Документ готовит подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».
Во вводной части документа отмечается следующее:
«Растут интерес и потребность в анализе и учёте различий между менеджментом рисков информационной безопасности и менеджментом рисков для неприкосновенности частной жизни (рисков для персональных данных).
В рамках менеджмента рисков информационной безопасности и связанной с ним оценки рисков традиционно в центре внимания были риски для организации, которые часто оценивались с использованием широко распространённой формулы Риск = Воздействие * Вероятность. Организации могут использовать различные методы для оценки и ранжирования воздействий и вероятностей, а затем определять (качественно или количественно) величину риска для организации, которая может быть использована для установления приоритетов при смягчении рисков.
При оценивании степени обеспечения неприкосновенности частной жизни, наоборот, в центре внимания в основном было воздействие на отдельных лиц, например, на тех, что были выявлены в ходе оценки воздействия на неприкосновенность частной жизни и защиту персональных данных (privacy impact assessment, PIA).
Хотя воздействию на неприкосновенность частной жизни отдельных лиц может быть отдан приоритет при оценке степени обеспечения неприкосновенности частной жизни, это не отменяет необходимости учитывать воздействие на неприкосновенность частной жизни отдельных лиц в качестве вклада в общий риск организации. На самом деле такой учёт может помочь организациям укрепить доверие, улучшить информационный обмен и обеспечить исполнение законодательно-нормативных требований, избегая одновременно негативных последствий для репутации, итоговых экономических показателей и перспективы роста в будущим. Нарушения, касающиеся зашиты неприкосновенности частной жизни (privacy events), могут иметь последствия для организации даже при отсутствии неблагоприятного воздействия на субъектов персональных данных.
Данный стандарт предлагает концепцию оценки риска организации, связанного с обеспечением неприкосновенности частной жизни, с учётом соответствующего воздействия на отдельных лиц в качестве компоненты общего риска организации. Документ основан на рекомендациях стандарта ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines – в России адаптирован как ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226783 ; о котором см. также мой пост http://rusrim.blogspot.com/2020/03/31000-2019.html – Н.Х.), расширенных и дополненных с целью включения конкретных соображений в отношении риска для организации, связанного с неприкосновенностью частной жизни.
... Настоящий документ содержит рекомендации по менеджменту в организации риска, связанного с неприкосновенностью частной жизни.
Данный документ предлагает организациям рекомендации по интеграции рисков, связанных с обработкой персональных данных, в рамках программы организации по менеджменту рисков, связанных с неприкосновенностью частной жизни. В нём проводится различие между воздействием на отдельного человека, которое может повлечь обработка ПДн, и последствиями для организаций (например, репутационный ущерб), и даются рекомендации по включения в совокупную оценку рисков организации следующего:
- Последствий для организации вследствие неблагоприятного воздействия на неприкосновенность частной жизни отдельных лиц; и
- Последствия для организации вследствие нарушений, связанных с неприкосновенностью частной жизни (privacy events), которые наносят ущерб организации (например, вредя её репутации), хотя при этом не влекут каких-либо неблагоприятных последствий для неприкосновенности частной жизни отдельных лиц.
Настоящий документ помогает в реализации программы обеспечения неприкосновенности частной жизни на основе рисков, которая может быть интегрирована в общее управление рисками в организации; и поддерживает требования к менеджменту рисков в том виде, как ни сформулированы в системах менеджмента (таких, как ISO/IEC 27701).
Мой комментарий: Здесь упомянут стандарт ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines), о нём см. http://rusrim.blogspot.com/2019/08/isoiec-277012019.html
Настоящий документ применим в организациях любого типа и размера, включая государственные и частные компании, государственные учреждения и некоммерческие организации, которые ведут обработку персональных данных и/или разрабатывают продукты и услуги, которые можно использоваться для обработки персональных данных.»
Познакомиться с текстом проекта и принять участие в его обсуждении (до 28 февраля 2022 года, при условии регистрации на сайте) сейчас можно на сайте Британского института стандартов (см. рис.) по адресу https://standardsdevelopment.bsigroup.com/projects/2020-01654#/section
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы менеджмента в организации риска, связанного с неприкосновенностью частной жизни
5. Концепция
6. Процесс менеджмента риска
Приложение A: Выявление персональных данных и проводимой обработки ПДн
Приложение B: Примеры нарушений неприкосновенности частной жизни и их причин
Приложение C: Примеры воздействия и последствий в случае нарушения неприкосновенности частной жизни
Приложение D: Шаблон шкалы тяжести последствий для физических лиц нарушений неприкосновенности частной жизни
Библиография
Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/71675.html
https://www.iso.org/obp/ui/#!iso:std:71675:en
https://standardsdevelopment.bsigroup.com/projects/2020-01654#/section
Комментариев нет:
Отправить комментарий