ИСО и МЭК: Опубликован стандарт ISO/IEC 27561:2024 «Модель и метод реализации защиты персональных данных в ходе проектирования»

Сайт Международной организации по стандартизации (ИСО) в марте 2024 года сообщил о публикации нового стандарта ISO/IEC 27561:2024 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Модель и метод реализации защиты персональных данных в ходе проектирования (POMME)» (Information security, cybersecurity and privacy protection - Privacy operationalisation model and method for engineering (POMME)) объёмом 36 страниц, см. https://www.iso.org/standard/80394.html и https://www.iso.org/obp/ui/en/#!iso:std:80394:en .

Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Я уже рассказывала о работе над этим документом здесь: http://rusrim.blogspot.com/2023/10/isoiec-27561.html

Во вводной части стандарта отмечается:

«В настоящем документе описываются модель и метод практической реализации установленных стандартом ISO/IEC 29100 (о нём см. мой пост http://rusrim.blogspot.com/2024/03/isoiec-291002024.html - Н.Х.) принципов защиты персональных данных в виде набора мер и средств контроля и управления и функциональных возможностей. Метод описан как процесс, опирающийся на положения стандарта ISO/IEC/IEEE 24774 (речь идёт о стандарте ISO/IEC/IEEE 24774:2021 «Системная и программная инженерия - Управление жизненным циклом - Спецификация для описания процесса» (Systems and software engineering - Life cycle management - Specification for process description), см. https://www.iso.org/standard/78981.html и https://www.iso.org/obp/ui/en/#!iso:std:78981:en – Н.Х.).

Данный документ предназначен для использования совместно с другими стандартами и руководствами по обеспечению безопасности и защите персональных данных, которые влияют на практическую реализацию принципов защиты персональных данных. Он поддерживает сетевые взаимозависимые приложения и системы. Настоящий документ адресован инженерам и другим специалистам-практикам, создающим и развивающим системы, которые управляют персональными данными либо обрабатывают их.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Контекст практической реализации защиты персональных данных
6. Процесс первоначальной инвентаризации информационных активов
7. Меры и средства защиты персональных данных, требования к ним, их возможности, оценка рисков и итеративный процесс
8. Возможности по обеспечению защиты персональных данных
Приложение A: Сопоставление принципов защиты персональных данных ISO/IEC 29100:2011 с возможностями подхода POMME
Приложение B: Пример процесса жизненного цикла с участием оператора ПДн и поставщика решения
Приложение C: Иллюстрация функций и механизмов, разработанных с использованием подхода POMME, на примере варианта использования для потребительского приложения
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/80394.html
https://www.iso.org/obp/ui/en/#!iso:std:80394:en