суббота, 22 октября 2016 г.

Два проекта стандартов ИСО, направленных на обеспечение прозрачности «Облака», часть 1


Заметка Эрика ле Келёнека (Eric Le Quellenec) из юридической фирмы Lexing - Alain Bensoussan Avocats, специализирующейся в области информационного права и передовых технологий, была опубликована на сайте фирмы 13 октября 2016 года.

Два проекта разработки международных стандарта ИСО должны способствовать укреплению прозрачности предложений об оказании облачных услуг.

Новое европейское законодательство вводит для всех стран Европейского Союза новые стандарты, которые усиливают защиту персональных данных (см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.ENG ). В ситуации, когда безопасность и конфиденциальность данных уже является серьезной проблемой для облачных вычислений, два проекта разработки стандартов ИСО должны помочь с решением проблемы обеспечения соответствия новым требованиям.

Мой комментарий: Речь идёт о законе Евросоюза («правилах») прямого действия № 2016/679 от 27 апреля 2016 года о защите физических лиц в связи с обработкой их персональных данных и о свободном перемещении таких данных, о об отмене Директивы 95/46/EC (Общие требования к защите персональных данных) (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)).

ISO/IEC DIS 29134 «Информационные технологии - Методы и средства обеспечения безопасности – Оценка воздействия на неприкосновенность частной жизни – Руководство» (Information technology - Security techniques - Privacy impact assessment – Guidelines, см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62289 и https://www.iso.org/obp/ui/#iso:std:iso-iec:29134:dis:ed-1:v1:en ): Новое законодательство Евросоюза способствует продвижению проектов стандартов ИСО

Оценка воздействия является главным новшеством статьи 35 нового закона о защите персональных данных (прямая ссылка: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ). Ответственный за обработку оператор – в данном случае, пользователь облачных услуг - обязан провести анализ воздействия предполагаемых в ходе обработки операций на защиту персональных данных, если такая обработка способна создать повышенные риски для прав и свобод физических лиц.

Предлагаемый новый стандарт должен предложить методику проведений «оценки воздействия на неприкосновенность частной жизни» (персональные данные). Ожидается, что этот стандарт установит определенные рамки для такой оценки, с тем. чтобы уменьшить разнобой в подходах и повысить качество.

(Окончание следует, см. http://rusrim.blogspot.ru/2016/10/2.html )

Эрик ле Келёнек (Eric Le Quellenec)

Мой комментарий: Как отмечается в этом документе, оценка воздействия на неприкосновенность частной жизни (privacy impact assessment, PIA) является инструментом для оценки потенциального воздействия на неприкосновенность частной жизни процесса, информационной системы, программного обеспечения, программного модуля, устройства или иных инициатив, которые обрабатывают персональные данные (personally identifiable information, PII). Она также служит для того, чтобы, консультируясь с заинтересованными сторонами, принять необходимые меры для обработки риска для неприкосновенности частной жизни.

Оценка воздействия является неотъемлемой частью процесса обработки риска неприкосновенности частной жизни / ПДн. Отчет о такой оценке может включать документацию о мерах, принятых для обработки риска - например, о мерах, связанные с использованием системы менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001.

Оценка воздействия – это нечто большее, чем  просто инструмент: это процесс, который начинается на возможно более ранних стадиях проекта/инициативы, когда ещё есть возможности повлиять на его результаты и тем самым обеспечить запроектированную защиту персональных данных (privacy by design). Этот процесс продолжается в течение всего процесса внедрения проекта и даже после его окончания.

Настоящий стандарт предназначен для использования в тех случаях, когда при оценке воздействия на неприкосновенность частной жизни субъектов персональных данных следует принять во внимание процессы, информационные системы и/или программ, где:
  • Ответственность за реализацию и/или поставку процесса, информационной системы или программы разделяется с другими организациями, и необходимо обеспечить, чтобы каждая организация надлежащим образом реагировала на выявленные риски;

  • Организация осуществляет управление рисками для неприкосновенности частной жизни в рамках своих общих усилий по управлению рисками, в процессе подготовке к внедрению или совершенствованию системы менеджмента информационной безопасности на основе стандарта ISO|IEC 27001 или эквивалентной системы менеджмента; - либо в организации управлением такими рисками занимается отдельная служба;

  • Организация (например, правительство) осуществляет инициативу (например, программу государственно-частного партнерства), и неизвестно, какая организация станет оператором ПДн, вследствие чего будут сложности с непосредственным исполнением плана обработки риска. В таком случае план обработки риска должен взамен стать предметом законодательно-нормативного регулирования или частью договора; или

  • Организация хочет действовать ответственно в отношении субъектов ПДн.
Настоящий международный стандарт содержит рекомендации по:
  • Процессу проведения оценки воздействия на неприкосновенность частной жизни; и

  • Структуре и содержанию отчета об оценке.
Стандарт применим в организациях любого типа и размера, в том числе в государственных и частных компаниях, в государственных органах и в организациях.

Настоящий стандарт представляет интерес для тех, кто участвует в разработке и реализации проектов, в том числе для сторон, являющихся операторами систем обработки данных и услуг, имеющих дело с ПДн.

Структура документа следующая:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Аббревиатуры
5. Подготовка к проведению оценки воздействия на неприкосновенность частной жизни 
6. Руководство по процессу проведения оценки воздействия
7. Отчет о результатах оценки воздействия
Приложения
Библиография
Источник: сайт фирмы Lexing - Alain Bensoussan Avocats
https://www.alain-bensoussan.com/projets-normes-iso-transparence-cloud/2016/10/13/

Комментариев нет:

Отправить комментарий