ГОСТ ISO/IEC 29100-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы защиты персональных данных.

    ГОСТ ISO/IEC 29100-2021

 МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

 Информационные технологии

 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 Основы защиты персональных данных

 Information technology. Security techniques. Privacy protection fundamentals

МКС 35.030

Дата введения 2021-11-30

 Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены

ГОСТ 1.0  "Межгосударственная система стандартизации. Основные положения" и

ГОСТ 1.2  "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)

За принятие проголосовали:

4

Приказом Федерального агентства по техническому регулированию и метрологии от 2 июня 2021 г. N 610-ст  межгосударственный стандарт ISO/IEC 29100-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.

5 Настоящий стандарт идентичен международному стандарту ISO/IEC 29100:2011* "Информационные технологии. Методы и средства обеспечения безопасности. Основы приватности" ("Information technology - Security techniques - Privacy framework", IDT), включая изменения Amd.1:2018.

Изменения к указанному международному стандарту, принятые после его официальной публикации, внесены в текст настоящего стандарта и выделены двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста (в примечании к тексту).

ISO/IEC 29100:2011 разработан подкомитетом SC 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с

ГОСТ 1.5  (подраздел 3.6).

Дополнительные сноски в тексте стандарта, выделенные курсивом*, приведены для пояснения текста оригинала

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"

 Введение

Настоящий стандарт предоставляет высокоуровневые основы обеспечения безопасности персональных данных (ПДн) в информационных системах персональных данных. Стандарт является общим по своему характеру, определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения безопасности персональных данных.

Общие принципы обеспечения безопасности ПДн предназначены для содействия организациям в определении требований к мерам защиты ПДн в информационных системах персональных данных посредством:

- продвижения общей терминологии, связанной с обеспечением безопасности ПДн;

- определения субъектов и их ролей при обработке ПДн;

- описания требований к мерам обеспечения безопасности ПДн;

- использования ссылок на известные основы обеспечения безопасности ПДн.

В некоторых странах положения настоящего стандарта, связанные с мерами защиты ПДн, могут расцениваться как уточнение и дополнение к законодательным требованиям обеспечения безопасности ПДн

. Из-за растущего числа информационно-коммуникационных технологий (ИКТ), которые обрабатывают ПДн, важно применять стандарты по информационной безопасности, которые обеспечивают общее понимание защиты ПДн. Настоящий стандарт предназначен для улучшения существующих стандартов безопасности за счет акцентирования внимания на обработке персональных данных.

_______________

Настоящий стандарт необходимо применять с учетом требований национальных нормативных правовых актов и стандартов в области защиты информации стран Содружества Независимых Государств.

Увеличение коммерческого использования и ценности ПДн, совместного применения ПДн разными странами, а также растущая сложность информационных систем персональных данных могут затруднить для организации обеспечение безопасности ПДн и соответствие нормативным правовым актам. Лица, заинтересованные в обеспечении безопасности ПДн, могут предотвратить возникновение неуверенности и недоверия посредством надлежащего обращения с ПДн, а также избегая случаев нарушения типовых правил обработки ПДн.

Использование настоящего стандарта призвано:

- содействовать проектированию, реализации, эксплуатации и поддержке систем, которые обрабатывают ПДн при условии обеспечения их защиты;

- стимулировать инновационные решения, позволяющие обеспечивать безопасность ПДн в информационных системах персональных данных;

- совершенствовать корпоративные программы обеспечения безопасности ПДн благодаря использованию лучших практических приемов.

Основы обеспечения безопасности ПДн, представленные в настоящем стандарте, могут служить базой для дополнительных инициатив по стандартизации безопасности ПДн, таких как:

- применение базовой технической архитектуры;

- реализация и использование конкретных технологий обеспечения безопасности ПДн и общего управления защитой ПДн;

- применение мер обеспечения безопасности ПДн для процессов обработки данных в рамках аутсорсинга;

- оценка рисков нарушения безопасности ПДн;

- использование определенных технических спецификаций.

      1 Область применения

В настоящем стандарте представлены основы обеспечения безопасности персональных данных (ПДн), которые:

- устанавливают общую терминологию в области безопасности ПДн;

- определяют субъектов и их роли в обработке ПДн;

- описывают концепции безопасности ПДн;

- предоставляют ссылки на методы обеспечения безопасности ПДн.

Настоящий стандарт предназначен для физических лиц и организаций, вовлеченных в определение особенностей, приобретение, моделирование, проектирование, создание, тестирование, обслуживание, управление и функционирование систем ИКТ или услуг, для которых при обработке ПДн требуются меры обеспечения безопасности ПДн.

      2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

Примечание - В целях упрощения использования семейства стандартов ISO/IEC 27000 в специфическом контексте безопасности ПДн и интеграции понятий безопасности ПДн в контексте ISO/IEC 27000 в таблице, приведенной в приложении А, представлены понятия по ISO/IEC 27000, соответствующие понятиям, используемым в настоящем стандарте.

2.1 анонимность (anonymity): Свойство информации, не позволяющее прямо или косвенно определить субъекта ПДн.

2.2 обезличивание (anonymization): Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

2.3 обезличенные данные (anonymized data): Данные, которые были получены в результате процесса обезличивания ПДн.

2.4 согласие (consent): Добровольное, конкретное и осознанное разрешение, данное субъектом ПДн на обработку его ПДн.

2.5 идентифицируемость (identifiability): Условие, результатом которого является прямая или косвенная идентификация субъекта ПДн на основе данного набора ПДн.

2.8 согласие на обработку (opt-in): Процесс или тип политики, посредством которой субъект ПДн обязан предпринять действие, чтобы выразить определенное, ясное и заблаговременное согласие на обработку его ПДн для конкретной цели.

Примечание - Другим термином, часто используемым в отношении защиты ПДн в рамках принципа "согласие и выбор", является термин "запрет на обработку". С его помощью описывается процесс или тип политики, посредством которой субъект ПДн обязан предпринять отдельное действие, чтобы отказать или отозвать согласие либо воспрепятствовать осуществлению определенного вида обработки его ПДн. Использование политики отказа от обработки предполагает, что оператор ПДн обладает правом обработки ПДн назначенным образом. Под этим правом может подразумеваться некое действие субъекта ПДн, отличающееся от согласия (например, размещение заказа в онлайн-магазине).

2.10 оператор ПДн (Pll controller): Государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, определяющие цели и состав подлежащих обработке ПДн, а также действия (операции), совершаемые с ПДн.

Примечание - Оператор ПДн может давать указания другим (например, третьей стороне) по обработке ПДн от своего лица, в то время как ответственность за обработку остается за оператором ПДн.

2.11 субъект ПДн (PII principal): Физическое лицо, к которому относятся ПДн.

Примечание - В зависимости от страны и конкретного закона в области защиты данных и обеспечения защиты ПДн вместо термина "субъект ПДн" может быть использован синоним "субъект данных".

2.12 обработчик ПДн (PII processor): Лицо, заинтересованное в обеспечении защиты ПДн, которое обрабатывает ПДн от имени и в соответствии с инструкциями оператора ПДн.

2.13 нарушение безопасности ПДн (privacy breach): Ситуация, когда ПДн обрабатываются в нарушение одного или более соответствующих требований обеспечения безопасности ПДн.

2.14 меры обеспечения безопасности ПДн (privacy controls): Меры, которые в соответствии с законодательством принимаются для защиты ПДн.

Примечания

1 Меры обеспечения безопасности ПДн включают в себя организационные, физические и технические меры, например политики, процедуры, рекомендации, законные контракты, практики менеджмента или организационные структуры.

2 Термин "меры обеспечения безопасности ПДн" также применяется как синоним защитных мер или контрмер.

2.15 технология, улучшающая защищенность ПДн (privacy enhancing technology, PET): Меры обеспечения безопасности ПДн, состоящие из мер, продуктов или сервисов информационной системы персональных данных, которые обеспечивают защиту ПДн путем уничтожения или сокращения объема ПДн, или предотвращения ненужной и (или) нежелательной обработки ПДн без потери функциональности информационной системы персональных данных.

Примечания

1 Примерами использования PET являются средства обезличивания и применения псевдонимов, которые устраняют, уменьшают, маскируют или обезличивают ПДн либо предотвращают ненужную, несанкционированную и (или) нежелательную обработку ПДн, но не ограничиваются ими.

2 Маскирование является процессом, в результате которого происходит затруднение понимания ПДн.

2.16 политика обеспечения защиты ПДн (privacy policy): Общее намерение и направление деятельности, правила и обязательства, формально выраженные оператором ПДн, касающиеся обработки ПДн в определенной области.

2.17 предпочтительные способы обеспечения защиты ПДн (privacy preferences): Конкретный выбор, сделанный субъектом ПДн в отношении того, как должны быть обработаны для определенной цели его ПДн.

2.18 принципы обеспечения защиты ПДн (privacy principles): Совокупность утверждений, направленных на управление обеспечением защиты ПДн при их обработке в информационных системах персональных данных.

2.19 риск нарушения безопасности ПДн (privacy risk): Вероятность нарушения безопасности ПДн.

Примечания

1 В ISO Guide 73 и ISO 31000 риск определяется как "влияние неопределенности на цели".

2 Неопределенность - это состояние, даже частичное, отсутствия информации, касающейся понимания или знания о событии, его последствиях или вероятности.

2.21 требования к мерам обеспечения безопасности ПДн (privacy safeguarding requirements): Набор требований, которые организация должна учитывать при обработке ПДн в части обеспечения безопасности ПДн.

2.22 лицо, заинтересованное в обеспечении безопасности ПДн (privacy stakeholder): Физическое или юридическое лицо, орган государственной власти, агентство или какая-либо другая организация, которые могут влиять, подвергаться влиянию или испытывать на себе влияние решения или деятельности, связанной с обработкой ПДн.

2.23 обработка ПДн (processing of PII): Любая операция или совокупность операций, выполняемых в отношении ПДн.

Примечание - Примерами операций являются (но не ограничиваются этим): любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

2.24 применение псевдонима (pseudonymization): Процесс, относящийся к ПДн, который заменяет идентификационную информацию псевдонимом.

Примечания

1 Замена идентификационной информации субъекта псевдонимом может выполняться либо самими субъектами ПДн, либо операторами ПДн. Такая замена может быть использована субъектами ПДн для последовательного применения ресурса или сервиса без раскрытия своей идентификационной информации в отношении данного ресурса или сервиса (или между сервисами), при этом они несут ответственность за это использование.

2 Замена идентификационной информации субъекта псевдонимом не исключает возможность существования ограниченного числа лиц, заинтересованных в обеспечении защиты ПДн, не являющихся операторами ПДн псевдонимных данных, но способных определять идентификационную информацию о субъектах ПДн, основываясь на псевдонимах и связанных с ними данных.

2.25 вторичное использование (secondary use): Обработка ПДн в условиях, отличающихся от начальных условий.

Примечание - Условия, отличающиеся от начальных условий, могут включать в себя, например, новую цель обработки ПДн, нового получателя ПДн и т.п.

2.26 специальные категории ПДн (sensitive PII): Категория ПДн, которая либо является по своей природе чувствительной информацией, например затрагивает наиболее личную сферу субъекта ПДн, либо может оказывать нежелательное воздействие на персональные данные субъекта ПДн.

Примечание - В некоторых странах или при определенных обстоятельствах специальные категории ПДн определяются относительно типа ПДн и могут состоять из ПДн, раскрывающих расовую принадлежность, политические убеждения или религиозные верования, персональные данные о здоровье, сексуальной жизни или преступлениях, и других ПДн, которые могут быть определены как чувствительная к разглашению информация.

2.27 третья сторона (third party): Лицо, заинтересованное в обеспечении защиты ПДн, не являющееся субъектом ПДн, оператором ПДн или обработчиком ПДн, а также физические лица, уполномоченные обрабатывать данные под непосредственным руководством оператора ПДн или обработчика ПДн.

      3 Сокращения

В настоящем стандарте применены следующие сокращения:

РЕТ - технология, улучшающая защищенность ПДн (privacy enhancing technology);

ИКТ - информационно-коммуникационные технологии (information and communication technology);

ПДн - персональные данные (personally identifiable information).

      4 Основные элементы защиты персональных данных

      4.1 Общий обзор защиты персональных данных

Следующие компоненты связаны с обеспечением защиты ПДн и обработкой ПДн в информационных системах персональных данных и составляют основы обеспечения защиты ПДн, описанные в настоящем стандарте:

- субъекты и роли;

- взаимодействие;

- распознавание ПДн;

- требования к мерам обеспечения безопасности ПДн;

- политики обеспечения безопасности ПДн;

- меры обеспечения безопасности ПДн.

При разработке основ обеспечения защиты ПДн учитывались понятия, определения и рекомендации из других официальных источников. Информация об указанных источниках содержится в постоянно действующем документе ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 "Official Privacy Documents References" ("Библиографический список официальных документов по защите ПДн") [3].

      4.2 Субъекты и роли

Для целей настоящего стандарта важно идентифицировать субъектов, вовлеченных в обработку ПДн. Существуют четыре типа субъектов, которые могут быть вовлечены в обработку ПДн: субъекты ПДн, операторы ПДн, обработчики ПДн и третьи стороны.

4.2.1 Субъекты персональных данных

Субъекты ПДн предоставляют свои ПДн для обработки операторам ПДн и обработчикам ПДн и, если обратное не установлено применимым законодательством, они дают согласие и определяют свои предпочтения в отношении способов обработки их ПДн. Например, субъектом ПДн может быть работник, включенный в штатное расписание организации, или потребитель, упомянутый в отчете о кредитных операциях, или пациент, запись о здоровье которого внесена в электронную базу. Чтобы считаться субъектом ПДн, соответствующее физическое лицо необязательно должно быть идентифицировано по его имени. Если физическое лицо, к которому относятся ПДн, может быть идентифицировано косвенно (например, через идентификатор счета, номер полиса социального страхования или даже через комбинацию доступных признаков), оно также является субъектом ПДн для данного набора ПДн.

4.2.2 Операторы персональных данных

Оператор ПДн определяет, почему (цель) и как (способы) обрабатываются ПДн. В данной структуре оператор ПДн должен обеспечивать уверенность в том, что соблюдение принципов защиты ПДн во время обработки ПДн осуществляется под его контролем (например, путем реализации необходимых мер обеспечения безопасности ПДн). Может существовать более одного оператора ПДн для одного и того же набора ПДн или набора операций, выполняемых в отношении ПДн (для тех же самых или различных легальных целей). В этом случае операторы ПДн должны сотрудничать и обеспечивать выполнение принципов обеспечения безопасности ПДн во время обработки ПДн. Оператор ПДн также может разрешить выполнение всех или части операций по обработке ПДн другим лицам, заинтересованным в обеспечении защиты ПДн, от своего лица. Операторы ПДн должны тщательно оценивать, обрабатывают они чувствительную (специальные категории ПДн) или нечувствительную информацию, и реализовывать рациональные меры обеспечения безопасности ПДн на основе требований, установленных в соответствующей стране, а также оценивать любое возможное негативное влияние на субъектов ПДн в связи с их идентификацией во время оценки риска обеспечения защиты ПДн.

4.2.3 Обработчики персональных данных

Обработчик ПДн выполняет обработку ПДн от имени оператора ПДн, действует от имени или в соответствии с инструкциями оператора ПДн, соблюдает установленные требования обеспечения защиты ПДн и реализует соответствующие меры обеспечения безопасности ПДн. В некоторых странах обработчик ПДн ограничен законным договором.

4.2.4 Третьи стороны

Третья сторона может получать ПДн от оператора ПДн или обработчика ПДн. Третья сторона не обрабатывает ПДн от имени оператора ПДн. В основном третья сторона становится самостоятельным оператором ПДн после получения запрашиваемых ПДн.

      4.3 Взаимодействия

Субъекты, идентифицированные в 4.2, могут взаимодействовать между собой различным образом. Можно идентифицировать следующие сценарии, формирующие потоки ПДн между субъектом ПДн, оператором ПДн и обработчиком ПДн:

a) субъект ПДн предоставляет ПДн оператору ПДн (например, регистрация для оказания услуги оператором ПДн);

b) оператор ПДн предоставляет ПДн обработчику ПДн, который обрабатывает эти ПДн от имени оператора ПДн (например, как часть соглашения об аутсорсинге);

c) субъект ПДн предоставляет ПДн обработчику ПДн, который обрабатывает эти ПДн от имени оператора ПДн;

d) оператор ПДн предоставляет ПДн субъекту ПДн, и они относятся к субъекту ПДн (например, в соответствии с запросом, сделанным субъектом ПДн);

e) обработчик ПДн предоставляет ПДн субъекту ПДн (например, регулирование оператором ПДн);

f) обработчик ПДн предоставляет ПДн оператору ПДн (например, после обслуживания/выполнения сервиса, для которого они были предназначены).

Роли субъекта ПДн, оператора ПДн, обработчика ПДн и третьей стороны в данных сценариях приведены в таблице 1.

Необходимо различать обработчиков ПДн и третью сторону, потому что при пересылке ПДн обработчику ПДн правовой контроль за ПДн остается функцией первоначального оператора ПДн, тогда как третья сторона оправданно может стать самостоятельным оператором ПДн после получения запрашиваемых ПДн. Например, когда третья сторона принимает решение о передаче ПДн, полученных от оператора ПДн, другой стороне, она будет действовать как оператор ПДн с ее собственными правами и поэтому больше не будет являться третьей стороной.

Можно идентифицировать следующие сценарии, формирующие потоки ПДн между операторами ПДн и обработчиками ПДн, с одной стороны, и третьей стороной, с другой стороны:

g) оператор ПДн предоставляет ПДн третьей стороне (например, в контексте делового соглашения);

h) обработчик ПДн предоставляет ПДн третьей стороне (например, по указанию оператора ПДн).

Роли оператора ПДн и третьей стороны в этих сценариях также показаны в таблице 1.

Таблица 1 - Возможные потоки ПДн между субъектом ПДн, оператором ПДн, обработчиком ПДн и третьими сторонами и их роли

      4.4 Распознавание персональных данных

Чтобы определить, считается ли физическое лицо идентифицируемым, должны быть приняты во внимание некоторые факторы. В частности, следует учитывать все средства, которые могут оправданно использоваться лицом, заинтересованным в обеспечении безопасности ПДн, хранящим данные, или любой другой стороной для идентификации этого физического лица. Информационные системы персональных данных должны поддерживать механизмы, информирующие субъекта ПДн о таких ПДн, и предоставлять физическому лицу соответствующие меры обеспечения безопасности ПДн при совместном использовании этой информации. В следующих подпунктах содержится дополнительное разъяснение того, как определить, следует ли рассматривать субъекта ПДн в качестве идентифицируемого.

4.4.1 Идентификаторы

В определенных случаях идентифицируемость субъекта ПДн может быть очевидной (например, когда информация содержит или связана с идентификатором, который используется для обращения или связи с субъектом ПДн). Информация может быть отнесена к ПДн в следующих случаях:

- если она содержит или связана с идентификатором, который относится к физическому лицу (например, номер социального страхования);

- если она содержит или связана с идентификатором, который может быть легко связан с физическим лицом (например, номер и серия паспорта, номер счета);

- если она содержит или связана с идентификатором, который может использоваться для установления связи с идентифицируемым физическим лицом (например, точное географическое местоположение, номер телефона);

- если она содержит ссылку, которая связывает данные с любым из идентификаторов, приведенных ранее.

4.4.2 Другие отличительные характеристики

Идентифицируемость является способностью определения физического лица, к которому относится данный набор ПДн. Поэтому информация не обязательно должна быть связана с идентификатором, чтобы считаться ПДн. Информацию можно считать ПДн, если она содержит или связана с характеристикой, которая отличает физическое лицо от других физических лиц (например, биометрические данные).

Любой атрибут, имеющий числовое, буквенное или буквенно-числовое значение и который уникально опознает субъекта ПДн, следует рассматривать как отличительную характеристику. Необходимо отметить, что независимо от того, отличает ли данная характеристика физическое лицо от других физических лиц, она может измениться от контекста использования. Например, фамилии физического лица может быть недостаточно, чтобы опознать его в глобальном масштабе, но будет достаточно, чтобы отличить физическое лицо в масштабе организации.