ГОСТ Р 70289-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ

Особенности обработки различных категорий данных в облачных службах

Information technology. Cloud computing. Features of processing different categories of data in cloud services

ОКС 35.210

Дата введения 2023-03-30

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ), Институтом системного программирования им.В.П.Иванникова РАН (ИСП РАН)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 августа 2022 г. N 780-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ISO/IEC 22624:2020* "Информационные технологии. Облачные вычисления. Таксономия на основе обработки данных для облачных служб" (ISO/IEC 22624:2020 "Information technology - Cloud computing - Taxonomy based data handling for cloud services", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Большинство политик и методов, применяемых для обработки данных в экосистеме облачных вычислений, необходимо определять на основе категорий обрабатываемых данных. Например, информация, позволяющая установить личность, - персональные данные (ПДн), - предъявляет особые требования к управлению данными не только с точки зрения безопасности, но и в отношении механизмов, которые позволяют пользователям облачных сервисов осуществлять контроль над использованием и передачей таких данных. Организационные данные, такие как информация об использовании облачных сервисов и данные телеметрии облачных сервисов, могут использоваться для операционных целей, таких как улучшение качества обслуживания, и соответствовать определенным требованиям к качеству.

Данные контента клиента могут быть связаны с правами на результаты интеллектуальной деятельности и, возможно, требуют соответствующей защиты со стороны поставщика облачных служб (CSP). Некоторые данные могут передаваться из одной юрисдикции в другую. В зависимости от категории данных к передаче и обработке информации предъявляют различные требования, установленные действующими нормативными правовыми документами (международные договоры Российской Федерации, федеральные законы, акты Президента Российской Федерации, акты Правительства Российской Федерации, нормативные правовые акты федеральных органов исполнительной власти, нормативные правовые акты регуляторов), регулирующими передачу и обработку.

Политики и методы передачи и обработки данных целесообразно определять в структурированном и последовательном виде с тем, чтобы стороны, заинтересованные в экосистеме облачных вычислений, могли бы их лучше представлять, оценивать, анализировать и сопоставлять. В [1] представлена исчерпывающая таксономия, определяющая детализированную систему категорий данных, которая может применяться к различным областям политик обработки данных в экосистеме облачных вычислений, таким как трансграничная передача данных, размещение, использование данных, доступ к данным, перенос данных и управление данными, включая управление качеством данных и безопасностью данных, или корпоративное управление данными. Кроме того, в [1] представлены рекомендации по определению политик и методов обработки данных в кодексах поведения.

В настоящем стандарте описывается общий структурированный подход для представления различных политик и методов обработки данных. Важно подчеркнуть, что сами политики и практики выходят за рамки настоящего стандарта. Для того чтобы понять, как использовать [1] при применении политик и анализе их требований, в настоящем стандарте представлен ряд примеров из области обработки данных.

Настоящий стандарт необходимо применять с учетом требований законодательства Российской Федерации, нормативных правовых актов и стандартов Российской Федерации, в том числе в области защиты информации.

     1 Область применения

В настоящем стандарте представлено:

- определение основ структурированного представления связанных с данными политик и практик в области облачных вычислений на основе таксономии данных с учетом [1];

- руководящие принципы по применению таксономии для обработки данных на основе разделения на категории и классификации данных;

- определение политик и практик, связанных с данными, включая, помимо прочего, размещение данных, трансграничную передачу данных, доступ к данным, переносимость данных, использование данных, управление данными, а также корпоративное управление данными;

- описание того, как основы могут быть использованы в кодексах поведения для хранения и передачи данных, включая трансграничную передачу данных, а также удаленный доступ к данным;

- варианты использования для задач обслуживания данных, то есть контроля, доступа и определения местоположения данных в соответствии с категориями данных (см. [1]).

Настоящий стандарт предназначен в первую очередь для поставщиков облачных услуг, потребителей и пользователей облачных служб, а также для всех лиц или организаций, интересы которых включают юридические, политические, технические или другие аспекты управления данными на основе таксономии в облачных услугах.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO/IEC 17788 Информационные технологии. Облачные вычисления. Общие положения и терминология

ГОСТ Р ИСО 13008 Информация и документация. Процессы конверсии и миграции электронных документов

ГОСТ Р ИСО/МЭК 19941-2021 Информационные технологии. Облачные вычисления. Интероперабельность и переносимость

ГОСТ Р ИСО/МЭК 27000 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27017 Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб

ГОСТ Р ИСО/МЭК 38500 Информационные технологии. Стратегическое управление ИТ в организации

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ ISO/IEC 17788, ГОСТ Р ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

_______________

См. также [1].

3.1 кодексы поведения (codes of conduct): Согласованный набор моделей поведения между организациями для улучшения взаимодействия с клиентами и/или партнерами.

3.2

3.3 целостность (integrity): Свойство сохранения правильности и полноты активов.

3.4 доступность (availability): Свойство, определяющее возможность использования объекта авторизованным субъектом по запросу.

3.5

3.6 передача данных (data transfer): Копирование или перемещение данных из одной системы в другую.

3.7 размещение данных (data geolocation): Географическое положение хранения объекта данных.

3.8

3.9 псевдонимизированные данные (pseudonymized data): Данные, для которых все идентификаторы заменены псевдонимами, причем присвоение псевдонимов таково, что обратное преобразование не может быть выполнено разумными усилиями кого-либо, кроме стороны, которая выполнила присвоение псевдонима.

3.10 анонимизированные данные (anonymized data): Данные, полученные в результате обезличивания без возможности обратного действия.

3.11

3.12 обработчик данных (data processor): Лицо, обрабатывающее данные по поручению оператора.

Примечание - Оператор данных определяет цели обработки данных, а обработчик обрабатывает данные исключительно согласно инструкциям оператора.

     4 Сокращения

В настоящем стандарте применены следующие сокращения:

ИИ - искусственный интеллект;

ИТ - информационные технологии;

ПДн - персональные данные;

ПК - персональный компьютер;

ПО - программное обеспечение;

СМИБ - система менеджмента информационной безопасности;

API - программный интерфейс приложения (Application Program Interface);

CSC - потребитель облачной службы (Cloud Service Customer);

CSN - партнер облачной службы (Cloud Service Partner);

CSP - поставщик облачной службы (Cloud Service Provider);

DRM - управление цифровыми правами (Digital Rights Management);

EUII - идентифицирующая информация конечного пользователя (End User Identifiable Information);

HBI - высокое влияние на бизнес (High Business Impact);

IRM - управление информационными правами (Information Rights Management);