Точный
Статус документа
Статус документа

ГОСТ Р 59407-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

     6.3 Требования защиты персональных данных


Информационные системы персональных данных должны реализовывать меры защиты как основной элемент на каждом этапе жизненного цикла ПДн. Требования защиты дают возможность разработчику системы реализовать связь между принципами обеспечения безопасности ПДн и компонентами архитектуры, приведенными в разделе 7.

Для реализации эффективных мер защиты в ИСПДн следует разработать схемы потоков, описывающих обработку ПДн. Блок-схемы обработки ПДн являются графическим представлением потока ПДн через ИСПДн и между различными участниками обмена ПДн. Например, если оператор передает ПДн обработчику, блок-схема обработки ПДн должна содержать элемент передачи ПДн.

Блок-схема обработки ПДн может быть представлена в виде таблицы потоков ПДн. В указанной таблице отслеживаются процессы сбора, передачи, использования, хранения или уничтожения ПДн и может указываться такая информация, как тип ПДн, действующий субъект, осуществлявший сбор ПДн, цель обработки, действующий субъект, которому будут переданы ПДн, необходимость получения согласия от субъекта ПДн, период хранения и место, где будут храниться ПДн, а также результирующий уровень риска нарушения безопасности ПДн. Таблица потоков ПДн используется в процессе управления рисками нарушения безопасности ПДн, на ее основе формируются модель угроз и модель нарушителя безопасности ПДн.

После завершения анализа требований разработчикам ИСПДн следует использовать перекрестные ссылки между требованиями защиты ПДН в ИСПДн и перечнем значимых вопросов, рассмотренных в настоящем стандарте. Затем требования защиты следует использовать для выбора компонентов архитектуры защиты ПДн, удовлетворяющих указанным требованиям.

В приложении A содержится примерный перечень значимых вопросов и описание взаимосвязи значимых вопросов с принципами обеспечения безопасности ПДн и компонентами базовой архитектуры защиты ПДн, приведенными в настоящем стандарте.