Стандарт подготовлен техническим комитетом ИСО TC307 «Технологии блокчейна и распределённых реестров» (Blockchain and distributed ledger technologies).
«Настоящий стандарт дополняет существующие стандарты безопасности и защиты персональных данных, рассматривая уникальные аспекты систем на основе технологий распределенных реестров (DLT). Он призван стать полезным инструментом для разработчиков, специалистов по внедрению и оценке таких систем в соответствии с принципами, изложенными в нормативном разделе документа.
Ввиду распределенного и/или децентрализованного характера DLT-систем, смягчение рисков для персональных данных (ПДн) участников имеет ключевое по важности значение для построения надежных и заслуживающих доверия систем, и для обеспечения гарантий, связанных с защитой ПДн. DLT-системы часто имеют специфические характеристики, с которыми связаны уникальные риски для ПДн.
Одним из примеров является особенности публичных, не требующих разрешений (public permissionless) DLT-систем, что означает, что определенные записи данных являются легкодоступными для общественности. Вторым примером является типичное свойство DLT-систем, заключающееся в том, что хранящаяся в распределенном реестре информация часто не может быть изменена – её нельзя модифицировать или удалить после того, как она одобрена механизмом консенсуса распределённого реестра.
Эти свойства противоречат некоторым принципам защиты ПДн; в частности, может быть невозможно как ограничение доступа общественности к определенным записям данных, так и предоставление субъекту персональных данных возможности удалить свои персональные данные после их записи в распределенный реестр. У субъекта ПДн может быть возможность обновить эти данные с помощью другой транзакции; однако предыдущая информация останется в реестре и может быть доступна другим сторонам.
Данный стандарт предназначен для использования разработчиками, специалистами по внедрению и по оценке при создании, совершенствовании, поддержания и/или оценке возможностей системы на основе технологий распределенных реестров (DLT-системы) в плане защиты неприкосновенности частной жизни (персональных данных). Стандарт может использоваться на любом этапе жизненного цикла DLT-системы. Описанные в документе методы защиты ПДн и критерии оценки следует рассматривать как эталонные рекомендации, обеспечивающее надлежащее смягчение рисков для ПДн вовлечённых сторон, с особым акцентом на принципы работы с данными и персональными данными.
… Настоящий документ специфицирует касающиеся DLT-технологий требования в отношении создания, совершенствования, поддержания и/или оценки возможностей DLT-системы в плане защиты ПДн.
Целевая аудитория документа включает, помимо прочего, разработчиков, поставщиков, пользователей и аудиторов DLT-систем. Стандарт будет особенно полезен для операторов и обработчиков ПДн, несущих ответственность за защиту ПДн при обработке персональных данных.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Проектирование мер защиты ПДн в DLT-системах
5. Оценка существующих систем
6. Реализация защиты ПДн в DLT-системах
7. Мониторинг
8. Обратная связь
9. Обновление, разделения реестра и управление изменениями
10. Несоответствия и их устранение
11. Общая оценка соответствия
Приложение A (информативное): Таблицы оценки степени защиты ПДн для ISO 24946
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/88614.html
Комментариев нет:
Отправить комментарий