вторник, 18 августа 2020 г.

Стандарт ISO/IEC 29134:2017 «Руководство по оценке воздействия на неприкосновенность частной жизни»


Сегодня я хочу напомнить об интересном международном стандарте, который я несколько раз упоминала в постах на блоге, но о котором пока ещё отдельно не рассказывала.

Это стандарт ISO/IEC 29134:2017 «Информационные технологии - Методы и средства обеспечения безопасности – Руководство по оценке воздействия на неприкосновенность частной жизни» (Information technology - Security techniques - Guidelines for privacy impact assessment) объёмом 52 страницы, см. https://www.iso.org/standard/62289.html и https://www.iso.org/obp/ui/#!iso:std:62289:en .

Стандарт описывает принципы проведения «оценки воздействия на неприкосновенность частной жизни» (персональные данные), с тем, чтобы уменьшить разнобой в подходах и повысить качество такой оценки. Оценка воздействия является главным новшеством статьи 35 «Общих правил защиты персональных данных» Евросоюза (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ). Ответственный за обработку оператор – в данном случае, пользователь облачных услуг - обязан провести анализ воздействия предполагаемых в ходе обработки операций на защиту персональных данных, если такая обработка способна создать повышенные риски для прав и свобод физических лиц.

Как отмечается в этом документе, оценка воздействия на неприкосновенность частной жизни (privacy impact assessment, PIA) является инструментом для оценки потенциального воздействия на неприкосновенность частной жизни процесса, информационной системы, программного обеспечения, программного модуля, устройства или иных инициатив, которые обрабатывают персональные данные (personally identifiable information, PII). Она также служит для того, чтобы, консультируясь с заинтересованными сторонами, принять необходимые меры для обработки риска для неприкосновенности частной жизни.

Оценка воздействия является неотъемлемой частью процесса обработки риска неприкосновенности частной жизни / ПДн. Отчет о такой оценке может включать документацию о мерах, принятых для обработки риска - например, о мерах, связанные с использованием системы менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001.

Оценка воздействия – это нечто большее, чем просто инструмент: это процесс, который начинается на возможно более ранних стадиях проекта/инициативы, когда ещё есть возможности повлиять на его результаты и тем самым обеспечить запроектированную защиту персональных данных (privacy by design). Этот процесс продолжается в течение всего процесса внедрения проекта и даже после его окончания.

Настоящий стандарт предназначен для использования в тех случаях, когда при оценке воздействия на неприкосновенность частной жизни субъектов персональных данных следует принять во внимание процессы, информационные системы и/или программ, где:
  • Ответственность за реализацию и/или поставку процесса, информационной системы или программы разделяется с другими организациями, и необходимо обеспечить, чтобы каждая организация надлежащим образом реагировала на выявленные риски;

  • Организация осуществляет управление рисками для неприкосновенности частной жизни в рамках своих общих усилий по управлению рисками, в процессе подготовке к внедрению или совершенствованию системы менеджмента информационной безопасности на основе стандарта ISO|IEC 27001 или эквивалентной системы менеджмента; - либо в организации управлением такими рисками занимается отдельная служба;

  • Организация (например, правительство) осуществляет инициативу (например, программу государственно-частного партнерства), и неизвестно, какая организация станет оператором ПДн, вследствие чего будут сложности с непосредственным исполнением плана обработки риска. В таком случае план обработки риска должен взамен стать предметом законодательно-нормативного регулирования или частью договора; или
  • Организация хочет действовать ответственно в отношении субъектов ПДн.
Настоящий международный стандарт содержит рекомендации по:
  • Процессу проведения оценки воздействия на неприкосновенность частной жизни; и

  • Структуре и содержанию отчета об оценке.
Стандарт применим в организациях любого типа и размера, в том числе в государственных и частных компаниях, в государственных органах и в организациях.

Настоящий стандарт представляет интерес для тех, кто участвует в разработке и реализации проектов, в том числе для сторон, являющихся операторами систем обработки данных и услуг, имеющих дело с ПДн.

Структура документа следующая:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Аббревиатуры
5. Подготовка к проведению оценки воздействия на неприкосновенность частной жизни
6. Руководство по процессу проведения оценки воздействия
7. Отчет о результатах оценки воздействия
Приложения
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/62289.html
https://www.iso.org/obp/ui/#!iso:std:62289:en

Комментариев нет:

Отправить комментарий