Разработкой стандарта занимается технический подкомитет ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).
В публичном обсуждении проекта желающие могут принять участие до 11 марта 2024 года на сайте Британского института стандартов по адресу https://standardsdevelopment.bsigroup.com/projects/2021-00940 .
Страница публичного обсуждения стандарта на сайте BSI
Во вводной части документа отмечается:
«Настоящий стандарт содержит рекомендации по защите персональных данных для финансово-технологических услуг (fintech services).
В стандарте описаны соответствующие бизнес-модели и роли в отношениях между потребителем и коммерческой организацией, а также в отношениях между коммерческими организациями, связанные с персональными данными риски и требования к защите персональных данных, которые имеют отношение к финансово-технологическим услугам.
Стандарт описывает специфические для финансово-технологических услуг, мери и средства защиты персональных данных, используемые для обработки связанных с персональными данными рисков с учетом правового контекста соответствующей деловой роли.
Изложенные в документе принципы основаны на принципах, описанных в стандартах:
- ISO/IEC 29100:2024 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, https://www.iso.org/standard/85938.html ),
- ISO/IEC 27701 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines, https://www.iso.org/standard/85819.html ), и
- ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent, https://www.iso.org/standard/70331.html ),
а также на структуре оценки воздействия на конфиденциальность, описанной в ISO/IEC 29134:2023 «Информационные технологии - Методы и средства обеспечения безопасности – Руководство по оценке воздействия на неприкосновенность частной жизни» (Information technology - Security techniques - Guidelines for privacy impact assessment, https://www.iso.org/standard/86012.html ), и руководстве по управлению рисками, описанном в ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines, https://www.iso.org/standard/65694.html ). В стандарте также содержатся рекомендации. основное внимание в которых сфокусировано на наборе требований к защите персональных данных каждой заинтересованной стороны.
Данный документ может использоваться в организациях любого типа, таких как регулирующие органы, учреждения, поставщики услуг и поставщиков продуктов в сфере финансово-технологических услуг.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Заинтересованные стороны, общие опасения в отношении финансово-технологических услуг
6. Общие принципы, применимые к финансово-технологическим услугам
7. Действующие лица финансово-технологических услуг
8. Связанные с персональными данными риски для действующих лиц
9. Меры и средства защиты ПДн для действующих лиц
10. Рекомендации по защите ПДн для действующих лиц
Приложения
Библиография
Источники: сайт Британского института стандартов / сайт ИСО
https://standardsdevelopment.bsigroup.com/projects/2021-00940
https://www.iso.org/standard/80395.html
https://www.iso.org/obp/ui/en/#!iso:std:80395:en
Комментариев нет:
Отправить комментарий