ИСО: Опубликованы технические спецификации ISO/IEC TS 19608:2018 по разработке функциональных требований к обеспечению безопасности и защиты персональных данных
ИСО: Опубликованы технические спецификации ISO/IEC TS 19608:2018 по разработке функциональных требований к обеспечению безопасности и защиты персональных данных
В октябре 2018 года Международная организации по стандартизации (ИСО) опубликовала новые технические спецификации ISO/IEC TS 19608:2018 «Руководство по разработке функциональных требований к безопасности и защите персональных данных на основе ISO/IEC 15408» (Guidance for developing security and privacy functional requirements based on ISO/IEC 15408) объёмом 54 страницы, см. и (я их упоминала здесь: ). Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Методы и средства обеспечения безопасности информационных технологий».
Мой комментарий: Документ ссылается на известный стандарт ISO/IEC 15408 «Информационные технологии - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий» (Information technology - Security techniques - Evaluation criteria for IT security), 3-я редакция которого была выпущена в 3-х частях в 2008-2009 годах. Данный стандарт адаптирован в России в виде ГОСТов.
Во вводной части документа отмечается следующее:
Настоящий документ содержит рекомендации по следующим вопросам:
Отбор и формулирование функциональных требований безопасности (security functional requirements, SFR) из ISO/IEC 15408-2 для защиты персональных данных (Personally Identifiable Information, PII);
Мой комментарий: Стандарт ISO/IEC 15408-2 адаптирован в России как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности»,
Процедура согласованного определения функциональных требований по защите персональных данных и по безопасности; а также
Разработка функциональных требований по защите неприкосновенности частной жизни (персональных данных) в качестве расширенных компонентов на основе принципов защиты неприкосновенности частной жизни, установленных стандартом ISO/IEC 29100, посредством парадигмы, описанной в ISO/IEC 15408-2.
Мой комментарий: Свободно распространяемый стандарт ISO/IEC 29100 адаптирован в России как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см.
Целевая аудитория настоящего документа следующая:
разработчики, внедряющие обрабатывающие персональные данные продукты или системы, которые хотят пройти оценку безопасности этих продуктов на основе ISO/IEC 15408. Они найдут в документе рекомендации по выбору функциональных требований безопасности для цели безопасности их продукта или системы, соответствующих принципам защиты персональных данных, установленных стандартом ISO/IEC 29100;
авторы профилей защиты, которые охватывают вопросы защиты персональных данных; а также
оценщики, использующие стандарты ISO/IEC 15408 и ISO/IEC 18045 для оценки безопасности.
Предполагается, что настоящий документ полностью соответствует ISO/IEC 15408; однако в случае любого несоответствия между настоящим документом и ISO/IEC 15408, последний, как нормативный стандарт, имеет приоритет.»
Содержание документа следующее:
Предисловие Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Обозначения и сокращения 5. Назначение и структура настоящего документа 6. Определение требований 7. Принципы защиты неприкосновенности частной жизни (персональных данных) 8. Сводка с указанием расширенных компонентов и соответствующих принципов защиты неприкосновенности частной жизни Приложение A: Существующие компоненты, используемые для исполнения требований к защите неприкосновенности частной жизни (персональных данных) Приложение B: Расширенные компоненты для защиты неприкосновенности частной жизни в существующих профилях защиты Приложение C: Примеры расширенных компонентов для защиты неприкосновенности частной жизни Библиография
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
