Опубликован очередной стандарт ИСО/МЭК, затрагивающий вопросы защиты персональных данных

В конце января 2019 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации стандарта ISO/IEC 19086-4:2019 « Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 4: Компоненты безопасности и защиты персональных данных» (Cloud computing - Service level agreement (SLA) framework - Part 4: Components of security and of protection of PII), см. https://www.iso.org/standard/68242.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en .

О первом стандарте серии ISO/IEC 19086 и о структуре серии я уже писала здесь: http://rusrim.blogspot.com/2016/09/blog-post_69.html

Как отмечается во вводной части, настоящий документ определяет компоненты, относящиеся к информационной безопасности и защите персональных данных, а также количественные (Cloud Service Level Objective, SLO) и качественные (Cloud Service Qualitative Objective. SQO) показатели для соглашений о качестве облачных услуг, включая соответствующие требования и рекомендации.

Настоящий документ создан в интересах и предназначен для использования как поставщиками облачных услуг (Cloud Service Provider, CSP), так и их потребителями (Cloud Service Consumer, CSC).

В главе 7 документа описаны 13 компонент информационной безопасности, а именно. компоненты:

• 7.1 Политики информационной безопасности


• 7.2 Организации информационной безопасности


• 7.3 Менеджмента активов


• 7.4 Контроля доступа


• 7.5 Криптографии


• 7.6 Физической и экологической безопасности


• 7.7 Безопасности операций


• 7.8 Безопасности коммуникаций


• 7.9 Закупки, развития и технической поддержки систем


• 7.10 Взаимодействия с поставщиками


• 7.11 Менеджмента инцидентов информационной безопасности


• 7.12 Менеджмента непрерывности деловой деятельности


• 7.13 Исполнения законодательно-нормативных требований

В главе 8 описаны 9 компонент защиты персональных данных, а именно компоненты:

• 8.1 Согласия и выбора


• 8.2 Определения целей обработки и из законности


• 8.3 Минимизации сбора и обработки персональных данных


• 8.4 Управления персональными данными, отслеживания сроков их хранения и ограничения их раскрытия


• 8.5 Точности и качества


• 8.6 Открытости, прозрачности и извещения


• 8.7 Участия и доступа физических лиц


• 8.8 Подотчётности


• 8.9 Исполнения законодательно-нормативных требований о защите персональных данных

Высокоуровневое краткое описание каждой их компонент (обычно не более страницы текста) включает общее описание, целевые показатели и ссылки на соответствующие документы, содержащие требования и рекомендации.

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Взаимосвязь с другими частями Концепция соглашений о качестве услуг облачных вычислений
6. Обзор
7. Компоненты информационной безопасности
8. Компоненты защиты персональных данных
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/68242.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en