Z wejściem w życie ogólnego rozporządzenia o ochronie danych RODO, bardzo aktualny stał się temat inżynierii prywatności rozumianej m.in. jako ochrona danych w fazie projektowania systemów i oprogramowania, a także domyślnej ochrony danych.
Praktyka inżynierii prywatności jest wspierana przez rosnącą liczbę norm dotyczących prywatności, bezpieczeństwa oraz inżynierii oprogramowania i systemów.
Dużo już pisaliśmy o aspektach dot. zapewnienia bezpieczeństwa danych, o normach Systemu Zrządzania Bezpieczeństwem Informacji ISO/IEC 27001, ISO/IEC 27002. W tym artykule skupimy się na normach, które dotyczą wsparcia inżynierii prywatności w zakresie systemów informatycznych i oprogramowania. Są to:
- ISO/IEC/IEEE 15288 Inżynieria systemów i oprogramowania – Procesy cyklu życia systemu.
Ustanawia ona wspólne zasady opisywania procesów w ujęciu cyklu życia systemów, definiuje zestaw procesów i powiązaną terminologię z inżynieryjnego punktu widzenia. Procesy te można zastosować na dowolnym poziomie w hierarchii struktury systemu. Wybrane zestawy procesów (organizacyjne, techniczne lub projektu) mogą być stosowane w całym systemie do zarządzania i wykonywania etapów cyklu życia systemu. Odbywa się to poprzez zaangażowanie wszystkich interesariuszy (klient/nabywca systemu, podmiot tworzący i/lub dostarczający system, lub strony zainteresowane umową/porozumieniem), a ostatecznym celem jest osiągnięcie satysfakcji klienta.
Norma zapewnia również procesy wspierające definiowanie, kontrolę i ulepszanie procesów cyklu życia systemu, stosowanych w organizacji lub projekcie. Organizacje i projekty mogą korzystać z tych procesów przy nabywaniu/zakupie i dostarczaniu systemów.
- ISO/IEC TR 27550 Technologia informacyjna – Techniki bezpieczeństwa – Inżynieria prywatności dla procesów cyklu życia systemu.
Norma uwzględnia zasady i koncepcje inżynierii prywatności, a także standardy i praktyki związane z prywatnością, bezpieczeństwem oraz inżynierią systemów i oprogramowania. Rozszerza standard ISO/IEC/IEEE 15288 poprzez dodanie szczegółowych wytycznych, które pomogą organizacjom zintegrować postępy w inżynierii prywatności w swoich praktykach inżynierskich.
- ISO/IEC/IEEE 12207 Inżynieria systemów i oprogramowania – Procesy cyklu życia oprogramowania.
Standard dotyczy nabywania (w tym zakupu) i dostarczania, w szczególności tworzenia, rozwoju, eksploatacji, konserwacji i usuwania systemów, produktów, serwisów oraz oprogramowania.
- ISO/IEC/IEEE 29148 Inżynieria systemów i oprogramowania – Procesy cyklu życia – Inżynieria wymagań.
Norma ta zawiera wytyczne dotyczące stosowania wymagań i procesów związanych z wymaganiami opisanych w standardzie ISO/IEC/IEEE 15288 i ISO/IEC/IEEE 12207. Określa niezbędne procesy, które należy wdrożyć w inżynierii wymagań dla systemów i oprogramowania dla całego cyklu życia itd.
Jak widzimy normy inżynierii prywatności w zakresie systemów informatycznych i oprogramowania są ściśle powiązane między sobą.
Co za tym idzie?
Jeśli chcemy stosować dobre praktyki i wdrożyć je w naszej organizacji, należy zapoznać się z w/w normami i wybrać dla siebie te elementy, które będą najbardziej pasować w zależności od zakresu działania Organizacji i jej otoczenia (kontekstu organizacji), potrzeb, wymagań i oczekiwań stron zainteresowanych.
Nasi specjaliści zawsze są gotowi pomóc w analizie procesów w organizacji, opracowaniu dopasowanych rozwiązań, ich wdrożeniu oraz przeprowadzeniu szkoleń dedykowanych dla kadry kierowniczej, specjalistów zaangażowanych w rozwój, wdrażanie lub obsługę systemów wymagających ochrony prywatności.
Autor: Maryna Kuczyńska (3863)
Źródła:
ISO/IEC/IEEE 15288:2015 Systems and software engineering — System life cycle processes
ISO/IEC/IEEE 12207:2017 Systems and software engineering — Software life cycle processes
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.