28 Февраля, 2019

Опубликован очередной стандарт ИСО/МЭК, затрагивающий вопросы защиты персональных данных

Наталья Храмцовская
В конце января 2019 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации стандарта ISO/IEC 19086-4:2019 « Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 4: Компоненты безопасности и защиты персональных данных» (Cloud computing - Service level agreement (SLA) framework - Part 4: Components of security and of protection of PII), см. https://www.iso.org/standard/68242.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en .

О первом стандарте серии ISO/IEC 19086 и о структуре серии я уже писала здесь: http://rusrim.blogspot.com/2016/09/blog-post_69.html

Как отмечается во вводной части, настоящий документ определяет компоненты, относящиеся к информационной безопасности и защите персональных данных, а также количественные (Cloud Service Level Objective, SLO) и качественные (Cloud Service Qualitative Objective. SQO) показатели для соглашений о качестве облачных услуг, включая соответствующие требования и рекомендации.

Настоящий документ создан в интересах и предназначен для использования как поставщиками облачных услуг (Cloud Service Provider, CSP), так и их потребителями (Cloud Service Consumer, CSC).

В главе 7 документа описаны 13 компонент информационной безопасности, а именно. компоненты:
  • 7.1 Политики информационной безопасности
  • 7.2 Организации информационной безопасности
  • 7.3 Менеджмента активов
  • 7.4 Контроля доступа
  • 7.5 Криптографии
  • 7.6 Физической и экологической безопасности
  • 7.7 Безопасности операций
  • 7.8 Безопасности коммуникаций
  • 7.9 Закупки, развития и технической поддержки систем
  • 7.10 Взаимодействия с поставщиками
  • 7.11 Менеджмента инцидентов информационной безопасности
  • 7.12 Менеджмента непрерывности деловой деятельности
  • 7.13 Исполнения законодательно-нормативных требований
В главе 8 описаны 9 компонент защиты персональных данных, а именно компоненты:
  • 8.1 Согласия и выбора
  • 8.2 Определения целей обработки и из законности
  • 8.3 Минимизации сбора и обработки персональных данных
  • 8.4 Управления персональными данными, отслеживания сроков их хранения и ограничения их раскрытия
  • 8.5 Точности и качества
  • 8.6 Открытости, прозрачности и извещения
  • 8.7 Участия и доступа физических лиц
  • 8.8 Подотчётности
  • 8.9 Исполнения законодательно-нормативных требований о защите персональных данных
Высокоуровневое краткое описание каждой их компонент (обычно не более страницы текста) включает общее описание, целевые показатели и ссылки на соответствующие документы, содержащие требования и рекомендации.

Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Взаимосвязь с другими частями Концепция соглашений о качестве услуг облачных вычислений
6. Обзор
7. Компоненты информационной безопасности
8. Компоненты защиты персональных данных
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/68242.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en