29.10.2009

Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями.

Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:
  • помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
  • снизить барьеры для электронной коммерции
  • активно использовать инновации при обработке ПДн в ИСПДн
  • дать компаниям понимание лучших практик в части защиты ПДн.

Стандарт разбит на 4 части:
  • предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
  • требования к обработке ПДн
  • принципы обработки ПДн (их 11)
  • защитные меры ПДн.

Последние делятся на 7 ключевых направлений:
  • политики
  • инвентаризация и классификация
  • процедуры и защитные меры
  • корпоративное управление
  • соответствие
  • документация
  • обучение и повышение осведомленности.
Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн.

В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.

3 коммент.:

Анонимный комментирует...

Алексей, а вы вышедший недавно стандарт BS10012 "Зашита информации. Спецификация системы управления персональными данными" читали? Там тоже много интересного...

Алексей Лукацкий комментирует...

Я читал проект - действительно интересный был. Финального варианта не видел. Не поделитесь? ;-)

Анонимный комментирует...

Господа. Не предоставите ли доступ к указанным стандартам другим заинтересованным лицам.

Нет ли, заодно, 27799:2008, 24760:2009, 29101:2010?


Вадим Н.Цыпышев.


tsypyschev@yandex.ru.