Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО «ИАВЦ») и акционерным обществом «Аладдин РД»; внесён техническим комитетом по стандартизации ТК 022 «Информационные технологии».
Документ подготовлен на основе международного стандарта ISO/IEC 29101:2018 «Информационная безопасность – Меры безопасности – Концепция архитектуры, обеспечивающей защиту персональных данных» (Information technology - Security techniques - Privacy architecture framework), см. https://www.iso.org/standard/75293.html и https://www.iso.org/obp/ui/#!iso:std:75293:en , а также мой пост http://rusrim.blogspot.com/2018/12/blog-post_15.html .
«Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных.
Описанная в настоящем стандарте архитектура защиты персональных данных:
- предоставляет последовательный высокоуровневый подход к реализации мер защиты при обработке персональных данных с использованием средств автоматизации.
- предоставляет руководство по планированию, проектированию и построению архитектур информационных систем персональных данных, которые обеспечивают защиту персональных данных путем контроля за их обработкой, доступом и передачей;
- показывает, как технологии, обеспечивающие конфиденциальность персональных данных действующих субъектов персональных данных, могут использоваться в качестве мер защиты.
Настоящий стандарт учитывает основные положения нормативных правовых актов Российской Федерации.
Положения настоящего стандарта не исключают применение криптографических методов (алгоритмов) при обеспечении безопасности персональных данных, в частности их шифрование, но не устанавливают требования по их реализации.
… Настоящий стандарт применим для организаций, участвующих в определении, приобретении, разработке архитектуры, проектировании, тестировании, поддержке, администрировании и эксплуатации информационных систем персональных данных.
Основное внимание в настоящем стандарте уделено информационным системам персональных данных, предназначенным для взаимодействия с субъектами персональных данных.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общий обзор базовой архитектуры защиты персональных данных
5. Участники обработки персональных данных
6. Значимые вопросы
7. Архитектурные представления
Приложение А (справочное): Примеры значимых вопросов, связанных с защитой персональных данных
Приложение Б (справочное): Система агрегирования персональных данных с безопасными вычислениями
Приложение В (справочное): Архитектура системы управления идентификационными данными и управления доступом, способствующая защите персональных данных
Библиография
Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230274
Комментариев нет:
Отправить комментарий