пятница, 8 декабря 2017 г.

ИСО: Международный стандарт ISO/IEC 29151 ставит своей целью сократить число случаев кражи персональных данных


Заметка Клер Нейден (Clare Naden – на фото) была опубликована на сайте Международной организации по стандартизации (ИСО) 27 ноября 2017 года.

Для справки: Речь в данном посте идёт об официально опубликованном в августе 2017 года стандарте ISO/IEC 29151:2017 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection, см. https://www.iso.org/standard/62726.html и https://www.iso.org/obp/ui/#!iso:std:62726:en ). Ранее я уже писала о работе над этим документом, см. https://rusrim.blogspot.ru/2016/10/2.html .

Вопрос защиты неприкосновенности частной жизни приобрел новые измерения и масштабы в нашем гипер-взаимосвязанном мире. Совсем недавно было опубликовано новое руководство, совместно подготовленное Международной электротехнической комиссией (МЭК), Международной организацией по стандартизации (ИСО) и Международным союзом электросвязи (МСЭ) - трех ведущими мировыми органами по стандартизации, содержащее свод практики по защите персональных данных.

Компания Uber попала в заголовки средств массовой информации из-за своей реакции на кражу персональных данных 57 миллионов водителей и пользователей этого сервиса. В июле 2017 года в результате взлома крупного американского кредитного бюро Equifax потенциально стала возможной утечка номеров социального страхования (в США – основной личный идентификационный номер человека – Н.Х.), дат рождения и адресов 143 миллионов человек. А в прошлом месяце компания Yahoo, непосредственно накануне её приобретения телекоммуникационным конгломератом Verizon, раскрыла новые сведения, согласно которым произошедшая в 2013 году утечка, предположительно затронувшая данные «всего лишь» миллиарда пользователей, фактически скомпрометировала все три миллиарда учетных записей пользователей Yahoo.

Участившиеся громкие утечки персональных данных побудили страны во всем мире к изучению возможных реформ политик и подходов к нормативному регулированию. Одним из наиболее известных примеров тому является «Общие правила защиты персональных данных» (General Data Protection Regulation, DGPR – это закон прямого действия, обязательный для всех стран Евросоюза – Н.Х.) Европейского союза, которые вступят в силу в мае 2018 года и повлекут за собой глобальные последствия.

Потребность обеспечить защиту персональных данных становится всё более настоятельной по мере электронно-цифровой трансформации таких секторов, как здравоохранение и финансовые услуги. Все большее число организаций обрабатывает персональные данные (правильнее было бы сказать, что абсолютно все организации обрабатывают такие данные, почти все это делают с использованием ИКТ и многие – в значительных масштабах – Н.Х.), и всем им приходится иметь дело с растущими объёмами персональных данных.

Стандарт ISO/IEC 29151 (см. https://www.iso.org/obp/ui/#iso:std:iso-iec:29151:ed-1:v1:en  ) - он же рекомендация ITU-T X.1058 (см. https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=13182 ) - дает государственным органам и коммерческим организациям ценный ориентир в тот момент, когда те наращивают свои усилия в части обеспечения защиты персональных данных. Стандарт определяет цели для мер и средств контроля и управления, используемых для защиты персональных данных, устанавливает необходимые меры и средства и даёт рекомендации по их реализации. В нем также показано, как сочетание такого рода мер может обеспечить соответствие требованиям, выявленным в ходе проведенной организацией оценки рисков и возможных последствий, связанных с персональными данными.

Документ опирается на стандарт ISO/IEC 27002:2013 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики использования мер и средств обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls, см. https://www.iso.org/standard/54533.html и  https://www.iso.org/obp/ui/#!iso:std:54533:en , в России адаптирован как ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», http://protect.gost.ru/v.aspx?control=8&id=176022Н.Х.) и содержит дополнительные рекомендации, касающиеся защиты персональных данных. Например, предлагается структура руководства обрабатывающими персональные данные сотрудниками, соответствующая стремлению к эффективному сотрудничеству с юридическими отделами в плане интерпретации соответствующих законов и норм.

Кроме того, являющееся неотъемлемой составной частью ISO/IEC 29151 Приложение (речь идёт о нормативном Приложении A «Расширенный набор мер и средств для защиты персональных данных» (Extended control set for PII protection) – Н.Х.), , описывает расширенный набор мер и средств контроля и управления для персональных данных, рассматривая,  том числе,  цели управления, имеющие отношение к «согласию и возможности выбора», и взаимосвязанным  с этим «участием субъектов персональных данных», то есть людей, с которыми данные могут быть ассоциированы. В нем «законность обработки» служит основой для рекомендаций относительно того, является ли целесообразным или же нет хранение персональных данных. Поощряется стремление к «ограничению сбора» и «минимизации персональных данных», а также «открытость и прозрачность» политики организации в отношении персональных данных.

Стандарт ISO/IEC 29151 / ITU-T X.1058  был разработан в сотрудничестве с техническим подкомитетом ИСО/МЭК JTC1/SC27 по методам обеспечения безопасности (см.  https://www.iso.org/committee/45306.html по технике безопасности и с исследовательской группой МСЭ Study Group 17 (см. https://www.itu.int/en/ITU-T/studygroups/2017-2020/17/Pages/default.aspx ), которая занимается вопросами укрепления доверия и безопасности при использовании ИКТ.

Стандарт можно приобрести в онлайн-магазине ISO ( https://www.iso.org/store.html ) или через Вашего национального члена ИСО или МЭК.

Клер Нейден (Clare Naden)

Источник: сайт ИСО
https://www.iso.org/news/ref2252.html

Комментариев нет:

Отправить комментарий