Защита персональных данных на практике в соответствии с ISO/IEC 29151

Cтандарт ИСО/МЭК 29151 содержит практические правила защиты информации, которая позволяет установить личность, т.е. определяет цели безопасности, меры безопасности и руководящие принципы по реализации мер безопасности для удовлетворения требований, выявленных в ходе оценки риска и оценки воздействия, связанные с защитой информации позволяющей идентифицировать личность (PII).

Повышаются требования для защиты персональных данных, вводятся и вступают в силу новые законодательные и нормативные акты, как локальные так и международные. С момента вступления в силу Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95 / 46 / EC или общее положение о защите данных (GDPR) прошло почти год, но у многих организаций возникли проблемы с выполнением его требований и адаптацией своих организаций.

Zobacz podobne  Аудит системы менеджмета информационной безопасности. Cтандарт ISO/IEC 27007: 2020_RU

Самой большой проблемой чаще всего является отсутствие правильного толкования требований в отношении собственной организации и обрабатываемых персональных данных (PII). Международный стандарт ИСО/МЭК 29151 содержит конкретные инструкции о том, как защитить данные и как планировать, внедрять, поддерживать, контролировать и улучшать организационную и техническую безопасность, чтобы снизить риск нарушений конфиденциальности и уменьшить влияние нарушений на организацию и вовлеченных людей.

Структура стандарта

ISO/IEC 29151 состоит из двух частей:

1) основная часть, содержащая 18 разделов

2) нормативное приложение.

Стандарт ИСО/МЭК 29151 тесно связан со стандартами семейства ИСО/МЭК 27000, в частности со стандартом ИСО/МЭК 27002, потому что руководящие принципы основаны именно на этом стандарте, включая его приспособление к требованиям защиты частной жизни, а также правам и свободам физических лиц, в результате чего от обработки персональных данных.

Zobacz podobne  Инструменты, помогающие аудиторам проводить внутренние аудиты

Структура основной части стандарта ISO/IEC является отражением ISO/IEC 27002 и Приложения А стандарта ISO/IEC 27001.

Введение и общие вопросы содержатся в разделах 1-4 и служат основой для использования стандарта и его рекомендаций. Разделы с 5 по 18 отражают главы ISO/IEC 27002, включая специальную защиту персональных данных позволяющих определить личность (PII). Многие элементы, содержащиеся в ISO/IEC 27002, не нуждаются в дополнении в контексте безопасности персональных данных, но в некоторых случаях необходимо дополнительное руководство и указания.

Нормативное приложение содержит расширенный набор средств защиты, специфичных для защиты PII, которые дополняют контроли и методы обеспечения безопасности, включенные в стандарт ISO/IEC 27002. Эти новые средства и методы управления защитой PII вместе с сопровождающими их руководящими принципами разделены на 12 категорий, соответствующих политике конфиденциальности и 11 принципам, изложенным в ISO/IEC 29100:

Zobacz podobne  Новый стандарт ISO/IEC 27001:2022

– согласие и выбор;

– цель, законность и спецификация;

– ограничение сбора;

– минимизация данных;

– ограничение использования, хранения и разглашения;

– точность и качество;

– открытость, прозрачность и внимание;

– индивидуальное участие и доступ;

– ответственность;

– информационная безопасность;

– соблюдение правил конфиденциальности.

 

IKMJ предлагает услуги по внедрению и консалтингу в области применения этого стандарта в Вашей организации. Хотим подчеркнуть, что внедрение передового опыта, который описан в стандарте ISO/IEC 29151, позволяет соответствовать требованиям Европейского Общего положения о защите данных (GDPR).

Прокрутить вверх