суббота, 3 декабря 2022 г.

ИСО и МЭК: Опубликован новый стандарт ISO/IEC 27557:2022 менеджмента риска, связанного с неприкосновенностью частной жизни

Сайт Международной организации по стандартизации (ИСО) 16 ноября 2022 года сообщил о публикации стандарта ISO/IEC 27557:2022 «Информационные технологии - Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Применение стандарта ISO 31000:2018 для управлении в организации риском, связанным с неприкосновенностью частной жизни» (Information security, cybersecurity and privacy protection - Application of ISO 31000:2018 for organizational privacy risk management) объёмом 26 страниц, см. https://www.iso.org/standard/71675.html и https://www.iso.org/obp/ui/#!iso:std:71675:en .

О работе над этим документом я уже рассказывала здесь: http://rusrim.blogspot.com/2022/02/isoiec-27557.html

Документ подготовлен подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

Во вводной части документа отмечается следующее:

«Растут интерес и потребность в анализе и учёте различий между менеджментом рисков информационной безопасности и менеджментом рисков для неприкосновенности частной жизни (рисков для персональных данных) в организациях, ведущих обработку персональных данных (personally identifiable information, PII).

В рамках менеджмента рисков информационной безопасности и связанной с ним оценки рисков традиционно в центре внимания были риски для организации, которые часто оценивались с использованием широко распространённой формулы Риск = Воздействие * Вероятность. Организации могут использовать различные методы для оценки и ранжирования воздействий и вероятностей, а затем определять (качественно или количественно) величину риска для организации, которая может быть использована для установления приоритетов при смягчении рисков.

При оценивании степени обеспечения неприкосновенности частной жизни, наоборот, в центре внимания в основном было воздействие на отдельных лиц, например, на тех, что были выявлены в ходе оценки воздействия на неприкосновенность частной жизни и защиту персональных данных (privacy impact assessment, PIA).

Хотя оценкам воздействия на неприкосновенность частной жизни отдельных лиц может быть отдан приоритет при оценке степени обеспечения неприкосновенности частной жизни, необходимо, тем не менее, учитывать воздействие на неприкосновенность частной жизни отдельных лиц в качестве вклада в общий риск организации. Это может помочь организациям укрепить доверие, реализовать технические и организационные меры, улучшить информационный обмен и обеспечить исполнение законодательно-нормативных требований, избегая одновременно негативных последствий для репутации, итоговых экономических показателей и перспективы роста в будущим. Нарушения, касающиеся зашиты неприкосновенности частной жизни (privacy events), могут иметь последствия для организации даже при отсутствии неблагоприятного воздействия на субъектов персональных данных.

Данный стандарт предлагает концепцию оценки риска организации, связанного с обеспечением неприкосновенности частной жизни, с учётом соответствующего воздействия на отдельных лиц в качестве компоненты общего риска организации. Он расширяет рекомендации стандарта ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines – в России адаптирован как ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226783 ; о котором см. также мой пост http://rusrim.blogspot.com/2020/03/31000-2019.htmlН.Х.), дополняя их с конкретными соображениями в отношении риска для организации, связанного с неприкосновенностью частной жизни; и поддерживает требование к управлению рисками в соответствии с требованиями систем менеджмента информации, затрагивающей неприкосновенность частной жизни (таких, как описана в стандарте ISO/IEC 27701).

Мой комментарий: Здесь упомянут стандарт ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines),  о нём см. http://rusrim.blogspot.com/2019/08/isoiec-277012019.html . В настоящее время готовится новая редакция этого стандарта, см. https://www.iso.org/standard/85819.html

Настоящий документ предназначен для использования совместно с ISO 31000:2018. Везде, где данный документ расширяет рекомендации из ISO 31000:2018, даётся соответствующая ссылка на разделы стандарта ISO 31000:2018, и приводятся специфические для защиты неприкосновенности частной жизни дополнительные рекомендации. Структура раздело ISO 31000:2018 зеркально отражена в данном документе и, где это необходимо, дополнена новыми подразделами.

... Настоящий документ содержит рекомендации по менеджменту в организации риска, связанного с неприкосновенностью частной жизни, представляющие собой расширенные рекомендации стандарта ISO 31000:2018.

Данный документ предлагает организациям рекомендации по интеграции рисков, связанных с обработкой персональных данных, в рамках программы организации по менеджменту рисков, связанных с неприкосновенностью частной жизни. В нём проводится различие между воздействием на отдельного человека, которое может повлечь обработка ПДн, и последствиями для организаций (например, репутационный ущерб). В документе также даются рекомендации по включению в совокупную оценку рисков организации следующего:

  • Последствий для организации вследствие неблагоприятного воздействия на неприкосновенность частной жизни отдельных лиц; и

  • Последствия для организации вследствие нарушений, связанных с неприкосновенностью частной жизни (privacy events), которые наносят ущерб организации (например, вредя её репутации), хотя при этом не влекут каких-либо неблагоприятных последствий для неприкосновенности частной жизни отдельных лиц.

Настоящий документ помогает в реализации программы обеспечения неприкосновенности частной жизни на основе рисков, которая может быть интегрирована в общее управление рисками в организации.

Данный документ применим в организациях любого типам и размера, которые ведут обработку персональных данных или разрабатывают продукты и услуги, которые могут использоваться для обработки персональных данных, - включая государственные и частные компании, государственные учреждения и некоммерческие организации.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы менеджмента в организации риска, связанного с неприкосновенностью частной жизни
5. Концепция
6. Процесс менеджмента риска
Приложение A: Выявление проводимой обработки ПДн
Приложение B: Примеры нарушений неприкосновенности частной жизни и их причин
Приложение C: Примеры воздействия и последствий в случае нарушения неприкосновенности частной жизни
Приложение D: Шаблон шкалы тяжести последствий для физических лиц нарушений неприкосновенности частной жизни
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/71675.html
https://www.iso.org/obp/ui/#!iso:std:71675:en

Комментариев нет:

Отправить комментарий