ИСО: Опубликованы технические спецификации ISO/IEC TS 19608:2018 по разработке функциональных требований к обеспечению безопасности и защиты персональных данных

ИСО: Опубликованы технические спецификации ISO/IEC TS 19608:2018 по разработке функциональных требований к обеспечению безопасности и защиты персональных данных
В октябре 2018 года Международная организации по стандартизации (ИСО) опубликовала новые технические спецификации ISO/IEC TS 19608:2018 «Руководство по разработке функциональных требований к безопасности и защите персональных данных на основе ISO/IEC 15408» (Guidance for developing security and privacy functional requirements based on ISO/IEC 15408) объёмом 54 страницы, см. https://www.iso.org/standard/65459.html и https://www.iso.org/obp/ui/#!iso:std:65459:en (я их упоминала здесь: http://rusrim.blogspot.com/2017/07/blog-post_17.html ). Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Методы и средства обеспечения безопасности информационных технологий».

Мой комментарий: Документ ссылается на известный стандарт ISO/IEC 15408 «Информационные технологии - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий» (Information technology - Security techniques - Evaluation criteria for IT security), 3-я редакция которого была выпущена в 3-х частях в 2008-2009 годах. Данный стандарт адаптирован в России в виде ГОСТов.

Во вводной части документа отмечается следующее:
Настоящий документ содержит рекомендации по следующим вопросам:
  • Отбор и формулирование функциональных требований безопасности (security functional requirements, SFR) из ISO/IEC 15408-2 для защиты персональных данных (Personally Identifiable Information, PII);

    Мой комментарий: Стандарт ISO/IEC 15408-2 адаптирован в России как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=176946
  • Процедура согласованного определения функциональных требований по защите персональных данных и по безопасности; а также
  • Разработка функциональных требований по защите неприкосновенности частной жизни (персональных данных) в качестве расширенных компонентов на основе принципов защиты неприкосновенности частной жизни, установленных стандартом ISO/IEC 29100, посредством парадигмы, описанной в ISO/IEC 15408-2.

    Мой комментарий: Свободно распространяемый стандарт ISO/IEC 29100 адаптирован в России как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307
Целевая аудитория настоящего документа следующая:
  • разработчики, внедряющие обрабатывающие персональные данные продукты или системы, которые хотят пройти оценку безопасности этих продуктов на основе ISO/IEC 15408. Они найдут в документе рекомендации по выбору функциональных требований безопасности для цели безопасности их продукта или системы, соответствующих принципам защиты персональных данных, установленных стандартом ISO/IEC 29100;
  • авторы профилей защиты, которые охватывают вопросы защиты персональных данных; а также
  • оценщики, использующие стандарты ISO/IEC 15408 и ISO/IEC 18045 для оценки безопасности.
Предполагается, что настоящий документ полностью соответствует ISO/IEC 15408; однако в случае любого несоответствия между настоящим документом и ISO/IEC 15408, последний, как нормативный стандарт, имеет приоритет.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Назначение и структура настоящего документа
6. Определение требований
7. Принципы защиты неприкосновенности частной жизни (персональных данных)
8. Сводка с указанием расширенных компонентов и соответствующих принципов защиты неприкосновенности частной жизни
Приложение A: Существующие компоненты, используемые для исполнения требований к защите неприкосновенности частной жизни (персональных данных)
Приложение B: Расширенные компоненты для защиты неприкосновенности частной жизни в существующих профилях защиты
Приложение C: Примеры расширенных компонентов для защиты неприкосновенности частной жизни
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/65459.html
https://www.iso.org/obp/ui/#!iso:std:65459:en
информационная безопасность ИСО персональные данные стандарты
Alt text