Стандарт ISO 29100

ISO готовит к выпуску стандарт ISO 29100 "Information technology -- Security techniques -- Privacy framework". Мне довелось увидеть его проект и поэтому хочу поделиться впечатлениями. Цель стандарта проста - определить высокоуровневую архитектуру обеспечения privacy, в т.ч. и защиты персональных данных, с точки зрения технических, организационных и процедурных аспектов. Задачи, заложенные в стандарт тоже понятны: помочь операторам ПДн в разработке, внедрении, управлении и поддержке ИСПДнснизить барьеры для электронной коммерцииактивно использовать инновации при обработке ПДн в ИСПДндать компаниям понимание лучших практик в части защиты ПДн. Стандарт разбит на 4 части: предпосылки обработки ПДн (отсылки на подходы APEC и ОЭСР) требования к обработке ПДнпринципы обработки ПДн (их 11) защитные меры ПДн. Последние делятся на 7 ключевых направлений: политикиинвентаризация и классификацияпроцедуры и защитные мерыкорпоративное управлениесоответствиедокументацияобучение и повышение осведомленности.Немало внимания уделяется различным технологиям защиты и защищенной обработки ПДн на различных этапах их жизненного цикла. Говорится также и о обезличивании ПДн. В целом стандарт очень неплох - постараюсь взять из него ключевые идеи для отечественных требований/рекомендаций по обработке и безопасности ПДн.