29 Ноября, 2018

ИСО: Опубликован стандарт ISO/IEC 20889 по методам обезличивания персональных данных

Наталья Храмцовская
Как сообщает официальный сайт Международной организации по стандартизации (ИСО), в начале ноября был опубликован стандарт ISO/IEC 20889 «Терминология и классификация методов де-идентификации (обезличивания) данных с целью усиления защиты неприкосновенности частной жизни (персональных данных)» (Privacy enhancing data de-identification terminology and classification of techniques) объёмом 51 страница, см. https://www.iso.org/standard/69373.html и https://www.iso.org/obp/ui/#!iso:std:69373:en .

О работе над ним я упоминала здесь: http://rusrim.blogspot.com/2017/07/blog-post_17.html

Стандарт разработан техническим подкомитетом SC27 «Методы и средства обеспечения безопасности информационных технологий» (IT Security Techniques) Объединенного технического комитета ИСОМЭК JTC1 «Информационные технологии».

Как отмечается в аннотации, «В настоящем документе описаны усиливающие защиту неприкосновенности частной жизни методы де-идентификации данных. Стандарт предназначен для использования при описании и проектировании мер по де-идентификации в соответствии с принципами защиты неприкосновенности частной жизни, сформулированными в стандарте ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, распространяется свободно, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip . В России адаптирован как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 ).»

«В частности, этот документ определяет терминологию, классификацию методов де-идентификации в соответствии с их характеристиками и их применимость для снижения риска повторной идентификации.»

«Настоящий документ применим в организациях любого типа и размера, включая государственные и частные компании, государственные органы и учреждения и некоммерческие организации, которые являются операторами или действующими от имени оператора обработчиками персональных данных, и которые внедряют процессы де-идентификации данных для усиления защиты неприкосновенности частной жизни».

Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Обзор
6. Техническая модель и терминология
7. Повторная идентификация
8. Полезность де-идентифицированных данных
9. Методы де-идентификации
10. Формальные модели измерения степени защиты персональных данных (т.е. модели оценки риска повторной идентификации – Н.Х.)
11. Общие принципы применения методов де-идентификации
12. Дополнительные технические и организационные меры
Приложения
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/69373.html