ГОСТ Р ИСО/МЭК 27018-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17788 и ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.

С целью использования в стандартах ИСО и МЭК поддерживают терминологические базы данных:

- платформа ИСО для онлайн-просмотра: доступна по адресу http://www.iso.org/obp

- МЭК Электропедия (IEC Electropedia): доступна по адресу http://www.electropedia.org/

3.1

компрометация данных (data breach): Нарушение безопасности, которое приводит к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к защищаемым данным, передаваемым, хранимым или иным образом обрабатываемым.

[ИСО/МЭК 27040:2015, статья 3.7]

3.2

персональные данные (ПДн) (personally identifiable information, PII): Любая информация, которая (a) может быть использована для идентификации субъекта ПДн, к которому она относится, или (b) прямо или косвенно может быть связана с ним.

Примечания

1 Под термином "физическое лицо" в данном определении подразумевается "субъект ПДн" (3.4). Чтобы определить, является ли субъект ПДн идентифицируемым, необходимо рассмотреть/оценить все разумные возможности, которые могут быть использованы стороной, хранящей данные, или любой другой стороной, чтобы установить связь между набором ПДн и физическим лицом.

2 Данное определение введено для понимания термина ПДн, используемого в документе. Обработчик ПДн публичного облака (3.5) зачастую не в состоянии самостоятельно определить, к какой категории может относиться обрабатываемая им информация, если это не раскроет потребитель облачных служб.

[ИСО/МЭК 29100:2011, статья 2.9, измененная - к определению было добавлено примечание 2]

3.3

оператор ПДн (PII controller): Сторона (или стороны), которая определяет цели и средства обработки персональных данных (ПДн) (3.2), кроме физических лиц, использующих ПДн в личных целях.

Примечание - Оператор ПДн может поручать обработку ПДн другим сторонам [например, обработчикам ПДн (3.5)], при этом ответственность за использование персональных данных в целом остается за оператором ПДн.

[ИСО/МЭК 29100:2011, статья 2.10]

3.4

субъект ПДн (PII principal): Физическое лицо, к которому относятся персональные данные (ПДн) (3.2).

Примечание - В зависимости от юрисдикции и особенностей законодательства в области защиты ПДн вместо термина "субъект ПДн" может также использоваться его синоним "субъект данных".

[ИСО/МЭК 29100:2011, статья 2.11]

3.5

обработчик ПДн (PII processor): Сторона, отвечающая за обработку персональных данных (ПДн) (3.2) от лица оператора (3.3) ПДн в соответствии с его предписаниями.

[ИСО/МЭК 29100:2011, статья 2.12]

3.6

обработка ПДн (processing of PII): Действие или набор действий, выполняемые с персональными данными (ПДн) (3.2).

Примечание - Примеры операций включают в себя (но не ограничиваются этим) сбор, хранение, изменение, восстановление, опрос, разглашение, обезличивание, псевдонимизацию, распространение или иное предоставление, удаление или уничтожение ПДн.

[ИСО/МЭК 29100:2011, статья 2.23]

3.7 поставщик служб публичного облака (public cloud service provider): Сторона, которая предоставляет службы облачных вычислений в соответствии с моделью публичного облака.