ГОСТ Р 53647.6-2012

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Требования к системе менеджмента персональной информации для обеспечения защиты данных

Business continuity management. Specification for a personal information management system for data protection

ОКС 03.100.01

Дата введения 2013-12-01

   Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1421-ст

4 Настоящий стандарт соответствует основным положениям национального стандарта Великобритании BS 10012:2009* "Защита данных. Требования к системе менеджмента персональной информации" ("Data protection - Specification for a personal information management system", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного национального стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Май 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Система менеджмента персональной информации

Применение настоящего стандарта может позволить организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.

Основным законом в этой сфере является Федеральный закон о защите персональных данных N 152 от 27.07.2006 г. [1]. Он реализует положения Конституции РФ и Европейской директивы 95/46/ЕС от 24 октября 1995 года [2] и применяется к "персональным данным", которые определены как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), такая как его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

В настоящем стандарте термин "персональная информация" используется в качестве синонима термину "персональные данные". В качестве синонимов термина "менеджмент персональной информации" часто используют термины "менеджмент персональных данных", "управление персональной информацией", "управление персональными данными". Выбор терминов зависит от потребностей организации и требований ее причастных сторон.

Закон о защите персональных данных регулируется и приводится в исполнение уполномоченным органом по защите прав субъектов персональных данных (далее - уполномоченный орган), ответственным за содействие защите персональной информации. Уполномоченный орган распространяет передовой мировой опыт путем опубликования руководств, правил по правомерным претензиям, предоставляет необходимую информацию физическим лицам и организациям, а также принимает соответствующие меры в случае нарушения закона.

Уполномоченный орган обладает полномочиями по расследованию претензий, проведению оценки соответствия обработки информации требованиям [1], выпуску информационных сообщений и уведомлений о принудительном исполнении требований законодательства.

0.2 Принципы защиты персональной информации

В соответствии с мировой практикой операторы, работающие с персональными данными, должны соблюдать восемь принципов защиты персональной информации, согласно которым персональная информация должна:

1-й принцип - быть обработана квалифицированно и с учетом законодательных и обязательных требований;

2-й принцип - быть собрана только для определенных целей и обработана только в соответствии с этими целями;

3-й принцип - быть адекватной, соответствующей целям и не избыточной;

4-й принцип - быть достоверной и актуальной;

5-й принцип - не должна храниться больше установленного срока;

6-й принцип - быть обработана с соблюдением законных прав физических лиц, включая право на получение доступа к личной информации;

7-й принцип - быть защищена;

8-й принцип - не должна передаваться в страны, находящиеся за пределами РФ, без обеспечения надлежащей защиты.

Из данных принципов защиты данных могут быть сделаны исключения. Большая часть таких исключений составляет следующие категории:

- исключения из принципа неразглашения;

- исключения из положений о предоставлении информации субъекту персональных данных;

- исключения, относящиеся к обработке информации в исторических и (или) исследовательских целях;

- прочие исключения, например, конфиденциальные ссылки и экзаменационные работы.

Дополнительная информация приведена в [1], инструкциях уполномоченного органа и в прочих руководствах и рекомендациях.

0.3 Уведомление

С целью обеспечения открытости в соответствие с [1] организация должна уведомлять уполномоченный орган об обработке персональной информации, за исключением случаев применения исключений в отношении уведомлений.

     1 Область применения

Настоящий стандарт устанавливает требования к системе менеджмента персональной информации (СМПИ), направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.

Примечание - Ко всем процессам СМПИ применяется цикл PDCA (планирование-осуществление-проверка-действие) (см. приложение А).

Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов СМПИ организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту.

     2 Термины, определения и обозначения

2.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1.1 аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

[ГОСТ Р ИСО 9000-2008]

Примечание - Внутренние аудиты, иногда называемые аудиты первой стороной, проводятся обычно самой организацией или от ее имени для внутренних целей и могут служить основанием для декларации о соответствии.

2.1.2 физическое лицо (individual): Лицо, являющееся субъектом персональных данных.

2.1.3 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.

[ГОСТ Р ИСО 9000-2008]

2.1.4 несоответствие (nonconformity): Невыполнение требования.

[ГОСТ Р ИСО 9000-2008, ГОСТ Р ИСО 14001-2007]

2.1.5 организация (organization): Группа работников и необходимых средств с указанием распределения ответственности, полномочий и взаимоотношений.

Примеры - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие торговли, ассоциация, а также их подразделения или комбинации из них.

2.1.6 персональная информация (personal information): Информация, относящаяся к определенному физическому лицу, по которой его можно идентифицировать.

2.1.7 политика менеджмента персональной информации (personal information management policy): Официально оформленное и утвержденное высшим руководством заявление об общих намерениях и направлении развития организации в области защиты персональной информации, в том числе соответствии законодательным и обязательным требованиям и передовому опыту.

2.1.8 система менеджмента персональной информации, СМПИ (personal information management system, PIMS): Часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации.

2.1.9 процедура (procedure): Установленный способ осуществления деятельности или процесса, которые могут быть документированными и недокументированными.

2.1.10 процесс (process): Набор действий, направленных на достижение результата.

2.1.11 обработка (processing): Получение, запись, хранение и иные виды операций с персональной информацией.

Примечание - В понятие "обработка" входит сбор, организация, адаптация, изменение, раскрытие, обмен, распространение, согласование, объединение, блокирование, удаление и уничтожение персональной информации.

2.1.12 персональная информация особой ответственности (sensitive personal information): Персональная информация о:

a) национальности или отношении к этнической группе;

b) политических взглядах;

c) вероисповедании;

d) членстве в профсоюзе;

e) физическом или психическом здоровье или состоянии;

f) сексуальной ориентации;

g) правонарушениях, включая судебные разбирательства, прекращение судебного разбирательства, приговоры суда, вынесенные в ходе судебного разбирательства за правонарушение, совершенных или предполагаемых.

2.1.13 система (system): Совокупность взаимосвязанных и взаимодействующих элементов.

[ГОСТ Р ИСО 9000-2008]

2.1.14 работники (workers): Люди, работающие в организации и на нее.

Примечание - К работникам, работающим на организацию, могут быть отнесены постоянный и временный персонал организации, подрядчики, добровольцы и консультанты.

2.2 Сокращения

_______________

PDCA - Plan-Do-Check-Act.

PIMS - Personal Information management system.

     3 Планирование СМПИ