Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны:
- помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДн
- снизить барьеры для электронной коммерции
- активно использовать инновации при обработке ПДн в ИСПДн
- дать компаниям понимание лучших практик в части защиты ПДн.
Стандарт разбит на 4 части:
- предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР)
- требования к обработке ПДн
- принципы обработки ПДн (их 11)
- защитные меры ПДн.
Последние делятся на 7 ключевых направлений:
- политики
- инвентаризация и классификация
- процедуры и защитные меры
- корпоративное управление
- соответствие
- документация
- обучение и повышение осведомленности.
В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.
Алексей, а вы вышедший недавно стандарт BS10012 "Зашита информации. Спецификация системы управления персональными данными" читали? Там тоже много интересного...
ОтветитьУдалитьЯ читал проект - действительно интересный был. Финального варианта не видел. Не поделитесь? ;-)
ОтветитьУдалитьГоспода. Не предоставите ли доступ к указанным стандартам другим заинтересованным лицам.
ОтветитьУдалитьНет ли, заодно, 27799:2008, 24760:2009, 29101:2010?
Вадим Н.Цыпышев.
tsypyschev@yandex.ru.