ГОСТ Р ИСО/МЭК 29100-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы обеспечения приватности

Введение

Настоящий стандарт предоставляет высокоуровневую структуру для защиты персональной идентификационной информации (ПИИ) в пределах системы информационно-коммуникационной технологии (ИКТ). Он является общим по своему характеру, определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения приватности.

Структура обеспечения приватности предназначена для содействия организациям в определении требований к связанным с ПИИ мерам защиты приватности в среде ИКТ посредством:

- продвижения общей терминологии, связанной с обеспечением приватности;

- определения субъектов и их ролей при обработке ПИИ;

- описания требований к мерам защиты приватности;

- ссылки на известные принципы обеспечения приватности.

В некоторых странах ссылки настоящего стандарта на требования к мерам защиты приватности могут расцениваться как дополнение к законодательным требованиям защиты ПИИ. Из-за растущего ИКТ числа информационно-коммуникационных технологий, которые обрабатывают ПИИ, важно применять международные стандарты по информационной безопасности, которые обеспечивают общее понимание защиты ПИИ. Настоящий стандарт предназначен для улучшения существующих стандартов безопасности посредством сосредоточения значительного внимания на обработке ПИИ.

Увеличение коммерческого использования и ценности ПИИ, совместного использования ПИИ разными странами, а также растущая сложность систем ИКТ могут усложнить для организации обеспечение приватности и достижение соответствия различным законам. Лица, заинтересованные в обеспечении приватности, могут предотвратить возникновение неуверенности и недоверия посредством надлежащего обращения с приватной информацией, а также избегая случаев неправильного использования ПИИ.

Использование настоящего стандарта призвано:

- содействовать проектированию, реализации, эксплуатации и поддержке систем ИКТ, которые обрабатывают ПИИ и обеспечивают её защиту;

- стимулировать инновационные решения, позволяющие обеспечивать защиту ПИИ в системах ИКТ;

- совершенствовать корпоративные программы обеспечения приватности благодаря использованию лучших практических приемов.

Структура обеспечения приватности, представленная в настоящем стандарте, может служить основой для дополнительных инициатив по стандартизации обеспечения приватности, таких как:

- техническая эталонная архитектура;

- реализация и использование конкретных технологий обеспечения приватности и общего менеджмента приватности;

- меры и средства контроля и управления приватностью для процессов обработки данных в рамках аутсорсинга;

- оценка рисков приватности;

- определенные технические спецификации.

Некоторые страны могут потребовать соответствия с одним или более документами, на которые имеются ссылки в постоянно действующем документе 2 РГ 5 ИСО/МЭК СТК 1/ПК 27 "Библиографический список официальных документов по приватности" [ISO/IEC JTC 1/SC 27 WG 5 "Standing Document 2 (WG 5 SD2) - Official Privacy Documents References"] [3], или с другими соответствующими законами и нормативными документами, но настоящий стандарт не предназначен служить примером ни глобальной модели стратегии, ни законодательной основы.

ИСО/МЭК 29100 подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационная технология", Подкомитетом ПК 27 "Методы и средства обеспечения безопасности".