09/09/2025
ISO/IEC 27017 та ISO/IEC 27018: стандарти, що захищають хмару
Перехід бізнесу у хмарні сервіси вже давно перестав бути трендом і став повсякденною реальністю. За даними Gartner, понад 70% компаній у світі зберігають критично важливі дані у хмарі. Але саме хмарні середовища залишаються одним із головних векторів атак для кіберзлочинців.
У відповідь на виклики безпеки хмарних технологій Міжнародна організація зі стандартизації (ISO) пропонує два ключові стандарти — ISO/IEC 27017 та ISO/IEC 27018, що розширюють можливості ISO/IEC 27001.
ISO/IEC 27017: безпека хмарних сервісів
Цей стандарт:
описує специфічні ризики хмарних сервісів;
визначає розподіл відповідальності між провайдером і клієнтом (модель cloud shared responsibility);
встановлює додаткові контролі, зокрема щодо ізоляції середовищ різних клієнтів, видалення даних після завершення договору, моніторингу та адміністрування.
Приклад застосування: банк, що користується хмарним дата-центром, завдяки ISO 27017 може вимагати документовану процедуру безпечного видалення даних після закінчення контракту.
ISO/IEC 27018: приватність і персональні дані у хмарі
Цей стандарт зосереджується саме на обробці персональних даних (PII):
визначає принципи прозорості та чесності у використанні даних;
встановлює вимоги до отримання згоди користувачів;
забороняє обробку персональних даних у маркетингових цілях без чіткої згоди;
вимагає наявності процедур повідомлення клієнтів у разі витоку чи інциденту.
Приклад застосування: SaaS-компанія, що працює на ринку ЄС, завдяки впровадженню ISO 27018 може довести відповідність вимогам GDPR і підвищити довіру користувачів.
У чому різниця?
ISO/IEC 27017 охоплює загальну безпеку хмарної інфраструктури та всі дані, що в ній обробляються.
ISO/IEC 27018 фокусується виключно на конфіденційності персональних даних і захисті прав фізичних осіб.
Разом вони формують баланс: технічна безпека + захист приватності.
Зв’язок із ISO/IEC 27001
Обидва стандарти базуються на ISO/IEC 27001 та ISO/IEC 27002. Це означає:
сертифікація проводиться саме за ISO/IEC 27001;
у сертифікаті може бути зазначено, що система менеджменту враховує практики 27017 і/або 27018;
для клієнтів це сигнал, що компанія не просто формально має СМІБ, а й адаптувала її до хмарних реалій та роботи з персональними даними.
Переваги для бізнесу
📈 Конкурентна перевага — міжнародні клієнти та партнери все частіше очікують підтвердження безпеки хмарних процесів.
🔒 Зниження ризиків — витоки даних коштують дорого (за даними IBM, у 2023 році середня вартість інциденту перевищила $4 млн).
🤝 Зростання довіри — особливо важливо у фінансовому секторі, e-commerce та охороні здоров’я.
⚖️ Відповідність регуляціям — підтримка виконання вимог GDPR, NIS2, українського закону про захист персональних даних.
Упровадження ISO/IEC 27017 та ISO/IEC 27018 означає, що ваша компанія враховує всі ризики, пов’язані з хмарними сервісами та персональними даними. Це зменшує кількість інцидентів, полегшує перевірки й доводить: ваша система безпеки реально працює.