суббота, 25 ноября 2023 г.

ИСО и МЭК: Готовится к публикации новая редакция стандарта ISO/IEC 29100 «Методы и средства обеспечения безопасности - Концепция защиты персональных данных»

Как сообщил сайт Международной организации по стандартизации, 15 августа 2023 года завершилось голосование по финальному проекту и началась подготовка к публикации новой, второй редакции стандарта ISO/IEC 29100:2023 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework) объёмом 30 страниц, см. https://www.iso.org/standard/85938.html .

Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Он заменит ныне действующую редакцию ISO/IEC 29100:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip , а также мой пост http://rusrim.blogspot.com/2021/08/isoiec-291002011.html )

В России стандарт ISO/IEC 29100 был адаптирован дважды - как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; а  также как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 .

Во вводной части стандарта отмечается:

«Стандарт ISO/IEC 29100 определяет концепцию защиты персональных данных, в которой:

  • устанавливается единая терминология в области обеспечения неприкосновенности частной жизни (защиты персональных данных);

  • определяются действующие лица и их роли в обработке персональных данных (personally identifiable information, PII);

  • приводятся соображения по защите персональных данных; и

  • даются ссылки на известные принципы защиты персональных данных при их обработке с использованием информационных технологий.

Стандарт ISO/IEC 29100 может использоваться физическими лицами и организациями, участвующими в подготовке спецификаций, закупке, выборе архитектуры, проектировании, разработке, тестировании, обслуживании, администрировании и эксплуатации ИКТ-систем или услуг, в которых требуются применять меры защиты ПДн при обработке персональных данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Основные элементы концепции защиты персональных данных
6. Принципы защиты персональных данных
6.1. Обзор принципов защиты персональных данных
6.2. Согласие и выбор
6.3. Законность цели обработки и её описание
6.4. Ограничение сбора ПДн
6.5. Минимизация данных
6.6. Ограничения в отношении использования, хранения и раскрытия
6.7. Точность и качество
6.8. Открытость, прозрачность и уведомление
6.9. Участие и доступ субъекта ПДн
6.10. Подотчётность
6.11. Информационная безопасность
6.12. Исполнение законодательно-нормативных требований в отношении защиты персональных данных
Приложение А (справочное): Соответствие между понятиями ISO/IEC 29100 и понятиями ISO/IEC 27000
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/85938.html
https://www.doc88.com/p-14761935340539.html

Комментариев нет:

Отправить комментарий