Два проекта стандартов ИСО, направленных на обеспечение прозрачности «Облака», часть 2

(Окончание, начало см. http://rusrim.blogspot.ru/2016/10/1.html )

ISO/IEC DIS 29151 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection, см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62726 и https://www.iso.org/obp/ui/#iso:std:iso-iec:29151:dis:ed-1:v1:en ): Проекты стандартов ИСО для облачных вычислений охватывают весь жизненный цикл данных

Этот проект стандарта является непосредственным дополнением действующего стандарта ISO/IEC 27018:2014 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors), который стал большим прорывом, совершенным рядом крупных игроков в «облачной» сфере для обеспечения прозрачности в вопросе о местонахождении персональных данных и о способах их обработки в облаке.

Роль нового стандарта, в контексте оценки воздействия, заключается в том, чтобы охватить все выполняемые в облаке процессы обработки. Он охватывает весь жизненный цикл данных, от сбора до уничтожения. Его цель в том, чтобы усилить ответственность различных посредников, подрядчиков и поставщиков услуг за повышение доверия к облаку.

В любом случае, даже после их утверждения и публикации, внедрения этих стандартов ИСО будет недостаточно для того, чтобы получить возможность заявить о своём соответствии требованиям законодательства о персональных данных. Данные стандарты фактически сводят воедино хорошую практику, помогающую обеспечить исполнение законодательно-нормативных требований. Это не так мало, но не избавляет от необходимости закрепить соответствующие обязательства в положениях контрактов, в том числе в дополнительных соглашениях.

Эрик ле Келёнек (Eric Le Quellenec)

Мой комментарий: Данный международный стандарт содержит рекомендации по широкому кругу мер обеспечения информационной безопасности и защиты персональных данных, обычно применяемых различными организациями, которым приходится занимаються защитой персональных данных.

Меры контроля и управления должны выбираться исходя из рисков, выявленных в результате анализа рисков, с тем, чтобы создать всеобъемлющую согласованную систему таких мер. Меры контроля и управления должен быть адаптированы к конкретным условиям обработки персональных данных.

Данный международный стандарт описывает специфические для защиты персональных данных меры контроля и управления, отвечающие 11 принципам обеспечения неприкосновенности частной жизни, описанным в стандарте ISO/IEC 29190:

• Согласие и выбор;


• Законность целей обработки и их спецификация;


• Ограничение масштабов сбора персональных данных;


• Минимизация данных;


• Ограничение использование, хранения и раскрытия;


• Точность и качество;


• Открытость, прозрачность и уведомления;


• Вовлечение и предоставление доступа субъекту персональных данных; 


• Подотчетность;


• Обеспечение информационной безопасности; и


• Соблюдение законодательно-нормативных требований к защите персональных данных

Данный международный стандарт описывает общепринятые цели управления, меры контроля и управления и рекомендации по реализации этих мер, направленные на выполнение требований, выявленных при оценке рисков и возможных последствий, связанных с защитой персональных данных.

В частности, стандарт содержит основанные на ISO/IEC 27002 рекомендации, принимающие во внимание нормативные требования к обработке персональных данных, которые могут быть применимы в контексте существующих рисков информационной безопасности организации.

Данный стандарт применим в организациях всех типов и размеров, в том числе в государственных и частных компаниях, в государственных учреждениях и в некоммерческих организациях, которые ведут обработку персональных данных в рамках проводимой ими обработки информации.

Структура документа следующая:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Обзор
4.1. Цели защиты персональных данных
4.2. Требования к защите персональных данных
4.3. Меры контроля и управления
4.4. Выбор мер контроля и управления
4.5. Разработка руководств, учитывающих специфику организации
4.6. Соображения, связанные с жизненным циклом
4.7. Структура настоящего стандарта
5. Политики информационной безопасности
6. Организация информационной безопасности
7. Кадровая безопасность
8. Управление активами
9. Управление доступом
10. Криптография
11. Физическая и экологическая безопасность
12. Безопасность оперативной деятельности
13. Безопасность коммуникаций
14. Закупка, развитие и поддержка систем
15. Взаимодействие с поставщиками
16. Менеджмент инцидентов информационной безопасности
17. Аспекты информационной безопасности при менеджменте непрерывности деловой деятельности
18. Соответствие законодательно-нормативным требованиям
Приложение A (нормативное): расширенный набор мер контроля и управления для защиты персональных данных
Библиография

Источник: сайт фирмы Lexing - Alain Bensoussan Avocats
https://www.alain-bensoussan.com/projets-normes-iso-transparence-cloud/2016/10/13/