Inżynieria prywatności, ochrona danych w fazie projektowania systemów i oprogramowania

Z wejściem w życie ogólnego rozporządzenia o ochronie danych RODO, bardzo aktualny stał  się temat inżynierii prywatności rozumianej m.in. jako ochrona danych w fazie projektowania systemów i oprogramowania, a także domyślnej ochrony danych.

Praktyka inżynierii prywatności jest wspierana przez rosnącą liczbę norm dotyczących prywatności, bezpieczeństwa oraz inżynierii oprogramowania i systemów.

Dużo już pisaliśmy o aspektach dot. zapewnienia bezpieczeństwa danych, o normach Systemu Zrządzania Bezpieczeństwem Informacji ISO/IEC 27001, ISO/IEC 27002. W tym artykule skupimy się na normach, które dotyczą wsparcia inżynierii prywatności w zakresie systemów informatycznych i oprogramowania. Są to:

  • ISO/IEC/IEEE 15288 Inżynieria systemów i oprogramowania – Procesy cyklu życia systemu.
    Ustanawia ona wspólne zasady opisywania procesów w ujęciu cyklu życia systemów, definiuje zestaw procesów i powiązaną terminologię z inżynieryjnego punktu widzenia. Procesy te można zastosować na dowolnym poziomie w hierarchii struktury systemu. Wybrane zestawy procesów (organizacyjne, techniczne lub projektu) mogą być stosowane w całym systemie do zarządzania i wykonywania etapów cyklu życia systemu. Odbywa się to poprzez zaangażowanie wszystkich interesariuszy (klient/nabywca systemu, podmiot tworzący i/lub dostarczający system, lub strony zainteresowane umową/porozumieniem), a ostatecznym celem jest osiągnięcie satysfakcji klienta.
    Norma zapewnia również procesy wspierające definiowanie, kontrolę i ulepszanie procesów cyklu życia systemu, stosowanych w organizacji lub projekcie. Organizacje i projekty mogą korzystać z tych procesów przy nabywaniu/zakupie i dostarczaniu systemów.
  • ISO/IEC TR 27550 Technologia informacyjna – Techniki bezpieczeństwa – Inżynieria prywatności dla procesów cyklu życia systemu.
    Norma uwzględnia zasady i koncepcje inżynierii prywatności, a także standardy i praktyki związane z prywatnością, bezpieczeństwem oraz inżynierią systemów i oprogramowania. Rozszerza standard ISO/IEC/IEEE 15288  poprzez dodanie szczegółowych wytycznych, które pomogą organizacjom zintegrować postępy w inżynierii prywatności w swoich praktykach inżynierskich.
  • ISO/IEC/IEEE 12207 Inżynieria systemów i oprogramowania – Procesy cyklu życia oprogramowania.
    Standard dotyczy nabywania (w tym zakupu) i dostarczania, w szczególności tworzenia, rozwoju, eksploatacji, konserwacji i usuwania systemów, produktów, serwisów oraz oprogramowania.
  • ISO/IEC/IEEE 29148 Inżynieria systemów i oprogramowania – Procesy cyklu życia – Inżynieria wymagań.
    Norma ta zawiera wytyczne dotyczące stosowania wymagań i procesów związanych z wymaganiami opisanych w standardzie ISO/IEC/IEEE 15288 i ISO/IEC/IEEE 12207. Określa niezbędne procesy, które należy wdrożyć w inżynierii wymagań dla systemów i oprogramowania dla całego cyklu życia itd.
Zobacz podobne  NIS vs NIS2

 

Jak widzimy normy inżynierii prywatności w zakresie systemów informatycznych i oprogramowania są ściśle powiązane między sobą.

 

Co za tym idzie?

Jeśli chcemy stosować dobre praktyki i wdrożyć je w naszej organizacji, należy zapoznać się z w/w normami i wybrać dla siebie te elementy, które będą najbardziej pasować w zależności od zakresu działania Organizacji i jej otoczenia (kontekstu organizacji), potrzeb, wymagań i oczekiwań stron zainteresowanych.

Nasi specjaliści zawsze są gotowi pomóc w analizie procesów w organizacji, opracowaniu dopasowanych rozwiązań, ich wdrożeniu oraz przeprowadzeniu szkoleń dedykowanych dla kadry kierowniczej, specjalistów zaangażowanych w rozwój, wdrażanie lub obsługę systemów wymagających ochrony prywatności.

 

Autor: Maryna Kuczyńska (3863)

Źródła:

ISO/IEC/IEEE 15288:2015 Systems and software engineering — System life cycle processes

Zobacz podobne  Normy serii ISO 27000

ISO/IEC TR 27550:2019 Information technology — Security techniques — Privacy engineering for system life cycle processes

ISO/IEC/IEEE 12207:2017 Systems and software engineering — Software life cycle processes

ISO/IEC/IEEE 29148:2018 Systems and software engineering — Life cycle processes — Requirements engineering

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

Scroll to Top