ГОСТ Р ИСО/МЭК 27018-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

Приложение А
(обязательное)

Расширенный набор мер обеспечения информационной безопасности обработчика персональных данных публичного облака для защиты персональных данных

А.1 Основные положения

Данное приложение определяет новые меры обеспечения информационной безопасности (ИБ) и соответствующие рекомендации по их реализации, которые в сочетании с расширенными мерами обеспечения ИБ и рекомендациями из ИСО/МЭК 27002 (см. разделы 5-18) составляют расширенный набор мер обеспечения ИБ, удовлетворяющий требованиям по защите ПДн, применяемым к поставщикам публичного облака, выступающим в качестве обработчиков ПДн.

Такие дополнительные меры обеспечения ИБ классифицируются согласно одиннадцати принципам обеспечения приватности, приведенным в ИСО/МЭК 29100. Во многих случаях меры обеспечения ИБ могут классифицироваться по более чем одному из правил конфиденциальности. В таких случаях они классифицируются по самому подходящему правилу.

А.2 Согласие и возможность выбора

А.2.1 Обязательство сотрудничества в отношении прав субъектов персональных данных

Мера обеспечения информационной безопасности

Обработчик ПДн публичного облака должен предоставить потребителю служб облачных вычислений средства, позволяющие ему выполнять свои обязательства по содействию субъектам ПДн в получении ими прав доступа, коррекции и/или уничтожения ПДн, имеющих отношение к ним.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В этом отношении обязательства оператора ПДн могут быть определены законами, нормами или договором. Такие обязательства могут включать вопросы использования потребителем служб облачных вычислений служб обработчика ПДн публичного облака для реализации. Например, это может включать своевременную коррекцию или удаление ПДн.

Если в отношении информации или технических мер, упрощающих осуществление прав субъектом ПДн, оператор ПДн зависит от обработчика ПДн публичного облака, в договоре должны быть определены соответствующая информация или технические меры.

А.3 Законность и декларация целей обработки персональных данных

А.3.1 Цель обработчика персональных данных публичного облака

Мера обеспечения информационной безопасности

ПДн, которые обрабатываются в соответствии с договором, не должны обрабатываться в каких-либо других целях, не предусмотренных предписаниями потребителя служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В договоре между обработчиком ПДн публичного облака и потребителем служб облачных вычислений могут содержаться предписания, включая, например, цели и сроки, которые должны быть достигнуты при использовании служб.

При достижении целей потребителя служб облачных вычислений могут существовать технические причины, почему для обработчика ПДн публичного облака нужно определить метод обработки ПДн, соответствующий общим, но не специальным, предписаниям потребителя служб облачных вычислений. Например, для эффективного использования сети или обрабатывающих мощностей может быть необходимо выделить определенные ресурсы для обработки в зависимости от конкретных характеристик субъекта ПДн. В случае если определенный обработчиком ПДн публичного облака метод обработки включает сбор и использование ПДн, то обработчик ПДн публичного облака должен придерживаться соответствующих правил конфиденциальности, сформулированных в ИСО/МЭК 29100.

Обработчик ПДн публичного облака должен предоставить потребителю служб облачных вычислений всю необходимую информацию своевременно, что позволит потребителю служб облачных вычислений гарантировать соответствие обработчика ПДн публичного облака определенным целям и принципам ограничений и гарантировать, что никакие ПДн не обрабатываются обработчиком ПДн публичного облака или любым из его субподрядчиков для иных целей, не предусмотренных предписаниями потребителя служб облачных вычислений.

А.3.2 Коммерческое использование персональных данных обработчиком персональных данных публичного облака

Мера обеспечения информационной безопасности

ПДн, обрабатываемые в соответствии с договором, не должны использоваться обработчиком ПДн публичного облака в целях маркетинга и рекламы без явно выраженного на это согласия. Такое согласие не должно быть условием получения услуги.

Примечание - Эта мера обеспечения ИБ является дополнением к более общей мере и средству контроля и управления в соответствии с А.3.1 и не заменяет или отменяет ее.

А.4 Ограничение на сбор информации

Никакие дополнительные меры обеспечения ИБ не соответствуют данному правилу конфиденциальности.

А.5 Минимизация данных

А.5.1 Безопасное стирание временных файлов