ИСО: Продолжается работа над стандартом ISO/IEC 15944-12, посвящённым защите персональных данных при структурированном обмене данными

ИСО: Продолжается работа над стандартом ISO/IEC 15944-12, посвящённым защите персональных данных при структурированном обмене данными
Однажды я уже упоминала на блоге (см. http://rusrim.blogspot.com/2017/07/blog-post_17.html ) проект стандарта ISO/IEC DIS 15944-12 «Информационные технологии – Взгляд с точки зрения деловых операций. Часть 12. Выявление требований к защите персональных данных, относящихся к управлению жизненным циклом информации и электронному EDI-обмену структурированными персональными данными» (Information technology - Business operational view - Part 12: Privacy protection requirements (PPR) on information life cycle management (ILCM) and EDI of personal information (PI), - см. https://www.iso.org/standard/65145.html и https://www.iso.org/obp/ui/#!iso:std:65145:en ).

Сейчас я могу сообщить чуть больше информации об этом документе, да и повод появился – 14 февраля 2019 года сайт Британского института стандартов сообщил о том, что проект перешёл на новую стадию – анализа поступивших замечаний и предложений и принятия по ним решений (см. https://standardsdevelopment.bsigroup.com/projects/2014-02481/ ).

Настоящий документ относится к сфере обмена структурированной деловой информацией, и во многом опирается на стандарт ISO/IEC 14662:2010 «Информационные технологии. Эталонная модель открытого электронного обмена данными» (Information technology - Open-edi reference model), см. https://www.iso.org/contents/data/standard/05/52/55290.html и https://www.iso.org/obp/ui/#!iso:std:55290:en . Напомню определения термина EDI:
Электронный обмен данными (Electronic Data Interchange, EDI) - структурированный способ передачи хранимых в электронном виде данных из одной базы данных в другую, обычно с использованием телекоммуникационных сетей

Источник: ISO/IEC/IEEE 24765:2017, п.3.1356, см. https://www.iso.org/obp/ui/#!iso:std:71952:en

Электронный обмен данными (Electronic Data Interchange, EDI) – автоматизированный обмен в интересах деловой деятельности любыми предварительно определенными и структурированными данными между информационными системами двух или более сторон.

Примечание: Данное определение охватывает все категории электронных деловых транзакций.

Источник: ISO/IEC 14662:2010, п.3.8, см. https://www.iso.org/obp/ui/#!iso:std:55290:en
Стандарт готовит технический подкомитет ИСО/МЭК JTC1/SC32 «Управление и обмен данными» (Data management and interchange). В аннотации на документ, в частности, отмечается следующее:
«Юрисдикции являются основным источником внешних ограничений на деловые транзакции. Требования о защите неприкосновенности частной жизни (персональных данных), в свою очередь, являются распространенными в большинстве юрисдикций, хотя они также могут быть следствием явных требований, которые сценарий обмена налагает на стороны, вовлеченные в деловую транзакцию. (Требования к секретности или конфиденциальности не рассматриваются в данной части стандарта ISO/IEC 15944, если только они не являются неявно необходимыми для выполнения требований о защите персональных данных).

В настоящей части стандарта ISO/IEC 15944 описаны дополнительные методы делового семантического описания, необходимые для поддержки аспектов управления жизненным циклом информации (ILCM) в качестве составной части требований по защите персональных данных в случае, когда создаются модели деловых транзакций с учётом внешних ограничений, устанавливаемых соответствующими юрисдикциями. Аспекты управления жизненным циклом информации имеют ключевое значение для способности обеспечить, чтобы требования по защите персональных данных были доведены до всех сторон деловой транзакции с использованием технологии EDI, и исполнялись этими сторонами.

Настоящий стандарт применим в любой организации, которая получает, создает, обрабатывает, поддерживает, распространяет и т.д. персональные данные (personal information, PI) и, в особенности, в тех организациях, которые получают, создают, захватывают, поддерживают, использует, хранят и уничтожают наборы документированной информации (set of recorded information, SRI) в электронном виде. Настоящий стандарт применим в частной и публичной деятельности операторов персональных данных, независимо от того, осуществляется ли такая деятельность на коммерческой или некоммерческой основе.

Настоящий стандарт предназначен для использования теми организациями, к которым относятся требования по защите персональных данных (т.е. абсолютно всеми организациями – Н.Х.), вследствие чего им необходимо обеспечить, чтобы документированная информация (электронные документы и сведения о транзакциях) в их ИТ-системах была достоверной, надежной и признавалась аутентичной. Целевая аудитория настоящего стандарта включает
  • Руководителей организаций частного и государственного секторов;
  • Специалистов по управлению ИТ-системами, а также системами управления документами и информацией;
  • Уполномоченных по защите неприкосновенности частной жизни (Privacy protection officer, PPO) и иной персонал организаций, включая лиц, ответственные за управление рисками; а также,
  • Юристов и других сотрудников организации, ответственных за исполнение организацией информационного законодательства.
Содержание документа следующее:
Предисловие
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Фундаментальные принципы защиты неприкосновенности частной жизни (персональных данных)
6. Интегрированный набор принципов управления жизненным циклом информации (information life cycle management, ILCM), поддерживающих исполнение требований информационного права и требований по защите неприкосновенности частной жизни  
7. Правила, регламентирующие контроль над персональными данными и ответственность за них
8. Правила, касающиеся регламентации аспектов управления жизненным циклом информации в отношении персональных данных
9. Конверсия, миграция и синхронизация данных
10. Правила, регламентирующие электронный EDI-обмен содержащей персональные данные информацией между лицом, несущим основную ответственность за управление жизненным циклом информации (primary ILCM Person – например, продавец) и его агентом, третьей стороной и/или регулятором  
11. Заявление о соответствии стандартам
Приложения
Библиография
Мой комментарий: Стандарт интересен тем, что он затрагивает сферу обмена и обработки структурированной информации. В этом случае персональные данные намного проще обрабатывать в различных целях, и, соответственно, последствия утечек могут быть более серьёзными.

Интересно, что во введении целый раздел посвящён вопросу терминологии. Авторы жалуются на то, что такие термины, документ (record), элемент контента (document), сообщение, данные и т.д. трактуются в разных стандартах ИСО по-разному, и решение видят в том, чтобы усилить терминологическую путаницу, введя оригинальный собственный термин – «набор документированной информации» (set of recorded information) :)

Источник: сайт ИСО
https://www.iso.org/standard/65145.html
https://www.iso.org/obp/ui/#!iso:std:65145:en
информационная безопасность ИСО персональные данные стандарты структурированная информация EDI
Alt text