ГОСТ Р ИСО/МЭК 27018-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

Приложение A

(обязательное)

 

РАСШИРЕННЫЙ НАБОР МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ОБРАБОТЧИКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПУБЛИЧНОГО

ОБЛАКА ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

A.1 Основные положения

Данное приложение определяет новые меры обеспечения информационной безопасности (ИБ) и соответствующие рекомендации по их реализации, которые в сочетании с расширенными мерами обеспечения ИБ и рекомендациями из ИСО/МЭК 27002 (см. разделы 5 - 18) составляют расширенный набор мер обеспечения ИБ, удовлетворяющий требованиям по защите ПДн, применяемым к поставщикам публичного облака, выступающим в качестве обработчиков ПДн.

Такие дополнительные меры обеспечения ИБ классифицируются согласно одиннадцати принципам обеспечения приватности, приведенным в ИСО/МЭК 29100. Во многих случаях меры обеспечения ИБ могут классифицироваться по более чем одному из правил конфиденциальности. В таких случаях они классифицируются по самому подходящему правилу.

A.2 Согласие и возможность выбора

A.2.1 Обязательство сотрудничества в отношении прав субъектов персональных данных

Мера обеспечения информационной безопасности

Обработчик ПДн публичного облака должен предоставить потребителю служб облачных вычислений средства, позволяющие ему выполнять свои обязательства по содействию субъектам ПДн в получении ими прав доступа, коррекции и/или уничтожения ПДн, имеющих отношение к ним.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В этом отношении обязательства оператора ПДн могут быть определены законами, нормами или договором. Такие обязательства могут включать вопросы использования потребителем служб облачных вычислений служб обработчика ПДн публичного облака для реализации. Например, это может включать своевременную коррекцию или удаление ПДн.

Если в отношении информации или технических мер, упрощающих осуществление прав субъектом ПДн, оператор ПДн зависит от обработчика ПДн публичного облака, в договоре должны быть определены соответствующая информация или технические меры.

A.3 Законность и декларация целей обработки персональных данных

A.3.1 Цель обработчика персональных данных публичного облака

Мера обеспечения информационной безопасности

ПДн, которые обрабатываются в соответствии с договором, не должны обрабатываться в каких-либо других целях, не предусмотренных предписаниями потребителя служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В договоре между обработчиком ПДн публичного облака и потребителем служб облачных вычислений могут содержаться предписания, включая, например, цели и сроки, которые должны быть достигнуты при использовании служб.

При достижении целей потребителя служб облачных вычислений могут существовать технические причины, почему для обработчика ПДн публичного облака нужно определить метод обработки ПДн, соответствующий общим, но не специальным, предписаниям потребителя служб облачных вычислений. Например, для эффективного использования сети или обрабатывающих мощностей может быть необходимо выделить определенные ресурсы для обработки в зависимости от конкретных характеристик субъекта ПДн. В случае если определенный обработчиком ПДн публичного облака метод обработки включает сбор и использование ПДн, то обработчик ПДн публичного облака должен придерживаться соответствующих правил конфиденциальности, сформулированных в ИСО/МЭК 29100.

Обработчик ПДн публичного облака должен предоставить потребителю служб облачных вычислений всю необходимую информацию своевременно, что позволит потребителю служб облачных вычислений гарантировать соответствие обработчика ПДн публичного облака определенным целям и принципам ограничений и гарантировать, что никакие ПДн не обрабатываются обработчиком ПДн публичного облака или любым из его субподрядчиков для иных целей, не предусмотренных предписаниями потребителя служб облачных вычислений.

A.3.2 Коммерческое использование персональных данных обработчиком персональных данных публичного облака

Мера обеспечения информационной безопасности

ПДн, обрабатываемые в соответствии с договором, не должны использоваться обработчиком ПДн публичного облака в целях маркетинга и рекламы без явно выраженного на это согласия. Такое согласие не должно быть условием получения услуги.

Примечание - Эта мера обеспечения ИБ является дополнением к более общей мере и средству контроля и управления в соответствии с A.3.1 и не заменяет или отменяет ее.

 

A.4 Ограничение на сбор информации

Никакие дополнительные меры обеспечения ИБ не соответствуют данному правилу конфиденциальности.

A.5 Минимизация данных

A.5.1 Безопасное стирание временных файлов

Мера обеспечения информационной безопасности

Временные файлы и документы должны быть стерты или уничтожены в течение указанного, документально зафиксированного периода.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Руководство по реализации стирания ПДн предоставлено в соответствии с A.10.3.

Информационные системы в ходе нормального функционирования могут создать временные файлы. Такие файлы являются специфичными для системы или приложения, но они могут включать журналы отката файловой системы и временные файлы, связанные с обновлением баз данных и работой другого прикладного программного обеспечения. Временные файлы не нужны после того, как задача обработки соответствующей информации завершена, но существуют обстоятельства, при которых они могут быть не удалены. Отрезок времени, в течение которого эти файлы остаются доступными, не всегда можно определить, но процедура "сборки мусора" должна идентифицировать соответствующие файлы и установить, сколько времени прошло с тех пор, как их использовали в последний раз.

Информационные системы, обрабатывающие ПДн, должны реализовать периодическую проверку того, что не использованные выше указанного срока временные файлы удалены.

A.6 Ограничение использования, хранения и раскрытия

A.6.1 Уведомление о раскрытии персональных данных

Мера обеспечения информационной безопасности

Договор между обработчиком ПДн публичного облака и потребителем служб облачных вычислений должен требовать, чтобы обработчик ПДн публичного облака в соответствии с согласованными в договоре процедурой и сроком уведомлял потребителя служб облачных вычислений о любом юридически предусмотренном запросе на раскрытие ПДн со стороны правоохранительных органов, если такое раскрытие запрещено иным образом.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Обработчик ПДн публичного облака должен обеспечить договорные гарантии того, что он:

- отклонит любые не предусмотренные по закону запросы на раскрытие ПДн;

- проконсультирует соответствующего потребителя служб облачных вычислений, если это юридически допустимо, до раскрытия любых ПДн;

- примет любые согласованные в договоре запросы на раскрытие ПДн, которые санкционированы соответствующим потребителем служб облачных вычислений.

Пример - Примером возможного запрета на раскрытие может быть запрет в соответствии с уголовным правом для сохранения конфиденциальности расследования правоохранительными органами.

A.6.2 Регистрация раскрытия персональных данных

Мера обеспечения информационной безопасности

Факты раскрытия ПДн третьим лицам должны быть зарегистрированы, включая то, какие ПДн были раскрыты, кому и в какое время.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

ПДн могут быть раскрыты в ходе нормальной работы. Такие факты раскрытия должны быть зарегистрированы (см. 12.4.1). Любые дополнительные факты раскрытия третьим лицам, такие как те, которые являются результатом законных расследований или внешних аудитов, также должны быть зарегистрированы. Записи должны включать причину раскрытия и инстанцию, производящую раскрытие.

A.7 Точность и качество

Никакие дополнительные меры обеспечения ИБ не соответствуют данному правилу конфиденциальности.

A.8 Открытость, прозрачность и наблюдаемость

A.8.1 Раскрытие обработки персональных данных субподрядчиками

Мера обеспечения информационной безопасности

Привлечение обработчиком ПДн публичного облака для обработки ПДн субподрядчиков должно быть раскрыто до их привлечения соответствующим потребителям служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В договоре между обработчиком ПДн публичного облака и потребителем служб облачных вычислений условия привлечения для обработки ПДн субподрядчиков должны быть прозрачны. Договор должен определять, что субподрядчики могут быть привлечены только на основе согласия, которое может обычно даваться потребителем служб облачных вычислений в начале использования служб. Обработчик ПДн публичного облака должен своевременно проинформировать потребителя служб облачных вычислений о любых намеченных в этом отношении изменениях таким образом, чтобы у потребителя служб облачных вычислений была возможность возразить против таких изменений или прекратить договор.

К раскрытой информации должна относиться информация о факте заключения субподрядного договора и именах соответствующих субподрядчиков, но никакие специфические детали об их бизнесе. Раскрытая информация должна также включать страны, в которых субподрядчики могут обработать данные в соответствии с A.12.1, и средства, с помощью которых субподрядчики обязаны выполнять или превышать обязательства обработчика ПДн публичного облака в соответствии с A.11.12.

Если публичное раскрытие информации субподрядчика оценено как увеличивающее угрозу безопасности свыше приемлемых пределов, то раскрытие должно осуществляться в соответствии с соглашением о неразглашении и/или по запросу потребителя служб облачных вычислений. Потребитель служб облачных вычислений должен быть проинформирован, что информация доступна.

A.9 Индивидуальное участие и доступ

Никакие дополнительные меры обеспечения ИБ не соответствуют данному правилу конфиденциальности.

A.10 Подотчетность

A.10.1 Уведомление о компрометации данных, содержащих персональные данные

Мера обеспечения информационной безопасности

В случае любого несанкционированного доступа к ПДн или несанкционированного доступа к обрабатывающему их оборудованию или средствам, приведшего к потере, раскрытию или изменению ПДн, обработчик ПДн публичного облака должен сразу же уведомить соответствующего потребителя служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Условия уведомления о компрометации данных, содержащих ПДн, должны быть частью договора между обработчиком ПДн публичного облака и потребителем служб облачных вычислений. Договор должен определять, как обработчик ПДн публичного облака будет предоставлять потребителю служб облачных вычислений информацию, необходимую для выполнения его обязательств по уведомлению соответствующих инстанций. Это обязательство по уведомлению не распространяется на компрометацию данных, вызванную потребителем служб облачных вычислений или субъектом ПДн или внутри компонентов систем, за которые они несут ответственность. Договор также должен определить максимально допустимую задержку при уведомлении о компрометации данных, содержащих ПДн.

Если произошла компрометация данных, содержащих ПДн, то должна сохраняться запись с описанием инцидента, его времени, последствий инцидента, имени сообщившего, кому об инциденте было сообщено, о предпринятых шагах по разрешению инцидента (включая ответственное лицо и восстановленные данные) и факта, что инцидент привел к потере, раскрытию или изменению ПДн.

Если произошла компрометация данных, содержащих ПДн, то запись должна также включать описание затронутых данных, если это известно; и если уведомление было осуществлено, то шагов, предпринятых для уведомления потребителя служб облачных вычислений и/или регулирующих органов.

В некоторых юрисдикциях соответствующие законы или нормы могут потребовать, чтобы обработчик ПДн публичного облака уведомил о компрометации данных, содержащих ПДн, непосредственно соответствующие регулирующие органы (например, инстанции по защите ПДн).

Примечание - Могут быть и другие не рассмотренные здесь нарушения, требующие уведомления, например сбор без согласия или другой авторизации, использование в несанкционированных целях и т.д.

 

A.10.2 Период хранения административной политики безопасности и руководств

Мера обеспечения информационной безопасности

Копии политики безопасности и операционных процедур должны храниться в течение указанного, документально зафиксированного времени до их замены (включая обновление).

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Может потребоваться пересмотр текущих и предыдущих политик и процедур, например, в случаях урегулирования споров потребителя и расследования инстанциями по защите ПДн. При отсутствии определенного правового или договорного требования минимальный рекомендуемый период хранения составляет пять лет.

A.10.3 Возврат, передача и удаление персональных данных

Мера обеспечения информационной безопасности

Обработчик ПДн публичного облака должен иметь политику возврата, передачи и/или удаления ПДн и должен предоставлять к этой политике доступ потребителю служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В какой-то момент времени может потребоваться удалить ПДн некоторым способом, что может включать возврат ПДн потребителю служб облачных вычислений, их передачу другому обработчику ПДн публичного облака или оператору ПДн (например, в результате слияния), их надежное удаление или разрушение иным образом, анонимизирование или архивирование.

Обработчик ПДн публичного облака должен предоставить необходимую информацию, позволяющую потребителю служб облачных вычислений гарантировать, что обрабатываемые в соответствии с договором ПДн удалены (обработчиком ПДн публичного облака и любым из его субподрядчиков) из всех областей, где они хранились и использовались для резервного копирования и обеспечения непрерывности бизнеса, поскольку они больше не требуются потребителю служб облачных вычислений в определенных целях. Договором должны быть предусмотрены способы удаления (удаление связей, перезапись, размагничивание, разрушение или другие формы стирания) и/или применимые коммерческие стандарты.

Обработчик ПДн публичного облака должен разработать и проводить политику удаления ПДн и должен предоставить к этой политике доступ потребителю служб облачных вычислений.

Для защиты потребителя служб облачных вычислений от потери ПДн при досрочном истечении договора политика должна распространяться на весь период хранения ПДн перед их удалением после прекращения договора.

Примечание - Эта мера обеспечения ИБ и рекомендации также имеют отношение к элементу хранения правила "Ограничение использования, сохранения и раскрытия" в соответствии с A.6.

 

A.11 Информационная безопасность поставщика

A.11.1 Соглашения о конфиденциальности или неразглашении

Мера обеспечения информационной безопасности

На пользователей, имеющих доступ к ПДн, находящимся под управлением обработчика ПДн публичного облака, должно распространяться обязательство о соблюдении конфиденциальности.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Соглашение о конфиденциальности, в любой форме, между обработчиком ПДн публичного облака, его работниками и агентами должно гарантировать, что работники и агенты не раскрывают ПДн в целях, не предусмотренных предписаниями потребителя служб облачных вычислений в соответствии с A.3.1. Обязательства соглашения о конфиденциальности должны соблюдаться и после завершения любого соответствующего договора.

A.11.2 Ограничение создания материалов на твердых копиях

Мера обеспечения информационной безопасности

Создание твердых копий материалов, отображающих ПДн, должно быть ограничено.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Твердые копии материалов включают в себя печатные материалы.

A.11.3 Управление и журналирование восстановления данных

Мера обеспечения информационной безопасности

Должны существовать процедура и журнал всех действий по восстановлению данных.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Примечание - Вышеприведенные меры обеспечения ИБ делают общим следующее требование, которое применяется в конкретных правовых юрисдикциях. Журнал действий по восстановлению данных должен содержать следующее: ответственное лицо, описание восстановленных данных и данные, которые были восстановлены вручную.

 

A.11.4 Защита данных на носителях, выносимых за пределы помещений организации

Мера обеспечения информационной безопасности

ПДн на носителях, выносимых за пределы помещений организации, должны подвергаться процедуре авторизации и не должны быть доступны ни для кого, кроме авторизованного персонала (например, посредством шифрования названных данных).

A.11.5 Использование незашифрованных переносимых носителей и устройств

Мера обеспечения информационной безопасности

Переносимые физические носители и портативные устройства, которые не поддерживают шифрование, не должны использоваться, кроме тех случаев, когда это неизбежно, а любое использование таких переносимых носителей и устройств должно быть документально зафиксировано.

A.11.6 Шифрование персональных данных, передаваемых по общедоступным сетям передачи данных

Мера обеспечения информационной безопасности

ПДн, передаваемые по общедоступным сетям передачи данных, должны быть зашифрованы до их передачи.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В некоторых случаях, например при обмене электронной почтой, могут быть раскрыты присущие общедоступным сетевым системам передачи данных характеристики типа некоторых заголовков или данных трафика.

Если в предоставление служб различных категорий служб эталонной архитектуры облачных вычислений вовлечено сразу много поставщиков, то роли по реализации данных рекомендаций могут изменяться или быть общими.

A.11.7 Безопасное уничтожение твердых копий материалов

Мера обеспечения информационной безопасности

Твердые копии материалов должны быть уничтожены безопасным образом, используя такие механизмы, как перекрестная нарезка, измельчение, сожжение, превращение в мягкую массу и т.д.

A.11.8 Использование уникальных идентификаторов пользователей

Мера обеспечения информационной безопасности

Если доступ к хранимым ПДн есть более чем у одного человека, то в целях идентификации, аутентификации и авторизации каждый из них должен иметь уникальный идентификатор пользователя.

A.11.9 Учет авторизованных пользователей

Мера обеспечения информационной безопасности

Должен вестись актуальный учет пользователей или профилей пользователей, имеющих санкционированный доступ к информационной системе.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Для всех пользователей, чей доступ авторизован обработчиком ПДн публичного облака, должен поддерживаться профиль пользователя. Профиль пользователя содержит совокупность данных о пользователе, включая идентификатор пользователя, необходимый для реализации технических мер обеспечения ИБ, обеспечивающих санкционированный доступ к информационной системе.

A.11.10 Управление идентификаторами пользователей

Мера обеспечения информационной безопасности

Деактивированные или истекшие идентификаторы пользователей не должны предоставляться другим людям.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

В контексте всей эталонной архитектуры облачных вычислений потребитель служб облачных вычислений может нести ответственность за некоторые или все аспекты менеджмента идентификаторов пользователей для всех входящих в его зону управления пользователей служб облачных вычислений.

A.11.11 Меры, предусмотренные в договорах

Мера обеспечения информационной безопасности

Договоры между потребителем служб облачных вычислений и обработчиком ПДн публичного облака должны устанавливать минимально необходимые технические и организационные меры, гарантирующие, что зафиксированные в договорах меры защиты существуют и что данные не обрабатываются ни в каких иных целях, не предусмотренных в предписаниях потребителя. Такие меры не должны подвергаться сокращению обработчиком ПДн публичного облака в одностороннем порядке.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Обязательства по обеспечению ИБ и защите ПДн, касающиеся обработчика ПДн публичного облака, могут возникать непосредственно из действующего законодательства. Для иных случаев обязательства по защите ПДн, касающиеся обработчика ПДн публичного облака, должны быть отражены в договоре.

Меры обеспечения ИБ настоящего стандарта совместно с мерами обеспечения ИБ из ИСО/МЭК 27002 предназначены быть справочным каталогом мер, помогающим при заключении договора обработки информации в отношении ПДн. Обработчик ПДн публичного облака должен информировать предполагаемого потребителя служб облачных вычислений о вопросах защиты ПДн в его службах до заключения договора.

В процессе заключения договора обработчик ПДн публичного облака должен быть прозрачен с точки зрения предоставляемых им возможностей. Однако в конечном счете это обязанность потребителя служб облачных вычислений - гарантировать, чтобы реализованные обработчиком ПДн публичного облака меры соответствовали заявленным обязательствам.

A.11.12 Обработка ПДн субподрядчиками

Мера обеспечения информационной безопасности

Договоры между обработчиком ПДн публичного облака и любыми субподрядчиками, обрабатывающими ПДн, должны устанавливать минимально необходимые технические и организационные меры, которые соответствуют заявленным обязательствам по обеспечению ИБ и защите ПДн обработчика ПДн публичного облака. Такие меры не должны подвергаться сокращению субподрядчиком в одностороннем порядке.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Меры обеспечения ИБ распространяются на привлечение для хранения резервных копий субподрядчиков в соответствии с A.8.1.

A.11.13 Доступ к данным в ранее использованной области памяти

Мера обеспечения информационной безопасности

Обработчик ПДн публичного облака должен гарантировать, что как только потребителю служб облачных вычислений будет выделена область памяти, любые ранее находившиеся в ней данные не станут доступны этому потребителю служб облачных вычислений.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Особенности исполнения операции удаления пользователем служб облачных вычислений данных, хранившихся в информационной системе, могут означать, что явное стирание таких данных технически неосуществимо. Это порождает риск считывания данных другим пользователем. Такого риска следует избегать, используя определенные технические меры.

Никакие специфические рекомендации по существу не подходят для учета всех случаев реализации этой меры обеспечения ИБ. Однако, в качестве примера, ряд облачных инфраструктур, платформ или приложений возвратят "нули", если пользователь служб облачных вычислений попытается считать область памяти, которая не была перезаписана собственными данными этого пользователя.

A.12 Соответствие условий обработки персональных данных законодательству

A.12.1 Географическое местоположение персональных данных

Мера обеспечения информационной безопасности

Обработчик ПДн публичного облака должен определить и документально зафиксировать страны, в которых могут храниться ПДн.

Рекомендации по реализации мер защиты персональных данных в публичных облаках

Идентичность (подлинность) стран, где могут храниться ПДн, должна быть доступна для потребителей служб облачных вычислений. Идентичность стран, возникающих при привлечении к обработке ПДн субподрядчиков, должна быть включена. Если к трансграничной передаче данных применяются специфичные договорные соглашения, такие как соответствующие требования "типового контракта", "Корпоративные правила" или "Трансграничные правила в отношении персональных данных", то конкретные соглашения, страны или обстоятельства, при которых применяются такие соглашения, также должны быть определены явным образом. Обработчик ПДн публичного облака должен в срок, установленный в договоре, информировать потребителя служб облачных вычислений о любых намеченных в этом отношении изменениях, чтобы у потребителя служб облачных вычислений была возможность возразить против таких изменений или прекратить договор.

A.12.2 Намеченное место назначения персональных данных

Мера обеспечения информационной безопасности

На переданные с использованием сети передачи данных ПДн должны распространяться соответствующие меры обеспечения ИБ, предназначенные для обеспечения доставки данных до намеченного места назначения.