Со вступлением в силу Общего регламента о защите данных GDPR (Регламент ЕС 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмены Директивы 95/46/EC) тема инженерии приватности очень актуальна, в частности к ней относится защита данных на этапе разработки систем и программного обеспечения, а также защита данных по умолчанию.
Практика инженерии приватности (обеспечения конфиденциальности) поддерживается растущим числом стандартов касающихся приватности/ конфиденциальности, безопасности в сфере программного обеспечения и систем.
Довольно много мы уже писали об аспектах обеспечения безопасности данных, о стандартах Систем управления информационной безопасностью ISO/IEC 27001, ISO/IEC 27002 и др.. В этой статье мы сосредоточимся на стандартах, которые касаются поддержки инженерии приватности в области информационных систем и программного обеспечения. К таким стандартам относятся:
- ISO/IEC/IEEE 15288 Системная и программная инженерия. Процессы жизненного цикла системы
Устанавливает общие принципы для описания процессов жизненного цикла систем, определяет набор процессов и связанной с ними терминологии с инженерной точки зрения. Эти процессы могут применяться на любом уровне в иерархии структуры системы. Выбранные наборы процессов (организационные, технические или проектные) могут использоваться во всей системе для управления и выполнения этапов жизненного цикла системы. Это достигается путем вовлечения всех заинтересованных сторон (клиент/покупатель системы, организация, создающая и/или поставляющая систему, а также стороны, заинтересованные в договоре/соглашении), и конечной целью является достижение удовлетворенности потребителя/клиента.
Стандарт также представляет поддерживающие процессы определения, контроля и улучшения процессов жизненного цикла системы, используемых в организации или проекте. Организации и проекты могут использовать эти процессы для приобретения и поставки систем, а также программного обеспечения.
- ISO/IEC TR 27550 Информационные технологии. Методы обеспечения безопасности. Проектирование приватности для процессов жизненного цикла системы.
Включает принципы и концепции разработки приватности, а также стандарты и практики, связанные с приватностью, конфиденциальностью, безопасностью и разработкой систем и программного обеспечения; расширяет ISO/IEC/IEEE 15288, добавляя конкретные руководящие принципы, которые помогут организациям интегрировать достижения в области обеспечения приватности в свои инженерные практики.
- ISO/IEC/IEEE 12207 Системная и программная инженерия. Процессы жизненного цикла программного обеспечения.
Документ касается приобретения и поставки, в частности создания, разработки, эксплуатации, обслуживания и удаления систем, продуктов, услуг и программного обеспечения.
- ISO/IEC/IEEE 29148 Системная и программная инженерия. Процессы жизненного цикла. Разработка требований
Этот стандарт содержит рекомендации по применению требований и процессов, связанных с требованиями, описанными в ISO/IEC/IEEE 15288 и ISO/IEC/IEEE 12207; определяет необходимые процессы, которые нужно реализовать при разработке требований к системам и программному обеспечению на протяжении всего жизненного цикла.
Как видим, стандарты обеспечения приватности в области информационных систем и программного обеспечения тесно связаны.
Что из этого следует?
Если мы хотим применить передовой опыт и внедрить его в нашей организации, нужно ознакомиться с вышеупомянутыми стандартами и выбрать для себя те элементы, которые лучше всего подойдут в зависимости от сферы деятельности организации и ее среды (контекста организации), потребностей, требований и ожиданий заинтересованных сторон.
Наши специалисты всегда готовы помочь в анализе процессов организации, разработке индивидуальных решений, их внедрении и проведении тренингов для руководства, а также специалистов, занимающихся разработкой, внедрением или эксплуатацией систем, требующих защиты приватности.
Источники:
ISO/IEC/IEEE 15288:2015 Systems and software engineering — System life cycle processes
ISO/IEC/IEEE 12207:2017 Systems and software engineering — Software life cycle processes