Над стандартом работает технический подкомитет ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).
Документ, публикация которого запланирована на 2024 год, посвящен практической реализации положений стандарта ISO/IEC 29100:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip , а также мой пост http://rusrim.blogspot.com/2021/08/isoiec-291002011.html ) с использованием метода, описанного в стандарте ISO/IEC/IEEE 24774:2021 «Системная и программная инженерия - Менеджмент жизненного цикла - Требования к описанию процесса» (Systems and software engineering - Life cycle management - Specification for process description, см. https://www.iso.org/standard/78981.html и https://www.iso.org/obp/ui/en/#!iso:std:78981:en ). Два упомянутых стандарта были адаптированы в России:
- ISO/IEC 29100 был адаптирован как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; а также как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 ;
- ISO/IEC/IEEE 24774 был адаптирован на основе более старой редакции как ГОСТ Р 57098-2016 / ISO/IEC TR 24774:2010 «Системная и программная инженерия. Управление жизненным циклом. Руководство для описания процесса», см. https://protect.gost.ru/v.aspx?control=8&baseC=-1&id=197077
Во вводной части стандарта отмечается:
«В настоящем документе описываются модель и метод практической реализации принципов защиты персональных данных стандарта ISO/IEC 29100 в виде набора мер и средств контроля и управления и функциональных возможностей:
- Метод описан как процесс, следующий положениям стандарта ISO/IEC/IEEE 24774;
- Он предназначен для использования совместно с другими стандартами и руководствами по обеспечению неприкосновенности частной жизни и защите персональных данных;
- Он поддерживает сетевые взаимозависимые приложения и системы.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Контекст практической реализации защиты персональных данных
6. Процесс первоначальной инвентаризации информационных активов
7. Меры и средства защиты персональных данных, требования к ним, их возможности, оценка рисков и итеративный процесс
8. Возможности по обеспечению защиты персональных данных
Приложение A: Сопоставление принципов защиты персональных данных ISO/IEC 29100:2011 с возможностями подхода POMME
Приложение B: Пример процесса жизненного цикла с участием оператора ПДн и поставщика решения
Приложение C: Иллюстрация функций и механизмов, разработанных с использованием подхода POMME, на примере варианта использования для потребительского приложения
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/80394.html
https://www.iso.org/obp/ui/en/#!iso:std:80394:en
Комментариев нет:
Отправить комментарий