Národní předmluva
Informace o citovaných dokumentech
ISO Pokyn 73:2009 zaveden v TNI 01 0350:2010 (01 0350)
Management rizik – Slovník (Pokyn 73)
ISO/IEC 27000:2016 zavedena
v ČSN EN ISO/IEC 27000:2017 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Přehled a slovník
ISO/IEC 29100:2011 zavedena v ČSN ISO/IEC 29100:2015 (36 9705)
Informační technologie – Bezpečnostní techniky – Rámec soukromí
Souvisící ČSN
ČSN EN ISO 9000:2016 (01 0300) Systémy
managementu kvality – Základní principy a slovník
ČSN ISO/IEC 16509:2000 (97 9705) Informační
technologie – Terminologie roku 2000
ČSN ISO 21500 (01 0345) Návod k managementu
projektu
ČSN EN ISO/IEC 27001:2014 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN EN ISO/IEC 27002 (36 9798) Informační
technologie – Bezpečnostní techniky – Soubor postupů pro opatření
bezpečnosti informací
ČSN ISO/IEC 29151 (36 9711) Informační
technologie – Bezpečnostní techniky – Soubor postupů na ochranu
osobně identifikovatelných informací
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN ISO 31000 (01 0351) Management
rizik – Principy a směrnice
Vysvětlivky k textu převzaté normy
Pro účely této normy je anglický termín „guidance“ přeložen
jako „pokyny“ vzhledem k jeho používání v oblasti IT a v návaznosti
na vydané normy z oblasti IT, zejména normy řady ISO/IEC 27XXX. Český
ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se v souvislosti
s řadou norem ISO/IEC 27XXX nepoužívá.
Pro účely této normy byly použity následující anglické
termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné
komunitě a/nebo absenci českého ekvivalentu:
cloud, malware, phishing
Pro účely této normy byl použit překlad anglického termínu
„control“ jako „opatření“, „řízení“ nebo „kontrola“ s ohle-
dem na význam v textu normy.
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní
zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb.,
o technických požadavcích na výrobky a o změně a doplnění
některých zákonů, ve znění pozdějších předpisů.
MEZINÁRODNÍ
NORMA
Informační technologie –
Bezpečnostní techniky – ISO/IEC 29134
Směrnice pro posuzování dopadu na soukromí První vydání
2017-06
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Zkrácené termíny............................................................................................................................................................................. 9
5......... Příprava důvodů pro PIA................................................................................................................................................................ 9
5.1...... Výhody provedení PIA.................................................................................................................................................................... 9
5.2...... Cíle podávání zpráv o PIA........................................................................................................................................................... 10
5.3...... Odpovědnost za provedení PIA.................................................................................................................................................. 11
5.4...... Rozsah PIA..................................................................................................................................................................................... 11
6......... Pokyny k procesu provádění PIA................................................................................................................................................ 11
6.1...... Obecně............................................................................................................................................................................................ 11
6.2...... Stanovení, zda je PIA nutné (prahová analýza)...................................................................................................................... 12
6.3...... Příprava PIA.................................................................................................................................................................................... 12
6.3.1... Vytvoření PIA týmu a poskytnutí směřování............................................................................................................................. 12
6.3.2... Příprava plánu PIA a určení potřebných zdrojů
pro provádění PIA..................................................................................... 14
6.3.3... Popis toho, co je hodnoceno....................................................................................................................................................... 14
6.3.4... Zapojení zainteresovaných stran............................................................................................................................................... 15
6.4...... Provedení PIA................................................................................................................................................................................ 17
6.4.1... Identifikace toků PII informací..................................................................................................................................................... 17
6.4.2... Analyzovat důsledky případu použití......................................................................................................................................... 18
6.4.3... Určení příslušných požadavků na ochranu
soukromí............................................................................................................ 18
6.4.4... Posouzení rizika soukromí.......................................................................................................................................................... 19
6.4.5... Příprava na ošetření rizik soukromí........................................................................................................................................... 21
6.5...... Pokračování PIA............................................................................................................................................................................ 25
6.5.1... Příprava zprávy.............................................................................................................................................................................. 25
6.5.2... Zveřejnění zprávy.......................................................................................................................................................................... 26
6.5.3... Implementace plánů ošetření rizika soukromí........................................................................................................................ 26
6.5.4... Přezkoumání a/nebo audit PIA................................................................................................................................................... 26
6.5.5... Reflektování změn procesu......................................................................................................................................................... 27
7......... Zpráva PIA...................................................................................................................................................................................... 27
7.1...... Obecně............................................................................................................................................................................................ 27
Strana
7.2...... Struktura zprávy............................................................................................................................................................................. 28
7.3...... Rozsah PIA..................................................................................................................................................................................... 28
7.3.1... Hodnocený proces........................................................................................................................................................................ 28
7.3.2... Kritéria rizika................................................................................................................................................................................... 29
7.3.3... Zapojené zdroje a osoby............................................................................................................................................................. 29
7.3.4... Konzultace se zainteresovanými stranami.............................................................................................................................. 30
7.4...... Požadavky soukromí.................................................................................................................................................................... 30
7.5...... Posuzování rizik............................................................................................................................................................................. 30
7.5.1... Zdroje rizik...................................................................................................................................................................................... 30
7.5.2... Hrozby a jejich pravděpodobnost.............................................................................................................................................. 30
7.5.3... Následky a jejich úroveň dopadu............................................................................................................................................... 30
7.5.4... Hodnocení rizik.............................................................................................................................................................................. 30
7.5.5... Analýza souladu............................................................................................................................................................................ 30
7.6...... Plán ošetření rizik.......................................................................................................................................................................... 30
7.7...... Závěr a rozhodnutí........................................................................................................................................................................ 30
7.8...... Shrnutí PIA pro veřejnost............................................................................................................................................................. 31
Příloha A (informativní) Měřítko kritérií úrovně
dopadu a pravděpodobnosti................................................................................ 32
Příloha B (informativní) Obecné hrozby................................................................................................................................................ 34
Příloha C (informativní) Pokyny pro pochopení
použitých výrazů................................................................................................... 38
Příloha D (informativní) Ilustrované příklady
podporující proces PIA.............................................................................................. 40
Bibliografie.................................................................................................................................................................................................. 42
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2017, Published in Switzerland
Veškerá
práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této
publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv
způsobem, elektronickým nebo mechanickým, včetně pořizování fotokopií nebo
zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O písemné
svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo členskou
organizaci ISO v zemi žadatele.
ISO
copyright office
CH.
de Blandonnet 8 · CP 401
CH-1214
Vernier, Geneva, Switzerland
Tel.
+ 41 22 749 01 11
Fax + 41
22 749 09 47
copyright@iso.org
www.iso.org
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž
ISO a IEC navázaly pracovní styk. V oblasti informační technologie
zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1.
Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro
různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními
pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv.
ISO nelze činit odpovědným za identifikaci jakéhokoliv nebo všech patentových
práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během
přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo
v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu
specifických termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou
uvedeny na tomto odkazu URL:
www.iso.org/iso/foreword.html.
Tento dokument vypracovala
společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise
SC 27 IT Bezpečnostní techniky.
Posuzování dopadů na soukromí (PIA) je nástroj pro posouzení
možných dopadů na soukromí procesu, informačního systému, programu,
softwarového modulu, zařízení nebo jiné iniciativy, která zpracovává osobně
identifikovatelné informace (PII), a, po
konzultaci se zainteresovanými stranami, pro přijetí opatření, která jsou
nezbytná k ošetření rizik
soukromí. Zpráva PIA může obsahovat dokumentaci o opatřeních přijatých
k ošetření rizik, například opatřeních vyplývajících z používání
systému řízení bezpečnosti informací (ISMS) dle normy ISO/IEC 27001.
PIA je více než nástroj: jedná se o proces, který začíná v nejranějších
fázích iniciativy, kdy stále existují příležitosti ovlivňovat její výsledek, a tím
zajistit soukromí již ve fázi návrhu. Je to proces, který pokračuje až do
zavádění projektu a dokonce i po jeho nasazení.
Iniciativy se podstatně liší v rozsahu a dopadu.
Cíle spadající pod nadpis „soukromí“ budou záviset na kultuře, společenských
očekáváních a jurisdikci. Cílem tohoto dokumentu je poskytnout
škálovatelné pokyny, které lze uplatnit u všech iniciativ. Protože pokyny
specifické pro všechny okolnosti nemohou být normativní, pokyny uvedené v tomto
dokumentu by měly být interpretovány s ohledem na jednotlivé okolnosti.
Správce PII může mít
odpovědnost za provedení PIA a může požádat zpracovatele PII o asistenci
při provádění PIA, aby tak jednal jménem správce PII. Zpracovatel nebo
dodavatel PII mohou také chtít provést vlastní PIA.
Informace dodavatele týkající se PIA jsou zvláště důležité,
pokud jsou digitálně připojená zařízení součástí posuzovaného informačního
systému, aplikace nebo procesu. Může být nezbytné, aby dodavatelé takových
zařízení poskytovali informace o návrhu týkající se soukromí těm, kdo
provádějí PIA. Pokud není poskytovatel digitálních zařízení kvalifikovaný v oblasti
PIA a není v této oblasti provozně zajištěný, například:
– drobný prodejce,
nebo
– malý a střední
podnik (SME) používající digitálně připojená zařízení v průběhu běžných
podnikatelských činností,
pak, aby bylo možné provádět minimální aktivitu PIA, může
být dodavatel zařízení vyzván, aby poskytl velmi mnoho informací o soukromí
a podnikl svoji vlastní PIA s ohledem na očekávaný kontext subjektu
PII/SME pro zařízení, které dodává.
PIA je obvykle prováděna organizací, která bere svou
odpovědnost vážně a přiměřeně zachází s principy PII. V některých
jurisdikcích může být PIA nezbytné ke splnění právních a regulatorních požadavků.
Tento dokument je určen pro použití v případech, kdy
dopad na soukromí týkající se subjektů PII zahrnuje zvážení procesů,
informačních systémů nebo programů, kde:
– odpovědnost za
implementaci a/nebo dodání procesu, informačního systému nebo programu je
sdílena
s jinými organizacemi a mělo by být zajištěno, že každá organizace
bude řádně řešit zjištěná rizika;
– organizace
provádí řízení rizik soukromí jako součást svého celkového úsilí v oblasti
řízení rizik při přípravě na implementaci nebo vylepšení svého ISMS (zavedeného
v souladu s ISO/IEC 27001 nebo rovnocenným systémem řízení);
nebo organizace provádí řízení rizik soukromí jako samostatnou funkci;
– organizace
(například vláda) podniká iniciativu (například program partnerství veřejného a soukromého
sektoru), v němž ještě není známa budoucí organizace správce PII, takže
plán ošetření by se nemohl implementovat přímo, a proto by se měl tento
plán ošetření stát součástí příslušné legislativy, nařízení nebo smlouvy;
– organizace chce
jednat odpovědně vůči subjektům PII.
Opatření, která jsou považována za nezbytná k ošetření
rizik zjištěných během procesu analýzy dopadů na soukromí, mohou být odvozena z vícenásobných
sad opatření, včetně ISO/IEC 27002 (pro opatření bezpečnosti) a ISO/IEC 29151
(pro opatření ochrany PII) nebo srovnatelných národních norem, nebo mohou být
definována osobou odpovědnou za provádění PIA, nezávisle na jakékoli jiné sadě
opatření.
Tento dokument poskytuje směrnice pro
– proces
posuzování dopadů na soukromí, a
– strukturu a obsah
zprávy PIA.
Platí pro všechny typy a velikosti organizací, včetně
veřejných společností, soukromých společností, orgánů státní správy a neziskových
organizací.
Tento dokument je relevantní pro ty, kdo se podílejí na
navrhování nebo realizaci projektů, včetně stran, které provozují systémy
zpracování dat a služby, které zpracovávají PII.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA