Однажды я уже упоминала на блоге (см. http://rusrim.blogspot.com/2017/07/blog-post_17.html ) проект стандарта ISO/IEC DIS 15944-12 «Информационные технологии – Взгляд с точки зрения деловых операций. Часть 12. Выявление требований к защите персональных данных, относящихся к управлению жизненным циклом информации и электронному EDI-обмену структурированными персональными данными» (Information technology - Business operational view - Part 12: Privacy protection requirements (PPR) on information life cycle management (ILCM) and EDI of personal information (PI), - см. https://www.iso.org/standard/65145.html и https://www.iso.org/obp/ui/#!iso:std:65145:en ).
Настоящий документ относится к сфере обмена структурированной деловой информацией, и во многом опирается на стандарт ISO/IEC 14662:2010 «Информационные технологии. Эталонная модель открытого электронного обмена данными» (Information technology - Open-edi reference model), см. https://www.iso.org/contents/data/standard/05/52/55290.html и https://www.iso.org/obp/ui/#!iso:std:55290:en . Напомню определения термина EDI:
Электронный обмен данными (Electronic Data Interchange, EDI) - структурированный способ передачи хранимых в электронном виде данных из одной базы данных в другую, обычно с использованием телекоммуникационных сетейСтандарт готовит технический подкомитет ИСО/МЭК JTC1/SC32 «Управление и обмен данными» (Data management and interchange). В аннотации на документ, в частности, отмечается следующее:
Источник: ISO/IEC/IEEE 24765:2017, п.3.1356, см. https://www.iso.org/obp/ui/#!iso:std:71952:en
Электронный обмен данными (Electronic Data Interchange, EDI) – автоматизированный обмен в интересах деловой деятельности любыми предварительно определенными и структурированными данными между информационными системами двух или более сторон.
Примечание: Данное определение охватывает все категории электронных деловых транзакций.
Источник: ISO/IEC 14662:2010, п.3.8, см. https://www.iso.org/obp/ui/#!iso:std:55290:en
«Юрисдикции являются основным источником внешних ограничений на деловые транзакции. Требования о защите неприкосновенности частной жизни (персональных данных), в свою очередь, являются распространенными в большинстве юрисдикций, хотя они также могут быть следствием явных требований, которые сценарий обмена налагает на стороны, вовлеченные в деловую транзакцию. (Требования к секретности или конфиденциальности не рассматриваются в данной части стандарта ISO/IEC 15944, если только они не являются неявно необходимыми для выполнения требований о защите персональных данных).Содержание документа следующее:
В настоящей части стандарта ISO/IEC 15944 описаны дополнительные методы делового семантического описания, необходимые для поддержки аспектов управления жизненным циклом информации (ILCM) в качестве составной части требований по защите персональных данных в случае, когда создаются модели деловых транзакций с учётом внешних ограничений, устанавливаемых соответствующими юрисдикциями. Аспекты управления жизненным циклом информации имеют ключевое значение для способности обеспечить, чтобы требования по защите персональных данных были доведены до всех сторон деловой транзакции с использованием технологии EDI, и исполнялись этими сторонами.
Настоящий стандарт применим в любой организации, которая получает, создает, обрабатывает, поддерживает, распространяет и т.д. персональные данные (personal information, PI) и, в особенности, в тех организациях, которые получают, создают, захватывают, поддерживают, использует, хранят и уничтожают наборы документированной информации (set of recorded information, SRI) в электронном виде. Настоящий стандарт применим в частной и публичной деятельности операторов персональных данных, независимо от того, осуществляется ли такая деятельность на коммерческой или некоммерческой основе.
Настоящий стандарт предназначен для использования теми организациями, к которым относятся требования по защите персональных данных (т.е. абсолютно всеми организациями – Н.Х.), вследствие чего им необходимо обеспечить, чтобы документированная информация (электронные документы и сведения о транзакциях) в их ИТ-системах была достоверной, надежной и признавалась аутентичной. Целевая аудитория настоящего стандарта включает
- Руководителей организаций частного и государственного секторов;
- Специалистов по управлению ИТ-системами, а также системами управления документами и информацией;
- Уполномоченных по защите неприкосновенности частной жизни (Privacy protection officer, PPO) и иной персонал организаций, включая лиц, ответственные за управление рисками; а также,
- Юристов и других сотрудников организации, ответственных за исполнение организацией информационного законодательства.
ПредисловиеМой комментарий: Стандарт интересен тем, что он затрагивает сферу обмена и обработки структурированной информации. В этом случае персональные данные намного проще обрабатывать в различных целях, и, соответственно, последствия утечек могут быть более серьёзными.
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Фундаментальные принципы защиты неприкосновенности частной жизни (персональных данных)
6. Интегрированный набор принципов управления жизненным циклом информации (information life cycle management, ILCM), поддерживающих исполнение требований информационного права и требований по защите неприкосновенности частной жизни
7. Правила, регламентирующие контроль над персональными данными и ответственность за них
8. Правила, касающиеся регламентации аспектов управления жизненным циклом информации в отношении персональных данных
9. Конверсия, миграция и синхронизация данных
10. Правила, регламентирующие электронный EDI-обмен содержащей персональные данные информацией между лицом, несущим основную ответственность за управление жизненным циклом информации (primary ILCM Person – например, продавец) и его агентом, третьей стороной и/или регулятором
11. Заявление о соответствии стандартам
Приложения
Библиография
Интересно, что во введении целый раздел посвящён вопросу терминологии. Авторы жалуются на то, что такие термины, документ (record), элемент контента (document), сообщение, данные и т.д. трактуются в разных стандартах ИСО по-разному, и решение видят в том, чтобы усилить терминологическую путаницу, введя оригинальный собственный термин – «набор документированной информации» (set of recorded information) :)
Источник: сайт ИСО
https://www.iso.org/standard/65145.html
https://www.iso.org/obp/ui/#!iso:std:65145:en
Комментариев нет:
Отправить комментарий