Инженерия приватности, защита данных на этапе разработки систем и программного обеспечения

Со вступлением в силу Общего регламента о защите данных GDPR (Регламент ЕС 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмены Директивы 95/46/EC) тема инженерии приватности очень актуальна, в частности к ней относится защита данных на этапе разработки систем и программного обеспечения, а также защита данных по умолчанию.

Практика инженерии приватности (обеспечения конфиденциальности) поддерживается растущим числом стандартов касающихся приватности/ конфиденциальности, безопасности в сфере программного обеспечения и систем.

Довольно много мы уже писали об аспектах обеспечения безопасности данных, о стандартах Систем управления информационной безопасностью ISO/IEC 27001, ISO/IEC 27002 и др.. В этой статье мы сосредоточимся на стандартах, которые касаются поддержки инженерии приватности в области информационных систем и программного обеспечения. К таким стандартам относятся:

  • ISO/IEC/IEEE 15288 Системная и программная инженерия. Процессы жизненного цикла системы
Zobacz podobne  Информационная безопасность в телекоммуникационных организациях, стандарт ISO/IEC 27011

Устанавливает общие принципы для описания процессов жизненного цикла систем, определяет набор процессов и связанной с ними терминологии с инженерной точки зрения. Эти процессы могут применяться на любом уровне в иерархии структуры системы. Выбранные наборы процессов (организационные, технические или проектные) могут использоваться во всей системе для управления и выполнения этапов жизненного цикла системы. Это достигается путем вовлечения всех заинтересованных сторон (клиент/покупатель системы, организация, создающая и/или поставляющая систему, а также стороны, заинтересованные в договоре/соглашении), и конечной целью является достижение удовлетворенности потребителя/клиента.

Стандарт также представляет поддерживающие процессы определения, контроля и улучшения процессов жизненного цикла системы, используемых в организации или проекте. Организации и проекты могут использовать эти процессы для приобретения и поставки систем, а также программного обеспечения.

  • ISO/IEC TR 27550 Информационные технологии. Методы обеспечения безопасности. Проектирование приватности для процессов жизненного цикла системы.
Zobacz podobne  Как перейти на новый стандарт ISO 27001:2022

Включает принципы и концепции разработки приватности, а также стандарты и практики, связанные с приватностью, конфиденциальностью, безопасностью и разработкой систем и программного обеспечения; расширяет ISO/IEC/IEEE 15288, добавляя конкретные руководящие принципы, которые помогут организациям интегрировать достижения в области обеспечения приватности в свои инженерные практики.

  • ISO/IEC/IEEE 12207 Системная и программная инженерия. Процессы жизненного цикла программного обеспечения.

Документ касается приобретения и поставки, в частности создания, разработки, эксплуатации, обслуживания и удаления систем, продуктов, услуг и программного обеспечения.

  • ISO/IEC/IEEE 29148 Системная и программная инженерия. Процессы жизненного цикла. Разработка требований

Этот стандарт содержит рекомендации по применению требований и процессов, связанных с требованиями, описанными в ISO/IEC/IEEE 15288 и ISO/IEC/IEEE 12207; определяет необходимые процессы, которые нужно реализовать при разработке требований к системам и программному обеспечению на протяжении всего жизненного цикла.

 

Как видим, стандарты обеспечения приватности в области информационных систем и программного обеспечения тесно связаны.

Zobacz podobne  Уязвимости безопасности и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 1

Что из этого следует?

Если мы хотим применить передовой опыт и внедрить его в нашей организации, нужно ознакомиться с вышеупомянутыми стандартами и выбрать для себя те элементы, которые лучше всего подойдут в зависимости от сферы деятельности организации и ее среды (контекста организации), потребностей, требований и ожиданий заинтересованных сторон.

Наши специалисты всегда готовы помочь в анализе процессов организации, разработке индивидуальных решений, их внедрении и проведении тренингов для руководства, а также специалистов, занимающихся разработкой, внедрением или эксплуатацией систем, требующих защиты приватности.

 

Источники:

ISO/IEC/IEEE 15288:2015 Systems and software engineering — System life cycle processes

ISO/IEC TR 27550:2019 Information technology — Security techniques — Privacy engineering for system life cycle processes

ISO/IEC/IEEE 12207:2017 Systems and software engineering — Software life cycle processes

ISO/IEC/IEEE 29148:2018 Systems and software engineering — Life cycle processes — Requirements engineering

Прокрутить вверх