О работе над данным документом я уже рассказывала здесь: http://rusrim.blogspot.com/2023/11/isoiec-29100.html . Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Он заменил ранее действовавшую редакцию ISO/IEC 29100:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip , а также мой пост http://rusrim.blogspot.com/2021/08/isoiec-291002011.html ).
В предыдущей редакции стандарт в России был адаптирован дважды: как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; и как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 .
Во вводной части стандарта отмечается следующее:
«Настоящий документ определяет концепцию защиты персональных данных, в которой:
- устанавливается единая терминология в области обеспечения неприкосновенности частной жизни (защиты персональных данных);
- определяются действующие лица и их роли в обработке персональных данных (personally identifiable information, PII);
- приводятся соображения по защите персональных данных; и
- даются ссылки на известные принципы защиты персональных данных для области информационных технологий.
Настоящий документ может использоваться физическими лицами и организациями, участвующими в подготовке спецификаций, закупке, выборе архитектуры, проектировании, разработке, тестировании, обслуживании, администрировании и эксплуатации ИКТ-систем или услуг, в которых требуются применять меры и средства защиты ПДн при обработке персональных данных.»
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Основные элементы концепции защиты персональных данных
6. Принципы защиты персональных данных в настоящем документе
6.1. Обзор принципов защиты персональных данных
6.2. Согласие и выбор
6.3. Законность цели обработки и её описание
6.4. Ограничение сбора ПДн
6.5. Минимизация данных
6.6. Ограничения в отношении использования, сроков хранения и раскрытия
6.7. Точность и качество
6.8. Открытость, прозрачность и уведомление
6.9. Участие и доступ субъекта ПДн
6.10. Подотчётность
6.11. Информационная безопасность
6.12. Исполнение законодательно-нормативных требований в отношении защиты персональных данных
Приложение А: Соответствие между понятиями ISO/IEC 29100 и понятиями ISO/IEC 27000
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/85938.html
https://www.iso.org/obp/ui/en/#!iso:std:85938:en
Комментариев нет:
Отправить комментарий