Заметка Клер Нейден (Clare Naden – на фото) была опубликована на сайте Международной организации по стандартизации (ИСО) 27 ноября 2017 года.
Для справки: Речь в данном посте идёт об официально опубликованном в августе 2017 года стандарте ISO/IEC 29151:2017 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection, см.
Вопрос защиты неприкосновенности частной жизни приобрел новые измерения и масштабы в нашем гипер-взаимосвязанном мире. Совсем недавно было опубликовано новое руководство, совместно подготовленное Международной электротехнической комиссией (МЭК), Международной организацией по стандартизации (ИСО) и Международным союзом электросвязи (МСЭ) - трех ведущими мировыми органами по стандартизации, содержащее свод практики по защите персональных данных.
Компания Uber попала в заголовки средств массовой информации из-за своей реакции на кражу персональных данных 57 миллионов водителей и пользователей этого сервиса. В июле 2017 года в результате взлома крупного американского кредитного бюро Equifax потенциально стала возможной утечка номеров социального страхования (в США – основной личный идентификационный номер человека – Н.Х.), дат рождения и адресов 143 миллионов человек. А в прошлом месяце компания Yahoo, непосредственно накануне её приобретения телекоммуникационным конгломератом Verizon, раскрыла новые сведения, согласно которым произошедшая в 2013 году утечка, предположительно затронувшая данные «всего лишь» миллиарда пользователей, фактически скомпрометировала все три миллиарда учетных записей пользователей Yahoo.
Участившиеся громкие утечки персональных данных побудили страны во всем мире к изучению возможных реформ политик и подходов к нормативному регулированию. Одним из наиболее известных примеров тому является «Общие правила защиты персональных данных» (General Data Protection Regulation, DGPR – это закон прямого действия, обязательный для всех стран Евросоюза – Н.Х.) Европейского союза, которые вступят в силу в мае 2018 года и повлекут за собой глобальные последствия.
Потребность обеспечить защиту персональных данных становится всё более настоятельной по мере электронно-цифровой трансформации таких секторов, как здравоохранение и финансовые услуги. Все большее число организаций обрабатывает персональные данные (правильнее было бы сказать, что абсолютно все организации обрабатывают такие данные, почти все это делают с использованием ИКТ и многие – в значительных масштабах – Н.Х.), и всем им приходится иметь дело с растущими объёмами персональных данных.
Стандарт ISO/IEC 29151 (см.
Документ опирается на стандарт ISO/IEC 27002:2013 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики использования мер и средств обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls, см.
Кроме того, являющееся неотъемлемой составной частью ISO/IEC 29151 Приложение (речь идёт о нормативном Приложении A «Расширенный набор мер и средств для защиты персональных данных» (Extended control set for PII protection) – Н.Х.), , описывает расширенный набор мер и средств контроля и управления для персональных данных, рассматривая, том числе, цели управления, имеющие отношение к «согласию и возможности выбора», и взаимосвязанным с этим «участием субъектов персональных данных», то есть людей, с которыми данные могут быть ассоциированы. В нем «законность обработки» служит основой для рекомендаций относительно того, является ли целесообразным или же нет хранение персональных данных. Поощряется стремление к «ограничению сбора» и «минимизации персональных данных», а также «открытость и прозрачность» политики организации в отношении персональных данных.
Стандарт ISO/IEC 29151 / ITU-T X.1058 был разработан в сотрудничестве с техническим подкомитетом ИСО/МЭК JTC1/SC27 по методам обеспечения безопасности (см.
Стандарт можно приобрести в онлайн-магазине ISO (
Клер Нейден (Clare Naden)
Источник: сайт ИСО