Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 29100-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы обеспечения приватности

     2 Термины и определения

Для целей данного документа применяются следующие термины и определения:

Примечание - В целях упрощения использования семейства международных стандартов ИСО/МЭК 27000 в специфическом контексте приватности и интеграции понятий приватности в контексте ИСО/МЭК 27000, в таблице, приведенной в Приложении А, представлены понятия ИСО/МЭК 27000, соответствующие понятиям ИСО/МЭК 29100, используемым в настоящем стандарте.

2.1 анонимность (anonymity): Свойство информации, не позволяющее прямо или косвенно определить обладателя ПИИ.

2.2 обезличивание (anonymization): Процесс, посредством которого ПИИ изменяется так, что обладатель ПИИ не может быть опознан прямо или косвенно ни самим оператором ПИИ, ни в сотрудничестве с любой другой стороной.

2.3 обезличенные данные (anonymized data): Данные, которые были получены в результате процесса обезличивания ПИИ.

2.4 согласие (consent): Добровольное, конкретное и осознанное разрешение, данное обладателем ПИИ на обработку его ПИИ.

2.5 идентифицируемость (identifiability): Условие, результатом которого является прямая или косвенная идентификация обладателя ПИИ на основе данного набора ПИИ.

2.6 идентифицировать (identify): Устанавливать связь между обладателем ПИИ и ПИИ или набором ПИИ.

2.7 идентификационные данные (identity data): Набор атрибутов, которые позволяют идентифицировать обладателя ПИИ.

2.8 согласие на обработку (opt-in): Процесс или тип политики, посредством которой обладатель ПИИ обязан предпринять действие, чтобы выразить определенное, ясное и заблаговременное согласие на обработку его ПИИ для конкретной цели.

Примечание - Другим термином, часто используемым в отношении принципа приватности "согласие и выбор", является термин "запрет на обработку". С его помощью описывается процесс или тип политики, посредством которой обладатель ПИИ обязан предпринять отдельное действие, чтобы отказать или отозвать согласие либо воспрепятствовать осуществлению определенного вида обработки его ПИИ. Использование политики отказа от обработки предполагает, что оператор ПИИ обладает правом обработки ПИИ назначенным образом. Под этим правом может подразумеваться некое действие обладателя ПИИ, отличающееся от согласия (Например, размещение заказа в онлайновом магазине).

2.9 персональная идентификационная информация; ПИИ (personally identifiable information, PII): Любая информация: (a) которая может использоваться для идентификации обладателя ПИИ, которому такая информация принадлежит; (b) которая прямо или косвенно уже связана или может быть связана с обладателем ПИИ.

Примечание - Для того чтобы определить, является ли обладатель ПИИ идентифицируемым, следует учесть все средства, которые могут быть корректно использованы лицом, заинтересованным в обеспечении приватности, владеющим данными, или любой другой стороной для идентификации этого физического лица.

2.10 оператор ПИИ (PII controller): Лицо, заинтересованное в обеспечении приватности (или лица, заинтересованные в обеспечении приватности), которое определяет цели и способы обработки ПИИ, в отличие от физических лиц, использующих данные в личных целях.

Примечание - Оператор ПИИ может давать указания другим (например, третьей стороне) по обработке ПИИ от своего лица, в то время как ответственность за обработку остается на операторе ПИИ.

2.11 обладатель ПИИ (Pll principal): Физическое лицо, к которому относится ПИИ.

Примечание - В зависимости от страны и конкретного закона в области защиты данных и обеспечения приватности синоним "субъект данных" может быть также использован вместо термина "обладатель ПИИ".

2.12 обработчик ПИИ (Pll processor): Лицо, заинтересованное в обеспечении приватности, которое обрабатывает ПИИ от имени и в соответствии с инструкциями оператора ПИИ.

2.13 нарушение приватности (privacy breach): Ситуация, когда ПИИ обрабатывается в нарушение одного или более соответствующих требований защиты приватности.

2.14 меры и средства контроля и управления приватностью (privacy controls): Меры, которые обрабатывают риски путем снижения их вероятности или их последствий.

Примечания

1 Меры и средства контроля и управления приватностью включают организационные, физические и технические меры, например, политики, процедуры, рекомендации, законные контракты, практики менеджмента или организационные структуры.

2 Мера и средство контроля и управления приватностью также применяется как синоним защитных мер или контрмер.

2.15 технология, улучшающая обеспечение приватности (privacy enhancing technology, PET): Мера и средство контроля и управления приватностью, состоящая из мер, продуктов или сервисов системы ИКТ, которые обеспечивают защиту приватности путем уничтожения или сокращения объема ПИИ или предотвращения ненужной и (или) нежелательной обработки ПИИ без потери функциональности системы ИКТ.

Примечания

1 Примерами использования технологии, улучшающей обеспечение приватности, являются средства обезличивания и псевдонимизации, которые устраняют, уменьшают, маскируют или обезличивают ПИИ либо предотвращают ненужную, несанкционированную и (или) нежелательную обработку ПИИ, но не ограничиваются ими.

2 Маскирование является процессом, результатом которого является затруднение понимания ПИИ.

2.16 политика приватности (privacy policy): Общее намерение и направление деятельности, правила и обязательства, формально выраженные оператором ПИИ, касающиеся обработки ПИИ в определенной области.