Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 «Information technology — Security techniques — Privacy framework». Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.

Цель стандарта проста — определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:

  • помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
  • снизить барьеры для электронной коммерции
  • активно использовать инновации при обработке ПДн в ИСПДн
  • дать компаниям понимание лучших практик в части защиты ПДн.

Стандарт разбит на 4 части:

  • предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
  • требования к обработке ПДн
  • принципы обработки ПДн (их 11)
  • защитные меры ПДн.

Последние делятся на 7 ключевых направлений:

  • политики
  • инвентаризация и классификация
  • процедуры и защитные меры
  • корпоративное управление
  • соответствие
  • документация
  • обучение и повышение осведомленности.

Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.

В целом стандарт очень неплох — постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Алексей, а вы вышедший недавно стандарт BS10012 "Зашита информации. Спецификация системы управления персональными данными" читали? Там тоже много интересного…

    Ответить
  2. Алексей Лукацкий

    Я читал проект — действительно интересный был. Финального варианта не видел. Не поделитесь? 😉

    Ответить
  3. Анонимный

    Господа. Не предоставите ли доступ к указанным стандартам другим заинтересованным лицам.

    Нет ли, заодно, 27799:2008, 24760:2009, 29101:2010?

    Вадим Н.Цыпышев.

    [email protected].

    Ответить