ГОСТ Р ИСО/МЭК 27038-2016
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Требования и методы электронного цензурирования
Information technologies. Security techniques. Specification for digital redaction
ОКС 37.080:25.040.40
Дата введения 2017-07-01
Предисловие
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЭОС Тех" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 459 "Информационная поддержка жизненного цикла изделий"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 июля 2016 г. N 803-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27038:2014* "Информационные технологии. Методы обеспечения безопасности. Требования и методы электронного цензурирования" (ISO/IEC 27038:2014 "Information technology - Security techniques - Specification for digital redaction", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Вступление
Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) и Международная эпектротехническая комиссия МЭК (International Electrotechnical Commission, IEC) вместе образуют специализированную систему всемирной стандартизации. Национальные органы по стандартизации, являющиеся членами ИСО или МЭК, принимают участие в разработке международных стандартов через Технические комитеты, созданные соответствующей организацией для рассмотрения вопросов, касающихся конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Другие международные правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в этой работе. В области информационных технологий ИСО и МЭК создали Совместный Технический комитет ИСО/МЭК СТК 1 (ISO/IEC JTC 1).
Международные стандарты разрабатываются в соответствии с правилами, установленными в части 2 Директив ИСО/МЭК.
Основной задачей Совместного Технического комитета является подготовка международных стандартов. Одобренные Совместным Техническим комитетом проекты стандартов рассылаются национальным органам на голосование. Для публикации в качестве международного стандарта проект должен быть одобрен не менее чем 75% национальных органов, принявших участие в голосовании.
Следует иметь в виду, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав.
Стандарт ИСО/МЭК 27038 был подготовлен Техническим Подкомитетом ПК 27 "Методы и средства обеспечения безопасности информационных технологий" Совместного Технического комитета ИСО/МЭК СТК 1 "Информационные технологии" (SC 27 IT Security techniques, ISO/IEC JTC 1 Information technology).
Некоторые документы могут содержать информацию, не подлежащую раскрытию определенным группам лиц или сообществам. В то же время для этих групп лиц или сообществ могут быть раскрыты модифицированные документы, полученные в результате соответствующей обработки исходных документов, которая может включать в себя удаление разделов, абзацев или предложений с указанием, где это уместно, на факт их удаления. Такой процесс называется "цензурированием" документа.
Электронное цензурирование документов является сравнительно новым элементом практики управления документами, с которым связаны специфические проблемы и потенциальные риски. Возможность восстановления удаленной в процессе цензурирования информации должна быть исключена. Следовательно, нужно принять меры, чтобы отцензурированная информация была удалена из электронного документа без возможности ее восстановления (например, она не должна быть просто спрятана внутри неотображаемых элементов документа).
Настоящий международный стандарт описывает методы электронного цензурирования электронных документов.
Процесс цензурирования может также включать в себя удаление метаданных документа или удаление определенной импортированной (вставленной) в документ информации (например, изображения).
Иногда характер информации, удаленной из электронного документа в процессе цензурирования, можно определить по контексту. Например, размер элемента, заменяющего вымаранный фрагмент, может указывать на его длину, что позволяет делать предположения о самой удаленной информации. В настоящем стандарте вводятся два уровня цензурирования:
- базовое цензурирование без учета контекста;
- усиленное цензурирование, когда контекст принимается во внимание.
Методы цензурирования могут использоваться для обезличивания информации в документе, например, путем удаления из текста определенных имен и фамилий. Также может использоваться удаление из текста чисел и номеров и их замена символами-заместителями вроде "XXX".
Настоящий стандарт устанавливает требования к методам, используемым для выполнения электронного цензурирования электронных документов. Настоящий стандарт также устанавливает требования к программным инструментам для цензурирования и к методам тестирования, позволяющим убедиться в том, что электронное цензурирование было выполнено надлежащим образом.
В настоящем стандарте не рассматривается цензурирование информации в базах данных.
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 обезличивание (anonymization): Процесс, посредством которого персональные данные необратимо изменяются таким образом, что субъект персональных данных уже не может быть прямо или косвенно идентифицирован оператором персональных данных, действующим как в одиночку, так и в сотрудничестве с любой другой стороной.
_______________
См. также определение обезличивания персональных данных в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных", пункт 9, статья 3.
[ИСО МЭК 29100:2011, определение 2.2].
2.2 документ (document): Зафиксированная информация, которая может обрабатываться как единое целое.
Примечание - Документы могут содержать текст, изображения, видео- и аудиоконтент, метаданные и иной взаимосвязанный контент.
2.3 персональные данные; ПДн (personally identifiable information, PII): Любая информация, которая:
a) может быть использована для идентификации того субъекта персональных данных, к которому она относится, либо
b) которую возможно прямо или косвенно связать с субъектом персональных данных.
_______________
См. также определение персональных данных в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных", пункт 1, статья 3.1
Примечание - При оценке возможности идентификации субъекта персональных данных необходимо принять во внимание все разумные меры, которые могут быть предприняты заинтересованным лицом - владельцем данных или любой другой стороной для идентификации соответствующего физического лица.
[ИСО МЭК 29100:2011, определение 2.9].
2.4 цензурирование (redaction): Необратимое удаление информации из документа.
2.5 эксперт (reviewer): Лицо (лица), проводящие экспертизу документа на предмет выполнения требований к цензурированию.
Примечание - Экспертизу конкретного документа могут проводить несколько специалистов.
В настоящем стандарте применены следующие сокращения:
ПДн - персональные данные;
PDF (Portable Document Format) - открытый платформенно-независимый формат для описания документов, созданный компанией Adobe и стандартизированный ИСО;
OCR (Optical Character Recognition) - оптическое распознавание символов;