ГОСТ Р 59407-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

     5.1 Общие положения

Сторонами, участвующими в обработке ПДн, являются:

- субъект персональных данных;

- оператор персональных данных;

- обработчик ПДн, которому оператор персональных данных поручает обработку ПДн.

С точки зрения реализации базовая архитектура защиты ПДн разделена на три части. Каждая часть относится к реализованной ИСПДн с точки зрения каждого из участников.

ИСПДн, действующие субъекты и потоки ПДн между этими системами приведены на рисунке 1. Рисунок иллюстрирует логическое разделение функциональных возможностей базовой архитектуры защиты ПДн, описанной в настоящем стандарте. Он не предназначен для представления физической структуры, организации или аппаратных средств систем персональных данных.

Рисунок 1 - Действующие субъекты и их информационные системы персональных данных в соответствии с настоящим стандартом

Действующий субъект может нести или не нести ответственность за создание используемых им ИСПДн. Например, субъект ПДн может использовать систему, созданную и являющуюся ответственностью оператора ПДн, или система субъекта ПДн может быть частью системы оператора ПДн. Кроме того, функциональные возможности системы ПДн субъекта ПДн могут быть распределены по различным системам ПДн, владельцами которых являются субъект ПДн и оператор ПДн. Аналогичным образом оператор ПДн может предоставлять систему обработчику ПДн. Процессы обработки ПДн, в которых применяются ИСПДн, используют широкий спектр методов обмена информацией и моделей доверия. Базовая архитектура, приведенная в настоящем стандарте, основана на обобщении этих моделей.

Если оператор ПДн использует ИСПДн, находящуюся в организации, другие стороны, заинтересованные в обеспечении безопасности ПДн, могут налагать требования на эту систему. Например, система субъекта ПДн должна отвечать минимальным требованиям безопасности, чтобы иметь возможность подключаться к другим системам ПДн. Другие примеры включают в себя использование специальных компонентов обеспечения безопасности, таких как аппаратные устройства аутентификации, определенные версии операционной системы или специальные версии веб-браузера.

Примечания

1 В ИСПДн, например, использующих одноранговые коммуникации (способ связи, модель связи или технология связи, обеспечивающие коммуникации между являющимися равноправными объектами без центральных серверов), каждое приложение может брать на себя роли всех трех перечисленных действующих субъектов. Информация отправляется и принимается каждым равноправным узлом, поэтому каждый равноправный узел может быть оператором ПДн или обработчиком ПДн, которому другая сторона передала роль оператора персональных данных.

2 В приложениях социальных сетей ПДн могут обрабатываться любым пользователем, имеющим доступ к профилям других пользователей. Веб-приложения социальных сетей позволяют всем авторизованным и, возможно, анонимным пользователям сервиса обрабатывать ПДн (являться обработчиком), которые предоставлены подключенными к социальной сети субъектами ПДн.