целей без прямого согласия пользователя. Microsoft уже давно внедрила подобную инициативу, а новый стандарт закрепил ее официально.
5. Извещение о запросах властей. ISO 27018 требует, чтобы требования правоохранительных органов на доступ к информации были известны владельцам этой информации, если это не запрещено законом. Это еще одна практика Microsoft, которую усилил этот стандарт.
«Когда наша компания решила использовать в работе облачные сервисы, нас как юристов очень беспокоил вопрос безопасности данных, – комментирует Назар Чернявский, партнер юридической фирмы Sayenko Kharenko. – После того, как наш выбор остановился на Microsoft, мы тщательно изучили документацию компании и ознакомились с процедурами хранения информации на ее серверах. Окончательное решение было принято, учитывая чрезвычайно высокий уровень технической безопасности информации на хранении, а также обязательства, взятые на себя Microsoft по сохранению конфиденциальности и неразглашении данных».
Стандарт ISO/IEC 27018 был разработан организацией International Organization for Standardization (ISO). Он позволил реализовать единый подход к защите информации в «облаках».
Для повышения осведомленности бизнеса, правительства и пользователей Microsoft ежегодно проводит Международный день защиты персональных данных – Data Privacy Day. В 2015 году этот день впервые отметили и в Украине. Во время мероприятия, проходившего в Киеве в конце февраля, речь шла о том, как бизнес-пользователи облачных сервисов могут реализовать политику защиты данных, используя публичные облачные сервисы.