ГОСТ Р ИСО/МЭК 27018-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 17788 и ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.
С целью использования в стандартах ИСО и МЭК поддерживают терминологические базы данных:
- платформа ИСО для онлайн-просмотра: доступна по адресу http://www.iso.org/obp
- МЭК Электропедия (IEC Electropedia): доступна по адресу http://www.electropedia.org/
3.1
компрометация данных (data breach): Нарушение безопасности, которое приводит к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к защищаемым данным, передаваемым, хранимым или иным образом обрабатываемым. [ИСО/МЭК 27040:2015, статья 3.7] |
3.2
персональные данные (ПДн) (personally identifiable information, PII): Любая информация, которая (a) может быть использована для идентификации субъекта ПДн, к которому она относится, или (b) прямо или косвенно может быть связана с ним. Примечания 1 Под термином "физическое лицо" в данном определении подразумевается "субъект ПДн" (3.4). Чтобы определить, является ли субъект ПДн идентифицируемым, необходимо рассмотреть/оценить все разумные возможности, которые могут быть использованы стороной, хранящей данные, или любой другой стороной, чтобы установить связь между набором ПДн и физическим лицом. 2 Данное определение введено для понимания термина ПДн, используемого в документе. Обработчик ПДн публичного облака (3.5) зачастую не в состоянии самостоятельно определить, к какой категории может относиться обрабатываемая им информация, если это не раскроет потребитель облачных служб. [ИСО/МЭК 29100:2011, статья 2.9, измененная - к определению было добавлено примечание 2] |
3.3
оператор ПДн (PII controller): Сторона (или стороны), которая определяет цели и средства обработки персональных данных (ПДн) (3.2), кроме физических лиц, использующих ПДн в личных целях. Примечание - Оператор ПДн может поручать обработку ПДн другим сторонам [например, обработчикам ПДн (3.5)], при этом ответственность за использование персональных данных в целом остается за оператором ПДн. [ИСО/МЭК 29100:2011, статья 2.10] |
3.4
субъект ПДн (PII principal): Физическое лицо, к которому относятся персональные данные (ПДн) (3.2). Примечание - В зависимости от юрисдикции и особенностей законодательства в области защиты ПДн вместо термина "субъект ПДн" может также использоваться его синоним "субъект данных". [ИСО/МЭК 29100:2011, статья 2.11] |
3.5
обработчик ПДн (PII processor): Сторона, отвечающая за обработку персональных данных (ПДн) (3.2) от лица оператора (3.3) ПДн в соответствии с его предписаниями. [ИСО/МЭК 29100:2011, статья 2.12] |
3.6
обработка ПДн (processing of PII): Действие или набор действий, выполняемые с персональными данными (ПДн) (3.2). Примечание - Примеры операций включают в себя (но не ограничиваются этим) сбор, хранение, изменение, восстановление, опрос, разглашение, обезличивание, псевдонимизацию, распространение или иное предоставление, удаление или уничтожение ПДн. [ИСО/МЭК 29100:2011, статья 2.23] |