ГОСТ ISO/IEC 29100-2021
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Основы защиты персональных данных
Information technology. Security techniques. Privacy protection fundamentals
МКС 35.030
Дата введения 2021-11-30
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 | Код страны по МК (ИСО 3166) 004-97 | Сокращенное наименование национального органа по стандартизации |
Армения | АМ | ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь | ВY | Госстандарт Республики Беларусь |
Киргизия | КG | Кыргызстандарт |
Россия | RU | Росстандарт |
Узбекистан | UZ | Узстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июня 2021 г. N 610-ст межгосударственный стандарт ISO/IEC 29100-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.
5 Настоящий стандарт идентичен международному стандарту ISO/IEC 29100:2011* "Информационные технологии. Методы и средства обеспечения безопасности. Основы приватности" ("Information technology - Security techniques - Privacy framework", IDT), включая изменения Amd.1:2018.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Изменения к указанному международному стандарту, принятые после его официальной публикации, внесены в текст настоящего стандарта и выделены двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста (в примечании к тексту).
ISO/IEC 29100:2011 разработан подкомитетом SC 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ 1.5 (подраздел 3.6).
Дополнительные сноски в тексте стандарта, выделенные курсивом*, приведены для пояснения текста оригинала
________________
* В оригинале обозначения и номера стандартов и нормативных документов приводятся обычным шрифтом. - Примечание изготовителя базы данных.
6 ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"
Введение
Настоящий стандарт предоставляет высокоуровневые основы обеспечения безопасности персональных данных (ПДн) в информационных системах персональных данных. Стандарт является общим по своему характеру, определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения безопасности персональных данных.
Общие принципы обеспечения безопасности ПДн предназначены для содействия организациям в определении требований к мерам защиты ПДн в информационных системах персональных данных посредством:
- продвижения общей терминологии, связанной с обеспечением безопасности ПДн;
- определения субъектов и их ролей при обработке ПДн;
- описания требований к мерам обеспечения безопасности ПДн;
- использования ссылок на известные основы обеспечения безопасности ПДн.
В некоторых странах положения настоящего стандарта, связанные с мерами защиты ПДн, могут расцениваться как уточнение и дополнение к законодательным требованиям обеспечения безопасности ПДн. Из-за растущего числа информационно-коммуникационных технологий (ИКТ), которые обрабатывают ПДн, важно применять стандарты по информационной безопасности, которые обеспечивают общее понимание защиты ПДн. Настоящий стандарт предназначен для улучшения существующих стандартов безопасности за счет акцентирования внимания на обработке персональных данных.
_______________
Настоящий стандарт необходимо применять с учетом требований национальных нормативных правовых актов и стандартов в области защиты информации стран Содружества Независимых Государств.
Увеличение коммерческого использования и ценности ПДн, совместного применения ПДн разными странами, а также растущая сложность информационных систем персональных данных могут затруднить для организации обеспечение безопасности ПДн и соответствие нормативным правовым актам. Лица, заинтересованные в обеспечении безопасности ПДн, могут предотвратить возникновение неуверенности и недоверия посредством надлежащего обращения с ПДн, а также избегая случаев нарушения типовых правил обработки ПДн.
Использование настоящего стандарта призвано:
- содействовать проектированию, реализации, эксплуатации и поддержке систем, которые обрабатывают ПДн при условии обеспечения их защиты;
- стимулировать инновационные решения, позволяющие обеспечивать безопасность ПДн в информационных системах персональных данных;
- совершенствовать корпоративные программы обеспечения безопасности ПДн благодаря использованию лучших практических приемов.
Основы обеспечения безопасности ПДн, представленные в настоящем стандарте, могут служить базой для дополнительных инициатив по стандартизации безопасности ПДн, таких как:
- применение базовой технической архитектуры;
- реализация и использование конкретных технологий обеспечения безопасности ПДн и общего управления защитой ПДн;
- применение мер обеспечения безопасности ПДн для процессов обработки данных в рамках аутсорсинга;
- оценка рисков нарушения безопасности ПДн;
- использование определенных технических спецификаций.
Некоторые страны могут потребовать соответствия с одним или несколькими нормативными документами, на которые имеются ссылки в постоянно действующем документе ISO/IEC JTC 1/SC 27 WG 5 "Standing Document 2 (WG 5 SD2) - Official Privacy Documents References" ("Библиографический список официальных документов по защите ПДн") [3], или с другими соответствующими законами и нормативными документами, но использование настоящего стандарта в качестве основы для разработки глобальной стратегии или законодательных основ не предусматривается (Изменение Amd.1:2018). |
1 Область применения
В настоящем стандарте представлены основы обеспечения безопасности персональных данных (ПДн), которые:
- устанавливают общую терминологию в области безопасности ПДн;
- определяют субъектов и их роли в обработке ПДн;
- описывают концепции безопасности ПДн;
- предоставляют ссылки на методы обеспечения безопасности ПДн.
Настоящий стандарт предназначен для физических лиц и организаций, вовлеченных в определение особенностей, приобретение, моделирование, проектирование, создание, тестирование, обслуживание, управление и функционирование систем ИКТ или услуг, для которых при обработке ПДн требуются меры обеспечения безопасности ПДн.
2 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
Примечание - В целях упрощения использования семейства стандартов ISO/IEC 27000 в специфическом контексте безопасности ПДн и интеграции понятий безопасности ПДн в контексте ISO/IEC 27000 в таблице, приведенной в приложении А, представлены понятия по ISO/IEC 27000, соответствующие понятиям, используемым в настоящем стандарте.
2.1 анонимность (anonymity): Свойство информации, не позволяющее прямо или косвенно определить субъекта ПДн.
2.2 обезличивание (anonymization): Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
2.3 обезличенные данные (anonymized data): Данные, которые были получены в результате процесса обезличивания ПДн.
2.4 согласие (consent): Добровольное, конкретное и осознанное разрешение, данное субъектом ПДн на обработку его ПДн.
2.5 идентифицируемость (identifiability): Условие, результатом которого является прямая или косвенная идентификация субъекта ПДн на основе данного набора ПДн.
2.6 [Исключен] (Изменение Amd.1:2018). 2.7 [Исключен] (Изменение Amd.1:2018). |
2.8 согласие на обработку (opt-in): Процесс или тип политики, посредством которой субъект ПДн обязан предпринять действие, чтобы выразить определенное, ясное и заблаговременное согласие на обработку его ПДн для конкретной цели.
Примечание - Другим термином, часто используемым в отношении защиты ПДн в рамках принципа "согласие и выбор", является термин "запрет на обработку". С его помощью описывается процесс или тип политики, посредством которой субъект ПДн обязан предпринять отдельное действие, чтобы отказать или отозвать согласие либо воспрепятствовать осуществлению определенного вида обработки его ПДн. Использование политики отказа от обработки предполагает, что оператор ПДн обладает правом обработки ПДн назначенным образом. Под этим правом может подразумеваться некое действие субъекта ПДн, отличающееся от согласия (например, размещение заказа в онлайн-магазине).
2.9 персональные данные (personally identifiable information, ПДн): (a) Любая информация, с помощью которой может быть установлена связь между этой информацией и личностью (физическим лицом) того, к кому относится эта информация; (b) информация, которая прямо или косвенно может быть отнесена к определяемому физическому лицу. Примечание - Для того чтобы определить, является ли субъект ПДн (2.11) идентифицируемым, следует учесть все средства, которые могут быть корректно использованы лицом, заинтересованным в обеспечении безопасности ПДн, владеющим данными, или любой другой стороной для идентификации этого физического лица. (Изменение Amd.1:2018.) |
2.10 оператор ПДн (Pll controller): Государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, определяющие цели и состав подлежащих обработке ПДн, а также действия (операции), совершаемые с ПДн.
Примечание - Оператор ПДн может давать указания другим (например, третьей стороне) по обработке ПДн от своего лица, в то время как ответственность за обработку остается за оператором ПДн.
2.11 субъект ПДн (PII principal): Физическое лицо, к которому относятся ПДн.
Примечание - В зависимости от страны и конкретного закона в области защиты данных и обеспечения защиты ПДн вместо термина "субъект ПДн" может быть использован синоним "субъект данных".
2.12 обработчик ПДн (PII processor): Лицо, заинтересованное в обеспечении защиты ПДн, которое обрабатывает ПДн от имени и в соответствии с инструкциями оператора ПДн.
2.13 нарушение безопасности ПДн (privacy breach): Ситуация, когда ПДн обрабатываются в нарушение одного или более соответствующих требований обеспечения безопасности ПДн.
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно