Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 «Information technology — Security techniques — Privacy framework». Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.

Цель стандарта проста — определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:

• помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
• снизить барьеры для электронной коммерции
• активно использовать инновации при обработке ПДн в ИСПДн
• дать компаниям понимание лучших практик в части защиты ПДн.

Стандарт разбит на 4 части:

• предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
• требования к обработке ПДн
• принципы обработки ПДн (их 11)
• защитные меры ПДн.

Последние делятся на 7 ключевых направлений:

• политики
• инвентаризация и классификация
• процедуры и защитные меры
• корпоративное управление
• соответствие
• документация
• обучение и повышение осведомленности.

Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.

В целом стандарт очень неплох — постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.