Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Он заменит ныне действующую редакцию ISO/IEC 29100:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip , а также мой пост http://rusrim.blogspot.com/2021/08/isoiec-291002011.html )
В России стандарт ISO/IEC 29100 был адаптирован дважды - как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; а также как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 .
«Стандарт ISO/IEC 29100 определяет концепцию защиты персональных данных, в которой:
- устанавливается единая терминология в области обеспечения неприкосновенности частной жизни (защиты персональных данных);
- определяются действующие лица и их роли в обработке персональных данных (personally identifiable information, PII);
- приводятся соображения по защите персональных данных; и
- даются ссылки на известные принципы защиты персональных данных при их обработке с использованием информационных технологий.
Стандарт ISO/IEC 29100 может использоваться физическими лицами и организациями, участвующими в подготовке спецификаций, закупке, выборе архитектуры, проектировании, разработке, тестировании, обслуживании, администрировании и эксплуатации ИКТ-систем или услуг, в которых требуются применять меры защиты ПДн при обработке персональных данных.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Основные элементы концепции защиты персональных данных
6. Принципы защиты персональных данных
6.1. Обзор принципов защиты персональных данных
6.2. Согласие и выбор
6.3. Законность цели обработки и её описание
6.4. Ограничение сбора ПДн
6.5. Минимизация данных
6.6. Ограничения в отношении использования, хранения и раскрытия
6.7. Точность и качество
6.8. Открытость, прозрачность и уведомление
6.9. Участие и доступ субъекта ПДн
6.10. Подотчётность
6.11. Информационная безопасность
6.12. Исполнение законодательно-нормативных требований в отношении защиты персональных данных
Приложение А (справочное): Соответствие между понятиями ISO/IEC 29100 и понятиями ISO/IEC 27000
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/85938.html
https://www.doc88.com/p-14761935340539.html
Комментариев нет:
Отправить комментарий