Cтандарт ИСО/МЭК 29151 содержит практические правила защиты информации, которая позволяет установить личность, т.е. определяет цели безопасности, меры безопасности и руководящие принципы по реализации мер безопасности для удовлетворения требований, выявленных в ходе оценки риска и оценки воздействия, связанные с защитой информации позволяющей идентифицировать личность (PII).
Повышаются требования для защиты персональных данных, вводятся и вступают в силу новые законодательные и нормативные акты, как локальные так и международные. С момента вступления в силу Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95 / 46 / EC или общее положение о защите данных (GDPR) прошло почти год, но у многих организаций возникли проблемы с выполнением его требований и адаптацией своих организаций.
Самой большой проблемой чаще всего является отсутствие правильного толкования требований в отношении собственной организации и обрабатываемых персональных данных (PII). Международный стандарт ИСО/МЭК 29151 содержит конкретные инструкции о том, как защитить данные и как планировать, внедрять, поддерживать, контролировать и улучшать организационную и техническую безопасность, чтобы снизить риск нарушений конфиденциальности и уменьшить влияние нарушений на организацию и вовлеченных людей.
Структура стандарта
ISO/IEC 29151 состоит из двух частей:
1) основная часть, содержащая 18 разделов
2) нормативное приложение.
Стандарт ИСО/МЭК 29151 тесно связан со стандартами семейства ИСО/МЭК 27000, в частности со стандартом ИСО/МЭК 27002, потому что руководящие принципы основаны именно на этом стандарте, включая его приспособление к требованиям защиты частной жизни, а также правам и свободам физических лиц, в результате чего от обработки персональных данных.
Структура основной части стандарта ISO/IEC является отражением ISO/IEC 27002 и Приложения А стандарта ISO/IEC 27001.
Введение и общие вопросы содержатся в разделах 1-4 и служат основой для использования стандарта и его рекомендаций. Разделы с 5 по 18 отражают главы ISO/IEC 27002, включая специальную защиту персональных данных позволяющих определить личность (PII). Многие элементы, содержащиеся в ISO/IEC 27002, не нуждаются в дополнении в контексте безопасности персональных данных, но в некоторых случаях необходимо дополнительное руководство и указания.
Нормативное приложение содержит расширенный набор средств защиты, специфичных для защиты PII, которые дополняют контроли и методы обеспечения безопасности, включенные в стандарт ISO/IEC 27002. Эти новые средства и методы управления защитой PII вместе с сопровождающими их руководящими принципами разделены на 12 категорий, соответствующих политике конфиденциальности и 11 принципам, изложенным в ISO/IEC 29100:
– согласие и выбор;
– цель, законность и спецификация;
– ограничение сбора;
– минимизация данных;
– ограничение использования, хранения и разглашения;
– точность и качество;
– открытость, прозрачность и внимание;
– индивидуальное участие и доступ;
– ответственность;
– информационная безопасность;
– соблюдение правил конфиденциальности.
IKMJ предлагает услуги по внедрению и консалтингу в области применения этого стандарта в Вашей организации. Хотим подчеркнуть, что внедрение передового опыта, который описан в стандарте ISO/IEC 29151, позволяет соответствовать требованиям Европейского Общего положения о защите данных (GDPR).
