Стандарт подготовлен техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). О работе над ним я уже рассказывала на блоге здесь: http://rusrim.blogspot.com/2024/03/isoiec-dis-27562.html
«Настоящий стандарт содержит рекомендации по защите персональных данных для финансово-технологических услуг (fintech services).
В стандарте описаны все соответствующие бизнес-модели и роли в отношениях между потребителем и коммерческой организацией и между коммерческими организациями, а также связанные с персональными данными риски и требования к защите персональных данных, которые имеют отношение к финансово-технологическим услугам. Стандарт описывает специфические для финансово-технологических услуг меры и средства контроля и управления, используемые для обработки и смягчения рисков, связанных с ПДн.
Документ основан на принципах, описанных в стандартах:
- ISO/IEC 29100:2024 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, https://www.iso.org/standard/85938.html )
Мой комментарий: В России стандарт адаптирован дважды, как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; и как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 , - ISO/IEC 27701 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines, https://www.iso.org/standard/85819.html ), и
- ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent, https://www.iso.org/standard/70331.html ),
а также рекомендациях по менеджменту риска, приведенных в стандарте ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines, https://www.iso.org/standard/65694.html , в России адаптирован как ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226783 - Н.Х.). В стандарте также содержатся рекомендации. основное внимание в которых сфокусировано на наборе требований к защите персональных данных каждой заинтересованной стороны.
Данный документ может использоваться в организациях любого типа, таких как регулирующие органы, учреждения, поставщики услуг и поставщики продуктов в сфере финансово-технологических услуг.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Заинтересованные стороны и общие соображения в отношении финансово-технологических услуг
6. Общие принципы, применимые к финансово-технологическим услугам
7. Действующие лица финансово-технологических услуг
8. Связанные с персональными данными риски для действующих лиц
9. Меры и средства защиты ПДн для действующих лиц
10. Рекомендации по защите ПДн для действующих лиц
Приложение A: Цели сбора и обработки ПДн
Приложение B: Примеры международного и регионального нормативно-правового регулирования
Приложение C: Пример архитектуры открытой платформы для поставщиков финансово-технологических услуг
Приложение D: Варианты использования финансово-технологических услуг
Приложение E: Список распространенных уязвимостей и рисков, связанных с ПДн
Приложение F: Характеристики связанной с ИИ обработки ПДн при оказании финансово-технологических услуг
Библиография
Источники: сайт ИСО
https://www.iso.org/standard/80395.html
https://www.iso.org/obp/ui/en/#!iso:std:80395:en
Комментариев нет:
Отправить комментарий