Точный
Статус документа
Статус документа

ГОСТ Р 59407-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

     5.2 Этапы жизненного цикла персональных данных при обработке

5.2.1 Сбор

Многие организации осуществляют сбор информации у субъектов ПДн. Осуществляя сбор персональных данных, организации должны учитывать предпочтительные способы защиты и законные права субъектов ПДн, а также требования обеспечения безопасности ПДн, установленные в [1]. На всех этапах обработки необходимо учитывать такие факторы, как тип ПДн, наличие согласия на обработку и необходимые способы защиты ПДн. Сбор ПДн следует осуществлять только в том случае, если он необходим для достижения заявленных целей.

С ПДн должна быть связана соответствующая документация. Примеры документации включают в себя (но не ограничиваются этим):

- программные теги, формулирующие цель(и), для которой(ых) могут использоваться ПДн;

- записи, описывающие цель(и), для которой(ых) могут использоваться ПДн;

- записи о данном субъектами ПДн согласии на обработку и о любых конкретных свойствах, которые необходимо отслеживать (например, специальные категории ПДн следует шифровать или удалять по истечении определенного периода времени).

Процессы сбора ПДн должны быть спроектированы таким образом, чтобы осуществлялся сбор только тех ПДн, которые необходимы для соответствующей транзакции. Организациям следует принимать меры для сведения к минимуму случайного/непреднамеренного сбора ПДн через системы ввода данных (например, формы веб-приложений, позволяющие вводить любую информацию). Ввод произвольных ПДн должен быть сведен к минимуму посредством использования полей ввода, учитывающих конкретные условия отображения, уменьшающего или устраняющего области в веб-форме, куда можно вводить такую информацию (например, удаляя ненужные кнопки-флажки и поля для свободного текста). Кроме того, следует рассмотреть вопрос использования полей с заранее определенными элементами (например, окна списка и "выпадающие" списки), содержащими не относящиеся к ПДн опции. Если необходимы текстовые поля произвольной формы, пользовательский интерфейс должен обеспечивать:

- предупреждения, предостерегающие субъекта ПДн, что он не должен вводить ПДн, кроме тех, что явно запрашиваются и на которые дается согласие на обработку, или тех, что требуются в соответствии с применимым законодательством;

- однозначное указание тех полей, куда должны вводиться ПДн, и того, какие ПДн должны быть введены (например, фамилия, адрес, информация о здоровье);

- однозначное указание тех полей, куда не следует вводить ПДн.

5.2.2 Передача

Передача, распространение или раскрытие ПДн другим лицам означают, что ПДн больше не находятся под единоличным контролем оператора ПДн. Термин "передача" обычно представляет собой термин, используемый для описания распространения ПДн от оператора или обработчика ПДн другим операторам и обработчикам ПДн. Если ПДн передаются от оператора ПДн другому действующему субъекту, передача может называться "раскрытием".

Ответственность и подотчетность за переданные ПДн следует согласовывать и поддерживать каждой стороной, участвующей в обработке ПДн. Такое соглашение должно быть составлено в письменной форме. Кроме того, такие соглашения должны соответствовать положениям [1] в исходном и целевом домене передачи. В соответствующих случаях или когда это требует законодательство, субъект ПДн должен быть уведомлен об осуществлении передачи и проинформирован о содержании и цели передачи. В случае возникновения спора между субъектом ПДн и оператором или обработчиком ПДн должны быть доступны записи соответствующих транзакций передачи ПДн для последующего применения письменных доказательств в разрешении любого подобного спора.

Передачи специальных категорий ПДн следует избегать, если только это:

- не является необходимым для предоставления услуги, которую запрашивает субъект ПДн с его письменного согласия на обработку ПДн;

- не отвечает требованиям для предложения запрашиваемой услуги;

- не регулируется положениями, указанными в [1].

Во время передачи ПДн следует применять соответствующие меры обеспечения безопасности ПДн. В случае передачи ПДн должны передаваться по защищенному каналу или в зашифрованном виде, если передача осуществляется по незащищенному каналу. Если ПДн передаются на физическом носителе информации, они должны быть зашифрованы. Если используется шифрование, ключ шифрования не должен храниться или передаваться вместе с зашифрованными ПДн.

5.2.3 Использование

Использование ПДн означает любую форму обработки ПДн, которая не включает "сбор", "передачу", "хранение", "архивирование" или "уничтожение". Принципы обеспечения безопасности ПДн, а также нормативные правовые акты, например [1], могут ограничивать обработку ПДн, если эта обработка несовместима с первоначально указанными целями. Соответственно ПДн должны обрабатываться только для заявленных целей, для которых осуществлялся их сбор.

Если ПДн требуется обрабатывать для другой цели, не охватываемой действующим законодательством, от субъекта ПДн или его представителя следует получить согласие на обработку. Субъекту ПДн должен быть предоставлен способ связи с оператором ПДн в случае возникновения любых вопросов о каких-либо действиях, которые не ясны субъекту ПДн.

В случаях, когда такая обработка считается необходимой, должно быть получено согласие субъекта ПДн, если иное не разрешено законом. Субъектам ПДн следует представлять четкое уведомление о конкретном использовании ПДн. Кроме того, должны быть применены механизмы защиты, соответствующие использованию ПДн. Механизмы защиты включают в себя использование методов обезличивания перед обработкой, а также применение методов безопасных вычислений во время обработки.

5.2.4 Хранение

Одним из условий хранения ПДн является наличие согласия субъекта ПДн на применение конкретных мер в соответствии с действующим законодательством. В таких случаях ПДн должны храниться только в течение времени, необходимого для достижения конкретной бизнес-цели.

ПДн должны храниться с применением соответствующих мер защиты и механизмов для предотвращения несанкционированного доступа, модификации, уничтожения, удаления или иного несанкционированного использования. Такие меры защиты включают в себя (но не ограничиваются) шифрование и обезличивание.

Архивирование ПДн требует особого внимания. Принципы обеспечения безопасности ПДн определяют, что ПДн следует сохранять только до тех пор, пока это необходимо для выполнения заявленных целей, а затем их следует безопасно уничтожить или обезличить. Однако, если оператору ПДн или обработчику ПДн в соответствии с действующим законодательством требуется сохранение ПДн после истечения срока действия других целей, ПДн должны быть заблокированы (т.е. архивированы и защищены с помощью механизма управления доступом для предотвращения дальнейшего использования). Основные соображения при архивировании ПДн должны заключаться в обеспечении уверенности в наличии соответствующих механизмов защиты ПДн, включая решения по управлению доступом, обеспечивающие доступ к архивированной ПДн только уполномоченным пользователям.

Оператор ПДн должен реализовать меры защиты для уничтожения ПДн в системах хранения по истечении срока действия цели хранения или в случае, когда цель хранения или обработки ПДн больше не являются действительными.

5.2.5 Уничтожение