Будущее конфиденциальности с ISO / IEC 27701

Будущее конфиденциальности с ISO / IEC 27701

Информация становится основной мишенью для злоупотребления со стороны организаций, чтобы предоставлять услуги и продукцию максимально адаптированными кпотребностям каждого клиента, необходимо достижение баланса между ними и конфиденциальностью.

Организациям, которые планируют расширять свою деятельность, активность и процессы в будущем, придется все больше быть зависимыми от цифровой трансформации, чтобы обеспечить свое существование. Устаревшая промышленная эра производства стремительно меняется на новую информационную эпоху, где создание знаний, предоставления услуг и ценности информации резко возросло. Это развитие, которое в настоящее время стимулируется появлением дешевого подключения к Интернету, легкого доступа к информации и низких затрат на хранение, ускорило эту цифровую трансформацию. С другой стороны, технологические достижения, такие как Интернет вещей (IoT), стали более доступными для пользователей.

Информация очень востребована, и это в основном зависит от присущей ценности, которой обладает информация. Организации могут делать высоко персонализированные продукты и услуги для своих клиентов с помощью успешных рекламных объявлений на рынке, направленных непосредственно на их интересы. Однако, организации, которые используют данные клиентов, иногда могут быть уязвимыми для киберпреступников и других источников угроз, которые часто направляют свое внимание на эти организации для получения информации, которая идентифицирует персональной. В случае успеха киберпреступники и другие источники угроз используют клиентские данные организаций, которые среди прочего, включают хищение персональных данных и финансовое мошенничество; явление, с которым, как выясняется, тяжело справиться. Следовательно, информация становится основной мишенью для злоупотребления со стороны многих организаций, но и делает услуги и продукты максимально адаптированными к конкретным потребностям каждого клиента, что делает его также проблемой для достижения баланса между хорошими продуктами или услугами и конфиденциальностью.

Конфиденциальность является (или в последнее время подчеркивалась как) необходимость достаточно открытого общества в современную компьютерную эпоху. Соответственно, принимаются меры, и это находит свое отражение во введении специальных законов и положений во всем мире.

Некоммерческие организации, такие как NOYB (None of Your Business), постоянно указывают на недостатки законодательства, которые позволяют организациям избежать ответственности за обработку идентифицируемой информации (PII) и соблюдение Общего регламента по защите данных (GDPR).

Конфиденциальность не означает закрытие. Личное дело – это то, чем кто-то не хочет делиться с миром; напротив, вопрос конфиденциальности заключается в том, что кто-то не хочет, чтобы кто-то другой имел доступ к этой информации. Конфиденциальность – это скорее возможность, а также способность открываться миру по своему выбору и своей воли. В современном обществе использование таких мощных криптографических инструментов, как Pretty Good Privacy (PGP), псевдонимизация, анонимизация данных и других технических и организационных мер, которые способны защищать частную жизнь людей.

Есть несколько веских причин, которые приводят к разработке и принятию GDPR и других законов о конфиденциальности данных. Многие исследования утверждают, что сам факт того, что люди видят в социальных медиа, может изменить поведение, не говоря уже о том, что есть власть, которая контролирует их каждый шаг. Таким образом, принятые решения являются не побочным продуктом собственной воли человека, а ожиданием от них. Это заставляет пользователей демонстрировать поведение, которое является гораздо более этичным и нравственным, что значительно уменьшает диапазон вариантов поведения.

Учитывая, что GDPR является положением о защите данных и конфиденциальности данных для всех лиц, проживающих в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ), страны за пределами ЕС и ЕЭЗ начали создавать свои собственные законы о защите данных. В ответ на этот рыночный спрос Международная организация по стандартизации (ISO), международная организация с мировым признанием и старейшая, наиболее осведомленная в области стандартизации промышленности, в сотрудничестве с Международной электротехнической комиссией (НКВ) приняла решение подготовить стандарты, содержащие руководящие принципы конфиденциальности, применимые к любой организации, независимо от размера, типа или страны, в которой они работают. Их последним стандартом, разработанным по этому вопросу, является ISO/IEC 27701 -Методы безопасности - Расширения ISO/IEC 27001 и ISO/IEC 27002 для управления конфиденциальной информацией - Требования и Руководящие принципы.

Что такое ISO/IEC 27701?

ISO/IEC 27701 определяет требования и содержит рекомендации по созданию, техническому обслуживанию и постоянному совершенствованию Системы управления конфиденциальностью (PIMS) в качестве продолжения осуществления руководства ISO/IEC 27001 и ISO/IEC 27002

Этот стандарт может быть использован контроллерами идентификации и идентифицирующих данные процессорами. Дополнительные требования и рекомендации по защите данных применяются к любой организации и могут быть приняты независимо от размера и культурной среды организации.

ISO/IEC 27701 предоставляет информацию о том, как отобразить этот стандарт в соответствии с принципами и принципами конфиденциальности, определенными в ISO/IEC 29100. Кроме того, он также включает в себя требования стандартов ISO/IEC 27018, ISO/IEC 29151 и GDPR.

Контроллер и процессор PII

ISO/IEC 27701 предназначен для использования всеми контроллерами идентификации, включая основные контроллеры идентификации, и всеми процессорами, идентифицирующих персональные данные, включая процессоры PII субподрядчиков.

В стандарте ISO/IEC 29100 информация, идентифицирующая человека, определяется как "любая информация, которая может быть использована для определения основного лица PII, к которому относится такая информация, или прямо или косвенно связана с принципом PII". Контроллер PII определяется как "заинтересованная сторона, которая определяет цель и средства обработки личной идентифицируемой информации (PII), за исключением лиц, которые используют данные в личных целях". Контроллер PII определяет "почему" и "как" PII будет обрабатываться. Кроме того, они обязаны осуществлять контроль за неприкосновенностью частной жизни и безопасностью на основе соответствующих юрисдикций.

Если существует несколько контроллеров PII, они должны работать вместе, чтобы обеспечить соблюдение принципов конфиденциальности при обработке PII, и это известно как совместный контроллер IC. Совместные контроллеры PII несут ответственность за GDPR за взаимную ответственность.

Стандарт ISO/IEC 29100 определяет процессор идентификации персональных данных как "заинтересованную сторону, которая обрабатывает личную информацию (идентификационную информацию) от имени и в соответствии с инструкциями контроллера идентификационной информации". Процессор PII работает на основе инструкций контроллера PII и реализует элементы управления конфиденциальностью. Процессор, который идентифицирует персональные данные, как правило, подлежит меньшему количеству юридических обязательств по сравнению с контроллером персональных данных, так как ответственность за обработку остается за контроллером идентификационной информации. Тем не менее, GDPR определяет строгие требования к отношениям между контроллером и процессором, как у себя в статье 28. Процессор PII, как правило, третья сторона, внешняя для компании. Например, поставщики облачных вычислений, как правило, являются процессорами, которые идентифицируют персональные данные, как и внешние компании, которые получают доступ к ИТ-системам в целях технического обслуживания.

Обязанности, которые процессор PII возлагает на контроллере, должны быть указаны перед обработкой PII, в договоре или другом правовом акте. В договоре должно быть указано, что происходит с PII после расторжения договора. Однако такие случаи, когда одна организация, помимо того, что она является контролером идентификации персональных данных, может быть обработчиком идентификационной информации.

Структура ISO /IEC 27701

ISO/IEC 27701 является расширением ISO/IEC 27001 и ISO/IEC 27002. Он расширяет требования ISO/IEC 27001:2013 и руководящие принципы ISO/IEC 27002:2013, предоставляя дополнительные требования PIMS (см. таблицу 1). Основной целью является совершенствования, существующей СУИБ, термин "информационная безопасность" был заменен термином "информационная безопасность и конфиденциальность".

Таблица 1: Положения ISO/IEC DIS 27701

Положение 5

Специфические требования PIMS в соответствии с ISO/IEC 27001

5.1 Общие положения

Требования «информационной безопасности», указанные в ISO/IEC 27001:2013, должны применяться к защите конфиденциальности, которая потенциально может быть затронута обработкой персональных данных.

  • 5.2 Контекст организации
  • 5.3 Лидерство
  • 5.4 Планирование
  • 5.5 Поддержка
  • 5.6 Операция
  • 5.7 Оценка производительности
  • 5.8 Улучшения

Положение 6

Специфические требования PIMS в соответствии с ISO/IEC 27002

6.1 Общие положения

Требования «информационной безопасности», установленные в ISO/IEC 27002:2013, должны применяться к защите конфиденциальности, которая потенциально может быть затронута обработкой персональных данных.

  • 6.2 Политика информационной безопасности
  • 6.3 Организация информационной безопасности
  • 6.4 Безопасность, связанная с часами
  • 6.5 Управление активами
  • 6.6 Контроль доступа
  • 6.7 Криптография
  • 6.8 Физическая и экологическая безопасность
  • 6.9 Операция «Безопасность»
  • 6.10 Безопасность связи
  • 6.11 Приобретение, разработка и техническое обслуживание систем
  • 6.12 Отношения с поставщиками
  • 6.13 Управление инцидентами в области информационной безопасност
  • 6.14 Аспекты информационной безопасности управления непрерывностью бизнеса
  • 6.15 Соответствие требованиям

Положение 7

Дополнительные инструкции в ISO/IEC 27002 для контроллеров PII

7.1 Общие положения

Инструкции в пункте 6, а также дополнение к текущему пункту создают инструкции PIMS для контроллеров PII. Руководство по внедрению, описанное в этом пункте, касается элементов управления, перечисленных в приложении А.

  • 7.2 Условия сбора и обработки
  • 7.3 Обязательства перед контролерами PII
  • 7.4 Конфиденциальность и конфиденциальность разработки по умолчанию
  • 7.5 Обмен PII, передача и раскрытие информации

Положение 8

Дополнительные инструкции в ISO/IEC 27002 для процессоров PII

8.1 Общие положения

Инструкции в ISO/IEC 27002:2013, а также дополнения в этом разделе создают инструкции PIMS для процессоров PII. Инструкции по осуществлению, задокументированные в разделе 8, касаются элементов управления, перечисленных в приложении B.

  • 8.2 Условия сбора и обработки
  • 8.3 Обязательства перед контроллерами OVS
  • 8.4 Конфиденциальность и конфиденциальность разработки по умолчанию
  • 8.5 Обмен PII, передача и раскрытие информации

В разделе 5 представлены PIMS-специфические требования, связанные с ISO/IEC 27001, которые подходят для организации, которая выступает как контроллер PII, так и процессор PII. Требования раздела 5 являются обязательными; это означает, что организация не может иным образом заявить о соблюдении ISO / IEC 27701.

Однако могут иметь место моменты, когда некоторые элементы контроля, представленные в приложениях А и В, не распространяются на организацию из-за ее уникального характера. В результате они могут быть исключены из реализации PIMS. Как и ISO/IEC 27001, обоснование исключения какого-либо контроля должно быть включено в Заявление о применимости.

Раздел 6 содержит конкретные руководства для PIMS в отношении контроля информационной безопасности в ISO/IEC 27002, которые снова подходят для организации, которая выступает как контроллер PII и процессор PII.

Раздел 7 содержит инструкции PIMS для контроллеров PII, в то время как пункт 8 этого стандарта содержит инструкции PIMS для процессоров PII. И то, и другое организовано и структурировано одинаково.

Дополнения A и B этого стандарта содержат информацию и рекомендации по целевым стандартным параметрам управления PIMS и управлениям для контроллеров и процессоров PII. C, D и E дополнения содержат информацию и инструкции для сравнения этого стандарта с GDPR и другими стандартами ISO/IEC. В приложении F иллюстрируются термины, используемые в этом стандарте, и альтернативные термины, используемые в конкретных юрисдикциях, в то время как в приложении G содержатся руководящие принципы применения ISO/IEC 27701 к ISO/IEC 27001 и ISO/IEC 27002.

Почему ISO /IEC 27701?

Личная информация повсюду, и она растет в геометрической прогрессии. Информация собирается, обрабатывается, хранится и передается ежедневно в различных формах во всех типах организаций.

Организации, участвующие в этом процессе, испытывают конкурентную атмосферу и должны осознавать необходимость признать и взять на себя ответственность и нести ответственность за эффективное управление PII. Таким образом, одной из основных причин, почему организации должны искать ISO / IEC 27701 сертификации является соблюдение GDPR и снижение затрат, когда дело доходит до аудита клиента и поставщика.

ISO/IEC 27701 предоставляет информацию о том, как организации должны управлять и обрабатывать данные для защиты конфиденциальности и идентифицирующих личность информации. Этот стандарт улучшает PIMS и помогает точно получить доступ к PIMS. Структура этого проекта стандарта служит руководством по созданию, внедрению, техническому обслуживанию и совершенствованию системы управления конфиденциальной информацией. Это помогает организациям понять практические подходы, связанные с внедрением эффективного управления ИПИ. Таким образом, соблюдение требований ISO/IEC 27701 может позволить вашей организации оценить, обработать и снизить риски для личной информации.

Принимая во внимание преимущества внедрения SOIB и возросшей потребностью в конфиденциальности в последние годы, внедрение системы PIMS на базе ISO/IEC 27701 должно обеспечить конкурентное преимущество бизнеса и повысить репутацию организаций. Кроме того, это также может повлиять на удовлетворенность клиентов и повысить доверие клиентов к организации. Сертификация соответствия ISO/IEC 27701 может заставить клиентов чувствовать себя уверенно и уверенно, что их личная информация является безопасной и использует основную цель, которую она собрала. Это может повысить прозрачность процессов и процедур организации, тем самым сохраняя честность с клиентами и заинтересованными сторонами организации.

Взаимосвязь между ISO /IEC 27701 и другими стандартами ISO

Семейство стандартов ISO/IEC 27000 посвящено информационной безопасности. Существуют три стандарта требований: ISO/IEC 27001 Системы управления информационной безопасностью - Требования, Требования ISO/IEC 27006 к органам, аудиторским и сертификационным системам управления информационной безопасностью, и ISO/IEC 27009 Специальное приложение ISO/IEC 27001 - Требования. В этом списке ISO/IEC 27001 является единственной организацией, которая может получить сертификацию. Все остальные стандарты являются руководящими принципами, такими как ISO/IEC 27002 Кодекс практики управления информационной безопасностью, ISO/IEC 27005 Управление рисками информационной безопасности или Руководство по кибербезопасности ISO/IEC 27032. Аналогичным образом, организации, желающие получить сертификат ISO/IEC 27701, также должны иметь сертификат ISO/IEC 27001.

ISO/IEC 29100 обеспечивает основу конфиденциальности, применимой к любой системе или службе, требующей обработки персональных данных. Общие принципы конфиденциальности этого стандарта связаны с контролем контроллеров и процессоров, которые идентифицируют персональные данные, и это отражение иллюстрируется в приложении D стандарта ISO / IEC 27701.

ISO/IEC 27018 основан на ISO/IEC 27002 и содержит инструкции о том, как защитить PII в общедоступных облаках, которые выступают в качестве процессоров PII. Его руководящие принципы подходят для организаций, которые выполняют функции контроллеров, охраняющих информацию. ISO/IEC 29151 определяет руководящие принципы на основе ISO/IEC 27002 относительно требований к обработке персональных данных. Этот стандарт применяется к организациям, которые выступают в качестве контроллеров идентификации.

Приложение E иллюстрирует соответствие ISO/IEC 27701 этим стандартам; однако эта связь не означает эквивалентности.

Взаимоотношения между ISO/IEC 27701 и GDPR

Более двадцати лет назад Европейский союз решил, что лучше всего согласовать стандарты защиты данных в своих государствах-членах для облегчения внутренней, трансграничной передачи данных в ЕС. Для этого в 1995 году ЕС принял Директиву о защите данных.

Однако из-за быстрого технического прогресса, глобализации и неспособности предотвратить фрагментацию при осуществлении защиты данных в ЕС Директива о защите данных не оправдала своих ожиданий. Таким образом, ЕС принял решение принять GDPR, цель которого лучше всего описана в следующем предложении, как уписано в заключении 2 самого постановления:

"Это Положение призвано содействовать созданию пространства свободы, безопасности и справедливости и экономического союза, экономическому и социальному прогрессу, укреплению и сближению экономик на внутреннем рынке, а также существованию отдельных лиц".

Благодаря GDPR, ЕС стремится восстановить доверие людей к обработке своих персональных данных и стимулировать цифровую экономику на внутреннем рынке EU.

GDPR делится на две большие части: речи и статьи. В статьях устанавливаются конкретные требования, которые должны быть выполнены субъектами в рамках регулирования. Статьи 5–49 (за исключением статьи 43) связаны с требованиями ISO/IEC 27701, как показано в приложении C к стандарту. Статья 43, органы сертификации GDPR, исключена из соответствующих требований ISO / IEC 27701, так как предназначена исключительно для аккредитации сертификационных органов в соответствии с GDPR.

Соответствие требованиям контроля ISO/IEC 27701 является доказательством того, что требование GDPR было выполнено. Будут случаи, когда многие элементы управления покрывают определенные требования, в то время как другие, когда несколько требований GDPR покрываются одним контролем. Примером может быть отображение элементов управления 6.13.1.1 и 6.13.1.5 OF ISO/IEC 27701 со статьей 33 GDPR. Эти меры контроля содержат рекомендации по управлению инцидентами в области информационной безопасности, в то время как статья 33 содержит требования об уведомлениях контрольного органа о нарушении персональных данных.

Они сочетаются со всеми мерами, за исключением сроков, необходимых для уведомления субъектов данных и регуляторов конфиденциальности, которые, как того требует закон, составляет 72 часа. Этот пример показывает, что соблюдение ISO/IEC 27701 в то же время поможет организации продемонстрировать соответствие требованиям GDPR. В целом стандарт не содержит конкретных подробностей о мерах, которые необходимо принять для выполнения целей контроля и контроля, оставляя решение исполнителю.

Кроме того, как GDPR, так и проект ISO/IEC 27701 используют различную терминологию. GDPR использует термин "личные данные", в то время как ISO/IEC 27701 использует термин "личная идентифицируемая информация". Кроме того, термин GDPR "субъект данных" был заменен термином "первичный личный персонал" в ISO/IEC 27701. Соответственно, термины GDPR "контроллер данных" и "обработчик данных" заменяются терминами "контроллер персональных данных" и "обработчик персональных данных" в ISO/IEC 27701.

Заключение

Четко установленные правила конфиденциальности придадут людям уверенность в выражении своего мнения, фантазии и разногласий, независимо от социальных влияний. Постоянно контролируемое общество – это общество, в котором свобода слова и мысли в корне нарушена.

«Все люди имеют три жизни: государственные, частные и тайные»,- Габриэль Гарсия Маркес

Защита личной информации является одним из основных прав человека. Обработка персональных данных возросла наряду с глобализацией и персонализацией услуг. Следовательно, для управления идентификационной информацией требуются инструкции по безопасности.

ISO/IEC 27701 является отраслевым стандартом, связанным с ISO/IEC 27001 и ISO/IEC 27002. Соблюдение этого стандарта требует доказательств в отношении обработки IPS. Кроме того, эти требования не зависят от размера организации и культурной среды. Сертифицированные организации ISO/IEC 27701 будут иметь более простой способ продемонстрировать соответствие GDPR, тем самым косвенно способствуя будущему, в котором конфиденциальность признается в качестве права человека в цифровой сфере.

Учебный курс и сертификация

PECB создаст учебник по схемам сертификации персонала в соответствии с предстоящим стандартом ISO/IEC 27701. Сертификация физических лиц служит не только свидетельством их профессиональной компетентности, но и тем, что она прошла курс обучения и успешно сдала сертификационный экзамен. Сертификат также подтверждает, что сертифицированный специалист имеет навыки управления нормами и стандартами, касающимися конфиденциальности и защиты данных в портфеле информационной безопасности.

Учебные курсы PECB предлагаются во всем мире через сеть уполномоченных поставщиков учебных программ; они доступны на нескольких языках и включают в себя следующие учебные курсы: Introduction, Foundation, Lead implementer, и Lead Auditor. Зная, что ISO/IEC 27701 является продолжением ISO/IEC 27001 и ISO/IEC 27002, следует отметить, что PECB уже создала программы сертификации ISO/IEC 27001 и ISO/IEC 27002. Учебные курсы ISO/IEC 27001 предоставляют информацию о том, как создавать, внедрять, управлять, поддерживать и проверять систему управления информационной безопасностью (СУИБ), а также учебные курсы ISO/IEC 27002 по внедрению мер информационной безопасностью и управления информационной безопасностью.

Хотя определенный набор учебных курсов или учебных программ не является обязательным в рамках процесса сертификации, завершение признанного учебного курса PECB или учебной программы значительно увеличит шансы на сдачу сертификационного экзамена PECB, поскольку он основан на учебном материале PECB.

Список утвержденных организаций, которые предлагают официальные тренинги PECB можно найти на нашем сайте: www.pecb.com.

Ведущие авторы

Эрик ЛАКАПЕЛ, PECB

Фатон АЛИУ, PECB

Греса МЕКУ, PECB

Эригон КАСТРАТИ, PECB

Участники

Аргита Канхаси, PECB

Анис Шала, PECB

Артан Мустафа, PECB

Джете Спахиу, PECB

Фридхельм Дюстерхефт, msdd.neT GmbH

Ромен Хеннон, Deloitte

Адам Галах, Galach Consulting Group

Адриан Городничану, A.H Training @ Technology Ltd.

Томас Лайонел Сметс, net-security-training.eu

Джерон Ван Дер Влис, Checksec

Хуан Карлос Гарсия, Consultit OÜ

Рой Биакпара, Cryptv Ltd

Уолтер Рокки, Consulthink S.p.A.

Дэвид Блюмпин, david-blampain.com

Яремек Сордиль, PERN Group - Oil TSO

Бадис Хафуф, Lineon

Скачать PDF файл:

iso-iec-27701-THE FUTURE

Источник: https://pecb.com/whitepaper/the-future-of-privacy-with-isoiec-27701


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Менеджмент, керування, KPI Фінанси, кредит, банківська справа