ИСО: Опубликован стандарт ISO/IEC 27701:2019, расширяющий систему менеджмента информационной безопасности на вопросы менеджмента неприкосновенности частной жизни (персональных данных)

Как сообщил 7 августа 2019 года сайт Международной организации по стандартизации (ИСО), официально опубликован новый стандарт ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines) объёмом 73 страницы, см. https://www.iso.org/standard/71670.html и https://www.iso.org/obp/ui/#!iso:std:71670:en .

О ходе подготовки этого документа (тогда он был известен под другим номером ISO/IEC 27552) я уже писала, см. http://rusrim.blogspot.com/2017/10/blog-post_9.html и http://rusrim.blogspot.com/2019/02/isoiec-27552.html .

Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

В аннотации на документ, в частности, отмечается следующее:

«Практически каждая организация обрабатывает персональные данные (в терминологии ИСО, Personally Identifiable Information, PII – Н.Х.). Кроме того, увеличивается количество и типовой состав обрабатываемых персональных данных, как и количество ситуаций, в которых организации необходимо сотрудничать с другими организациями в отношении обработки ПДн. Во всем мире защита неприкосновенности частной жизни в контексте обработки персональных данных является общественной потребностью, а также предметом специального законодательства и/или нормативного регулирования.

Система менеджмента информационной безопасностью (СМИБ), описанная в стандарте ISO/IEC 27001, разработана таким образом, чтобы допускать добавление специфических требований для определенных секторов и направлений деятельности без необходимости разработки новой системы менеджмента. Стандарты систем менеджмента ИСО, включая отраслевые, подготовлены таким образом, чтобы их можно было внедрять как по отдельности, так и в виде комбинированной системы менеджмента.

Требования и рекомендации по защите персональных данных варьируются в зависимости от условий и направления деятельности организации (контекста), в особенности там, где существует национальное законодательство и/или нормативное регулирование. Стандарт ISO/IEC 27001 требует, чтобы этот контекст был понят и принят во внимание. Настоящий документ включает в себя перекрестные ссылки на:

• Концепцию и принципы обеспечения неприкосновенности частной жизни, сформулированные в стандарте ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework);


• Стандарт ISO/IEC 27018:2019 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors);


• Стандарт ISO/IEC 29151:2017 «Информационные технологии – Методы обеспечения безопасности – Свод практики по защите персональных данных» (Information technology - Security techniques - Code of practice for personally identifiable information protection); а также


• Законодательство Евросоюза по защите персональных данных GDPR (General Data Protection Regulation - «Общие правила защиты персональных данных»).

Эти требования и рекомендации, однако, необходимо интерпретировать с учетом местного законодательства и/или нормативного регулирования.

Настоящий документ может использоваться операторами персональных данных (включая тех, которые выполняют эти функции совместно) и обработчиками персональных данных (включая тех, что используют услуги субподрядчиков; и тех, что обрабатывают персональные данные в качестве субподрядчиков для обработчиков персональных данных).

Соответствующая требованиям настоящего документа организация обязана создавать документальные подтверждения того, как она осуществляет обработку персональных данных. Эти подтверждения могут быть использованы в качестве инструмента, способствующего достижению соглашений с деловыми партнерами в ситуациях, когда обработка персональных данных представляет взаимный интерес. Они также могут помочь во взаимоотношениях с другими заинтересованными сторонами. При использовании настоящего стандарта в сочетании со стандартом ISO/IEC 27001 можно, при желании, предусмотреть независимую верификацию этих доказательств.

Настоящий документ первоначально разрабатывался как проект стандарта ISO/IEC 27552.

… В настоящем документе устанавливаются требования и даются рекомендации по разработке, внедрению, эксплуатации и постоянному совершенствованию системы менеджмента информации, относящейся к неприкосновенности частной жизни (Privacy Information Management System, PIMS - или «системы менеджмента персональных данных», что по сути одно и то же – Н.Х.) в виде расширения положений стандартов ISO/IEC 27001 и ISO/IEC 27002 на вопросы менеджмента неприкосновенностью частной жизни в контексте организации.

Данный документ устанавливает связанные с PIMS требования и даёт рекомендации для операторов и обработчиков персональных данных, несущих ответственность и подотчётных за обработку персональных данных.

Данный документ применим в организациях всех типов и размеров, включая государственные и частные компании, государственные органы и учреждения и некоммерческие организации, которые являются операторами персональных данных и/или их обработчиками и ведут обработку персональных данных в рамках системы менеджмента информационной безопасности.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общие положения
5. Специфические для системы менеджмента персональных данных PIMS требования, связанные с ISO/IEC 27001
6. Специфические для системы менеджмента персональных данных PIMS рекомендации, связанные с ISO/IEC 27002
7. Дополнительные рекомендации ISO/IEC 27002 для операторов персональных данных 
8. Дополнительные рекомендации ISO/IEC 27002 для обработчиков персональных данных 
Приложение A: Специфические для PIMS базовые цели и меры управления (для операторов персональных данных)
Приложение B: Специфические для PIMS базовые цели и меры управления (для обработчиков персональных данных)
Приложение C: Сопоставление с ISO/IEC 29100
Приложение D: Сопоставление с положениями европейского закона о защите персональных данных GDPR
Приложение E (справочное): Сопоставление с ISO/IEC 27018 и ISO/IEC 29151
Приложение А (справочное): Как применять ISO/IEC 27701 в отношении ISO/IEC 27001 и ISO/IEC 27002
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/71670.html
https://www.iso.org/obp/ui/#!iso:std:71670:en