Для справки: Речь в данном посте идёт об официально опубликованном в августе 2017 года стандарте ISO/IEC 29151:2017 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection, см. и ). Ранее я уже писала о работе над этим документом, см. .
Вопрос защиты неприкосновенности частной жизни приобрел новые измерения и масштабы в нашем гипер-взаимосвязанном мире. Совсем недавно было опубликовано новое руководство, совместно подготовленное Международной электротехнической комиссией (МЭК), Международной организацией по стандартизации (ИСО) и Международным союзом электросвязи (МСЭ) - трех ведущими мировыми органами по стандартизации, содержащее свод практики по защите персональных данных.
Компания Uber попала в заголовки средств массовой информации из-за своей реакции на кражу персональных данных 57 миллионов водителей и пользователей этого сервиса. В июле 2017 года в результате взлома крупного американского кредитного бюро Equifax потенциально стала возможной утечка номеров социального страхования (в США – основной личный идентификационный номер человека – Н.Х.), дат рождения и адресов 143 миллионов человек. А в прошлом месяце компания Yahoo, непосредственно накануне её приобретения телекоммуникационным конгломератом Verizon, раскрыла новые сведения, согласно которым произошедшая в 2013 году утечка, предположительно затронувшая данные «всего лишь» миллиарда пользователей, фактически скомпрометировала все три миллиарда учетных записей пользователей Yahoo.
Участившиеся громкие утечки персональных данных побудили страны во всем мире к изучению возможных реформ политик и подходов к нормативному регулированию. Одним из наиболее известных примеров тому является «Общие правила защиты персональных данных» (General Data Protection Regulation, DGPR – это закон прямого действия, обязательный для всех стран Евросоюза – Н.Х.) Европейского союза, которые вступят в силу в мае 2018 года и повлекут за собой глобальные последствия.
Потребность обеспечить защиту персональных данных становится всё более настоятельной по мере электронно-цифровой трансформации таких секторов, как здравоохранение и финансовые услуги. Все большее число организаций обрабатывает персональные данные (правильнее было бы сказать, что абсолютно все организации обрабатывают такие данные, почти все это делают с использованием ИКТ и многие – в значительных масштабах – Н.Х.), и всем им приходится иметь дело с растущими объёмами персональных данных.
Стандарт ISO/IEC 29151 (см. ) - он же рекомендация ITU-T X.1058 (см. ) - дает государственным органам и коммерческим организациям ценный ориентир в тот момент, когда те наращивают свои усилия в части обеспечения защиты персональных данных. Стандарт определяет цели для мер и средств контроля и управления, используемых для защиты персональных данных, устанавливает необходимые меры и средства и даёт рекомендации по их реализации. В нем также показано, как сочетание такого рода мер может обеспечить соответствие требованиям, выявленным в ходе проведенной организацией оценки рисков и возможных последствий, связанных с персональными данными.
Документ опирается на стандарт ISO/IEC 27002:2013 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики использования мер и средств обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls, см. и , в России адаптирован как ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», – Н.Х.) и содержит дополнительные рекомендации, касающиеся защиты персональных данных. Например, предлагается структура руководства обрабатывающими персональные данные сотрудниками, соответствующая стремлению к эффективному сотрудничеству с юридическими отделами в плане интерпретации соответствующих законов и норм.
Кроме того, являющееся неотъемлемой составной частью ISO/IEC 29151 Приложение (речь идёт о нормативном Приложении A «Расширенный набор мер и средств для защиты персональных данных» (Extended control set for PII protection) – Н.Х.), , описывает расширенный набор мер и средств контроля и управления для персональных данных, рассматривая, том числе, цели управления, имеющие отношение к «согласию и возможности выбора», и взаимосвязанным с этим «участием субъектов персональных данных», то есть людей, с которыми данные могут быть ассоциированы. В нем «законность обработки» служит основой для рекомендаций относительно того, является ли целесообразным или же нет хранение персональных данных. Поощряется стремление к «ограничению сбора» и «минимизации персональных данных», а также «открытость и прозрачность» политики организации в отношении персональных данных.
Стандарт ISO/IEC 29151 / ITU-T X.1058 был разработан в сотрудничестве с техническим подкомитетом ИСО/МЭК JTC1/SC27 по методам обеспечения безопасности (см. по технике безопасности и с исследовательской группой МСЭ Study Group 17 (см. ), которая занимается вопросами укрепления доверия и безопасности при использовании ИКТ.
Стандарт можно приобрести в онлайн-магазине ISO ( ) или через Вашего национального члена ИСО или МЭК.
Клер Нейден (Clare Naden)
Источник: сайт ИСО
