(Окончание, начало см.
ISO/IEC DIS 29151 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection, см.
Этот проект стандарта является непосредственным дополнением действующего стандарта ISO/IEC 27018:2014 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors), который стал большим прорывом, совершенным рядом крупных игроков в «облачной» сфере для обеспечения прозрачности в вопросе о местонахождении персональных данных и о способах их обработки в облаке.
Роль нового стандарта, в контексте оценки воздействия, заключается в том, чтобы охватить все выполняемые в облаке процессы обработки. Он охватывает весь жизненный цикл данных, от сбора до уничтожения. Его цель в том, чтобы усилить ответственность различных посредников, подрядчиков и поставщиков услуг за повышение доверия к облаку.
В любом случае, даже после их утверждения и публикации, внедрения этих стандартов ИСО будет недостаточно для того, чтобы получить возможность заявить о своём соответствии требованиям законодательства о персональных данных. Данные стандарты фактически сводят воедино хорошую практику, помогающую обеспечить исполнение законодательно-нормативных требований. Это не так мало, но не избавляет от необходимости закрепить соответствующие обязательства в положениях контрактов, в том числе в дополнительных соглашениях.
Эрик ле Келёнек (Eric Le Quellenec)
Мой комментарий: Данный международный стандарт содержит рекомендации по широкому кругу мер обеспечения информационной безопасности и защиты персональных данных, обычно применяемых различными организациями, которым приходится занимаються защитой персональных данных.
Меры контроля и управления должны выбираться исходя из рисков, выявленных в результате анализа рисков, с тем, чтобы создать всеобъемлющую согласованную систему таких мер. Меры контроля и управления должен быть адаптированы к конкретным условиям обработки персональных данных.
Данный международный стандарт описывает специфические для защиты персональных данных меры контроля и управления, отвечающие 11 принципам обеспечения неприкосновенности частной жизни, описанным в стандарте ISO/IEC 29190:
- Согласие и выбор;
- Законность целей обработки и их спецификация;
- Ограничение масштабов сбора персональных данных;
- Минимизация данных;
- Ограничение использование, хранения и раскрытия;
- Точность и качество;
- Открытость, прозрачность и уведомления;
- Вовлечение и предоставление доступа субъекту персональных данных;
- Подотчетность;
- Обеспечение информационной безопасности; и
- Соблюдение законодательно-нормативных требований к защите персональных данных
В частности, стандарт содержит основанные на ISO/IEC 27002 рекомендации, принимающие во внимание нормативные требования к обработке персональных данных, которые могут быть применимы в контексте существующих рисков информационной безопасности организации.
Данный стандарт применим в организациях всех типов и размеров, в том числе в государственных и частных компаниях, в государственных учреждениях и в некоммерческих организациях, которые ведут обработку персональных данных в рамках проводимой ими обработки информации.
Структура документа следующая:
Предисловие Введение 1. Область применения 2. Нормативные ссылки 3. Термины, определения и сокращения 4. Обзор 4.1. Цели защиты персональных данных 4.2. Требования к защите персональных данных 4.3. Меры контроля и управления 4.4. Выбор мер контроля и управления 4.5. Разработка руководств, учитывающих специфику организации 4.6. Соображения, связанные с жизненным циклом 4.7. Структура настоящего стандарта 5. Политики информационной безопасности 6. Организация информационной безопасности 7. Кадровая безопасность 8. Управление активами 9. Управление доступом 10. Криптография 11. Физическая и экологическая безопасность 12. Безопасность оперативной деятельности 13. Безопасность коммуникаций 14. Закупка, развитие и поддержка систем 15. Взаимодействие с поставщиками 16. Менеджмент инцидентов информационной безопасности 17. Аспекты информационной безопасности при менеджменте непрерывности деловой деятельности 18. Соответствие законодательно-нормативным требованиям Приложение A (нормативное): расширенный набор мер контроля и управления для защиты персональных данных Библиография |