понедельник, 9 октября 2017 г.

ИСО: Продолжается работа над стандартом, расширяющим систему менеджмента информационной безопасности на вопросы защиты персональных данных


В последнее время в прессе появилась определенная информация о ходе работ над проектом стандарта ISO/IEC 27552 «Информационная технология. Меры и средства обеспечения безопасности. Расширение ISO/IEC 27001 в плане менеджмента неприкосновенностью частной жизни – Требования» (Information technology - Security techniques - Enhancement to ISO/IEC 27001 for privacy management – Requirements), см. https://www.iso.org/standard/71670.html


13 сентября 2017 года на очередной конференции DLM-форума в Брайтоне с докладом о новом стандарте ISO/IEC 27552 выступал Алан Шипман (Alan Shipman)

Интерес к стандарту во многом подогревается тем, что в Евросоюзе вот-вот вступит в силу новое, значительно более суровое единое законодательство по защите персональных данных (GDPR), и одним из способов обеспечить исполнение законодательно-нормативных требований является использование системы менеджмента. И чем придумывать ещё одну такую систему, почему не воспользоваться хорошо отработанной системой менеджмента информационной безопасности ИСО (СМИБ), слегка её расширив?

Определенные сведения о проекте привела в своей презентации Лора Линдсей (Laura Lindsay) из компании Майкрософт. Её презентация (ISO/IEC JTC 1/SC 27 Work in Support of Legislation, см. https://docbox.etsi.org/Workshop/2017/201706_SECURITYWEEK/01_STANDARDSandLEGISLATION/S01_SETTING_THE_SCENE/ISO_IECJTC1_SC27_LINDSAY.pdf ) рассказывает о том, как стандарты, разрабатываемые техническим подкомитетом ИСО/МЭК JTC1/SC27, могут способствовать исполнению законодательно-нормативных требований к безопасности.


Лора выступала на семинаре по теме «Стандарты и законодательство», который Европейский институт телекоммуникационных стандартов ETSI провёл 12 июня 2017 года (см. http://www.etsi.org/etsi-security-week-2017 , материалы семинара доступны по адресу https://docbox.etsi.org/Workshop/2017/201706_SECURITYWEEK/01_STANDARDSandLEGISLATION ).

Она в своём докладе отметила, что инициатором разработки стандарта стала французская Национальная комиссия по информатике и свободам граждан CNIL (Commission nationale de l'informatique et des libertés, http://www.cnil.fr/ ) - уполномоченный орган по вопросам защиты персональных данных. Он основан на том, что организации уже знают, как делать.

Фактически это стандарт системы менеджмента персональной информации (personal information management system, PIMS), расширяющей систему менеджмента информационной безопасности (ISO 27001) путем добавления требований к защите неприкосновенности частной жизни.

Добавляются новые меры и средства контроля и управления, вроде тех, что описаны в стандарте ISO/IEC 27018:2014 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, см.
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:27018:ed-1:v1:en .

Стандарт ISO/IEC 27552 будет сертификационным, как и ISO 27001, с той же экосистемой аудиторов, органов по аккредитации и сертификатов.

Стандарт ISO/IEC 27552 предусматривает следующие технические и организационные меры:
  • Деидентификация и уничтожение данных с целью минимизации объёмов персональных данных;

  • Получение, документирование и модификация согласий на обработку ПДн

  • Поддержка прав субъектов ПДн (доступ, переносимость, корректировка, уничтожение)

  • Информационная безопасность на основе ISO/IEC 27001
Как и во всех системах менеджмента, большое внимание уделяется документированию. В частности, рассматриваются следующие вопросы:
  • Цели обработки ПДн

  • Правовая основа для обработки ПДн

  • Раскрытие и передача третьим сторонам

  • Геолокация

  • Сохранение документов для подотчетности
Организациям нужно будет продемонстрировать своё соответствие стандарту, включая:
  • Обязательства обработчика ПДн на базе ISO/IEC 27018

  • Оценка рисков для субъектов ПДн на основе оценки воздействия на неприкосновенность частной жизни (Privacy Impact Assessment, ISO/IEC 29134:2017 «Информационные технологии - Методы и средства обеспечения безопасности – Руководство по оценке воздействия на неприкосновенность частной жизни» (Information technology - Security techniques - Guidelines for privacy impact assessment), см. https://www.iso.org/standard/62289.html )

  • Автоматическое принятие решений (пока этот вопрос отложен)
Рассматривается также вопрос обеспечения прозрачности для субъектов персональных данных:
  • Прозрачность для субъектов ПДн на основе ISO/IEC 19944 «Информационные технологии - Облачные вычисления - Данные и их потоки, проходящие через устройства и облачные службы» (Information Technology - Cloud Computing - Data and their Flow across Devices and Cloud Services), http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66674 – заявления об использовании данных;

  • Прозрачность операторов и обработчиков на основе ISO/IEC 19086-1:2016  «Информационные технологии – Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 1: Обзор и понятия» (Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts), см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=67545  , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-1:ed-1:v1:en
Источники: сайт ETSI / Твиттер
http://www.etsi.org/etsi-security-week-2017
https://twitter.com/GustavoCastaner

Комментариев нет:

Отправить комментарий