ГОСТ Р 59407-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных
7.2 Представление с точки зрения компонентов
7.2.1 Общие положения
Представление с точки зрения компонентов предназначено для описания компонентов ИСПДн, которые участвуют в обработке ПДн.
При выборе компонентов следует руководствоваться соответствующими требованиями защиты ПДн. Разработчик ИСПДн для конкретного(ых) действующего(их) субъекта(ов) должен использовать данное представление для определения компонентов, которые необходимо включить в архитектуру разрабатываемой им системы. Эта архитектура должна основываться на требованиях обеспечения безопасности ПДн, установленных с использованием указаний, приведенных в разделе 7. Следует отметить, что не все компоненты, описанные в настоящем стандарте, обязательно подходят для конкретной ИСПДн.
Представление с точки зрения компонентов сгруппировано по трем уровням. Каждый уровень представляет собой логическую группу компонентов, которые способствуют достижению определенной цели при обработке ПДн. Компоненты на уровне установок по обеспечению безопасности ПДн относятся к управлению метаданными, связанными с обработкой ПДн, включая обмен информацией о целях обработки, согласии и предпочтительных способах обеспечения безопасности ПДн конкретного субъекта ПДн. Компоненты на уровне управления идентификационными данными и управления доступом отвечают за обеспечение уверенности в использовании правильной идентификационной информации при обработке ПДн и осуществлении управления доступом к ПДн в соответствии с требованиями обеспечения безопасности ПДн. Наконец, компоненты на уровне ПДн выполняют различные задачи по обработке ПДн.
Базовая архитектура защиты ПДн разработана с использованием предположения, что все компоненты взаимодействуют с несколькими другими компонентами. Однако для поддержания универсальности и удобочитаемости возможные взаимодействия между компонентами в представлении были опущены.
Некоторыми из компонентов базовой архитектуры являются технологии, улучшающие (обеспечивающие) конфиденциальность ПДн. Данный выбор технологий не является исчерпывающим. Существуют другие технологии, улучшающие (обеспечивающие) конфиденциальность ПДн, которые не описаны в настоящем стандарте. Разработчик ИСПДн отвечает за выбор соответствующих технологий и за их применение в данной базовой архитектуре.
Пример архитектуры ИСПДн, которая применяет технологии, улучшающие (обеспечивающие) конфиденциальность при обработке ПДн, приведен в приложении Б.
Пример использования мандатов на основе атрибутов для создания ИСПДн [2], обеспечивающей управление обезличенными идентификационными данными и управление доступом, приведен в приложении В.
В следующих пунктах настоящего стандарта описываются уровни архитектуры, входящие в них компоненты и действующие субъекты, взаимодействующие с компонентами. Кроме того, приводится общее описание каждого компонента и следуют указания, касающиеся конкретных действующих субъектов. Для некоторых компонентов не приводится никаких указаний, характерных для ИСПДн конкретного действующего субъекта, поскольку поведение этого компонента в разных ИСПДн имеет схожий характер.
7.2.2 Уровень установок политики защиты
7.2.2.1 Общие положения
Уровень установок политики защиты составляют компоненты, сообщающие политику защиты ИСПДн операторов и реализующие требования обеспечения безопасности ПДн. Эти компоненты позволяют разрабатывать политику и реализовывать соответствующие меры защиты в ИСПДн.
Кроме того, компоненты на этом уровне должны передавать оператору ПДн и обработчику ПДн информацию о предпочтительных способах защиты ПДн и согласии на обработку, которую подписал субъект ПДн.
7.2.2.2 Доведение политики и целей
Общее описание
Данный компонент отвечает за передачу информации, включая обновления, информацию о политике защиты ПДн оператора ПДн и целях сбора ПДн в ИСПДн.
Переданная информация должна содержать, по крайней мере, следующее:
- идентификационные данные операторов ПДн и любых взаимосвязанных обработчиков ПДн;
- политики, касающиеся передачи ПДн обработчикам ПДн;
- применяемые технологии, улучшающие (обеспечивающие) конфиденциальность ПДн (например, обезличивание), с их соответствующими задачами;
- цели, для которых осуществляется сбор ПДн;
- идентификацию ПДн, которые должны быть собраны;
- юридические права субъекта ПДн на получение доступа к своим ПДн для определения объема хранящихся его ПДн, а также проверки и исправления любых неточностей, и процедуры осуществления этого.
Субъект ПДн
Субъект ПДн, получивший извещение о политике и целях компонента ИСПДн от оператора ПДн, должен:
- получать информацию о политике и целях от соответствующего компонента ИСПДн оператора ПДн;
- интерпретировать полученную информацию с целью ее отображения субъекту ПДн понятным образом;
- получать предложение возможности локального хранения полученной информации;
- подтверждать оператору ПДн факт получения информации о политике и целях субъектом ПДн.
Оператор ПДн
Оператор ПДн, как связанный с публикацией политики и целей компонента ИСПДн, находящейся под контролем оператора ПДн, должен:
- хранить информацию о политике и целях, которая была передана субъектам ПДн;
- регистрировать действия по передаче информации о политике и целях субъектам ПДн таким образом, чтобы можно было установить, в какое время и какая информация была актуальна и передавалась субъектам ПДн, наряду с подтверждением получения этой информации;
- передавать текущую информацию о политике и целях соответствующему компоненту ИСПДн субъекта ПДн таким образом, чтобы она могла быть использована этой системой для полного и понятного информирования субъекта ПДн или могла быть преобразована указанным компонентом в требуемую форму с помощью некоторого заранее определенного преобразования;
- передавать ссылку на отображаемую информацию о политике и целях тем компонентам, которые управляют хранением информации о согласии и хранением самих ПДн;
- передавать обновленные сведения об изменениях информации о политике и целях соответствующим компонентам, принадлежащим тем субъектам ПДн, которые дали согласие на получение такой информации.
Обработчик ПДн
ИСПДн обработчика ПДн должна получать копии политики защиты персональных данных и целей обработки от ИСПДн оператора ПДн. ИСПДн обработчика ПДн должна представлять документацию о политике защиты персональных данных и целях обработки, полученную от оператора ПДн, в ясной и понятной форме всем, кто имеет доступ к ПДн, регулируемой этой политикой. Оператор ПДн может условиться об обработке ПДн различными обработчиками ПДн. Связанный с публикацией целей компонент ИСПДн оператора ПДн должен передавать цели, относящиеся к предоставленным ПДн, всем соответствующим обработчикам ПДн. Каждый обработчик ПДн должен быть проинформирован о цели(ях) обработки ПДн.
7.2.2.3 Классификация персональных данных
Общее описание
Система, обрабатывающая ПДн, должна быть осведомлена о классах (категориях) ПДн, которые она обрабатывает, с тем чтобы можно было проводить различие между разными типами данных (например, специальные категории ПДн, ПДн и информация, не являющаяся ПДн). Это необходимо для обработки ПДн разными способами в зависимости от категории ПДн. Кроме того, ИСПДн должна быть осведомлена о значениях ПДн, которые содержат прямые идентификаторы, такие, например, как имя или индивидуальный номер налогоплательщика. Этот компонент должен выполнять функции, обеспечивающие такую классификацию в ИСПДн.
При работе с информацией, не являющейся ПДн, следует понимать и оценивать риск объединения информации, не являющейся ПДн, для выведения или получения идентификационных данных или профиля уникального пользователя или, по крайней мере, достаточно небольшого подмножества пользователей.
Все ПДн должны быть надлежащим образом классифицированы, чтобы они могли обрабатываться и храниться в ИСПДн в соответствии с их промаркированной категорией. Если ПДн были собраны случайно, например в результате незапрошенного ввода, осуществление этого может оказаться невозможным, и, соответственно, должны приниматься меры для сведения к минимуму возможности сбора незапрошенных ПДн. Хотя ИСПДн должна быть осведомлена о значениях ПДн, содержащих прямые идентификаторы, выполнение этого может быть невозможным в случае сбора незапрошенных ПДн.
Субъект ПДн
ИСПДн субъекта ПДн должна быть способна идентифицировать классификационную маркировку, связанную с ПДн, и должна обрабатывать ПДн в соответствии с их классификацией. Классификация может также использоваться для идентификации ПДн, которым следует обеспечивать защиту с использованием технологий, улучшающих (обеспечивающих) конфиденциальность персональных данных. Компонент классификации ПДн также обеспечивает дальнейшую классификацию ПДн по подкатегориям, где подкатегории являются требованием конкретной сферы применения.
Оператор ПДн
ИСПДн оператора должна содержать полную классификацию ПДн, используемую в системах, обрабатывающих классифицированные ПДн. Эта информация должна передаваться обработчикам ПДн. Кроме того, классификация ПДн может использоваться для компонентов протоколирования, обезличивания, раскрытия, архивирования и хранения ПДн, чтобы они могли определять, какие части данных содержат ПДн.
Обработчик ПДн
ИСПДн обработчика должна быть способна обрабатывать классифицированные ПДн. Эта информация должна использоваться для аудита ПДн и обеспечения безопасности ПДн.
7.2.2.4 Управление согласиями на обработку персональных данных
Общее описание
Согласие субъекта ПДн является необходимым условием обработки ПДн, если такая обработка иначе не разрешена законодательством.
Этот компонент связан с задачами управления согласиями и включает в себя (но не ограничиваясь) следующее:
- получение осознанного согласия субъекта ПДн;
- хранение информации о согласии в ИСПДн заинтересованной стороны;
- связывание хранящейся информации о согласии с версией информации о политике и целях, для которых было дано согласие;
- проверку наличия согласия перед обработкой ПДн;
- поддержку статуса информации о согласии.
Нормативные правовые акты могут иметь преимущество в случае отсутствия или ограничения согласия, выраженного субъектом ПДн.
Субъект ПДн
Оператор ПДн должен получать осознанное согласие субъекта ПДн с помощью компонента управления согласиями в ИСПДн субъекта ПДн. При определенных обстоятельствах субъект ПДн может изменить или отозвать согласие, и эта информация должна быть передана ИСПДн оператора.
Оператор ПДн
В ИСПДн оператора этот компонент должен поддерживать актуальную информацию о статусе согласия. ИСПДн оператора должна быть способна находить, хранить, управлять и поддерживать информацию о согласии.
ИСПДн оператора должна передавать информацию о согласии другим сторонам, которым она требуется. Кроме того, этот компонент должен принимать обновления статуса согласия субъекта ПДн (например, изменение или отзыв согласия). ИСПДн оператора должна представлять и распространять эту информацию по мере необходимости.
Обработчик ПДн
ИСПДн обработчика должна проверять наличие согласия всех субъектов ПДн, связанных с предоставляемыми ей ПДн. Эта информация должна поступать от ИСПДн оператора. Перед любой обработкой ИСПДн обработчика следует удостовериться, что ИСПДн содержит актуальную информацию о согласии соответствующих субъектов ПДн. ИСПДн обработчика должна быть готова принимать изменения статуса согласия, когда о таких изменениях уведомляет оператор ПДн.
7.2.2.5 Управление способами защиты персональных данных
Общее описание
В некоторых ситуациях возможно, что субъект ПДн может выразить свои предпочтения относительно того, как будут обрабатываться его ПДн оператором или обработчиком ПДн. В этих случаях соответствующие ИСПДн действующих субъектов должны быть способны зафиксировать эти предпочтительные способы обработки и сообщить о них оператору или обработчику ПДн. Оператор и обработчик ПДн должны быть способны понимать эти предпочтительные способы обработки и в максимально возможной степени соблюдать их при обработке ПДн.
Субъект ПДн
Если обработка ПДн основана на установках предпочтительных способов обеспечения безопасности ПДн, то субъекту ПДн должен предоставляться интерфейс для выбора установок, наиболее подходящих для этих целей. Например, сюда могут входить установки, определяющие, как ИСПДн использует, передает или раскрывает ПДн.
Оператор ПДн
Если субъект ПДн определил какие-либо предпочтительные способы обеспечения безопасности ПДн, то оператор ПДн должен представить эти варианты субъекту ПДн.
Оператор ПДн должен реализовывать соответствующие предпочтительные способы обеспечения безопасности ПДн, которые указал субъект ПДн из имеющихся вариантов, если таковые существуют. Оператор также должен распространять эту информацию любым сторонам, которые обрабатывают ПДн, связанную с этими способами.
Обработчик ПДн
Если это имеет отношение к установленным задачам обработчика ПДн, ИСПДн обработчика должна быть осведомлена о любых ограничениях, устанавливаемых для обработки ПДн выбранными предпочтительными способами обеспечения безопасности ПДн, которые указал субъект ПДн, и действовать в соответствии с ними. Эта информация и ее возможные обновления должны быть получены от оператора ПДн или непосредственно от субъекта ПДн через их соответственные ИСПДн.
7.2.2.6 Взаимосвязь между принципами обеспечения безопасности персональных данных и компонентами на уровне установок
Пример взаимосвязи между принципами обеспечения безопасности ПДн и компонентами на уровне установок приведен в таблице 1. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципом, однако указанная взаимосвязь приводится только в качестве примера.
Таблица 1
Пример взаимосвязи между принципами обеспечения безопасности
персональных данных и компонентами на уровне установок
Компоненты | Принципы | ||||||||||
Согласие и выбор | Законность цели и ее спецификация | Ограничение на сбор информации | Минимизация данных | Ограничения в отношении использования, хранения и раскрытия | Точность и качество | Открытость, прозрачность и уведомление | Индивидуальное участие и доступ | Ответственность | Обеспечение безопасности информации | Соответствие | |
Доведение политики и целей | X | X | X | X | - | - | X | - | X | - | X |
Классификация ПДн | - | - | X | X | X | - | - | - | - | - | - |
Управление согласиями | X | X | X | - | - | - | - | X | - | - | - |
Управление предпочтительными способами защиты персональных данных | X | X | X | - | X | - | X | - | - | - | - |
7.2.3 Уровень управления идентификационными данными и управления доступом
7.2.3.1 Общие положения
Компоненты на уровне управления идентификационными данными и управления доступом помогают идентифицировать действующих субъектов и их ИСПДн и управлять соответствующей идентификационной информацией. Кроме того, компоненты на этом уровне управляют доступом к ПДн действующих субъектов. Компоненты реализуют следующие функциональные возможности:
- управление идентификационными данными сторон, заинтересованных в обеспечении безопасности ПДн;
- управление идентификационными данными действующих субъектов, использующих ИСПДн;
- предоставление этой информации другим компонентам в ИСПДн;
- управление соответствием между идентификационными данными субъекта ПДн и обезличенными ПДн.
Уровень управления идентификационными данными и управления доступом предоставляет идентификационную информацию компонентам на других уровнях, которым это требуется. Следует отметить, что в настоящем стандарте не специфицируются методы управления идентификационными данными, которые должны использоваться.
7.2.3.2 Управление идентификационными данными
Общее описание
Данный компонент может иметь несколько назначений, каждое из которых может быть реализовано отдельной системой управления идентификационными данными.
Во-первых, данный компонент может осуществлять управления идентификационными данными субъектов ПДн, персональные данные которых обрабатываются в системе. Во-вторых, этот компонент может управлять идентификационными данными пользователей ИСПДн, которые обрабатывают ПДн субъектов. В-третьих, данный компонент может осуществлять управление идентификационными данными ИСПДн, заинтересованных в защите персональных данных. Это дает возможность ИСПДн различных сторон взаимно аутентифицировать друг друга во время передачи ПДн. Данный перечень примеров назначений данного компонента не является исчерпывающим.
Механизмы определения характера и точности базовой идентификационной информации не приводятся в настоящем стандарте. Функциональные возможности компонента управления идентификационными данными одинаковы для всех действующих сторон.
7.2.3.3 Обезличивание
Общее описание
Если при обработке ПДн используется обезличивание, то задействованные ИСПДн должны иметь функции управления используемыми методами обезличивания.
Примечание - Для обезличивания применяются различные методы, например метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции, метод перемешивания и, кроме того, может применяться шифрование ПДн.
Компонент системы обезличивания на уровне управления идентификационными данными и управления доступом содержит информацию о реализованной системе обезличивания и ее параметрах. Например, если используется шифрование, этот компонент хранит информацию об используемых ключах.
Взаимосвязанный компонент обезличивания ПДн на уровне ПДн используется для их фактического преобразования.
Субъект ПДн
Если в ИСПДн субъекта используется обезличивание, то система должна содержать описание реализованного метода обезличивания. Компонент обезличивания на уровне ПДн системы персональных данных субъекта ПДн должен применять данный метод обезличивания.
Оператор ПДн
Управление методами обезличивания может осуществляться ИСПДн оператора. В этом случае ИСПДн оператора передает информацию о методах обезличивания, используемых в ИСПДн субъекта и обработчиков ПДн. Эта информация может потребоваться для обеспечения уверенности в том, что подвергшиеся обезличиванию ПДн из системы субъекта ПДн могли быть обработаны в ИСПДн оператора и ИСПДн обработчика. Следует отметить, что может потребоваться определение нескольких вариантов (реализованных методов) обезличивания, например для осуществления обезличивания ПДн разными методами для различных обработчиков.
Обработчик ПДн
Если обработчику ПДн нужно выполнять обезличивание в соответствии с инструкциями оператора ПДн, ему следует реализовать данный компонент для осуществления управления реализованными методами обезличивания.
7.2.3.4 Управление доступом
Общее описание
Механизмы управления доступом должны обеспечивать уверенность в том, что доступ к функциям в ИСПДн предоставляется только в рамках ограничений, установленных на основе требований защиты. Например, если сбор у субъектов ПДн осуществляется с использованием веб-формы и осуществляется в течение определенного периода времени, доступ к веб-форме должен предоставляться только в течение данного времени. В этом примере ИСПДн оператора должна ограничивать доступ субъектов ПДн к форме сбора ПДн.
Функциональные возможности компонента управления доступом одинаковы для всех действующих субъектов. Правила и методы управления доступом в каждой ИСПДн выводятся из требований обеспечения безопасности ПДн.
7.2.3.5 Аутентификация
Общее описание
Аутентификация является важным компонентом обеспечения безопасности системы, обрабатывающей ПДн. Она обеспечивает уверенность в конфиденциальности и целостности ПДн, сбор, хранение и обработку которой осуществляет ИСПДн.
Компонент аутентификации может иметь несколько назначений. Во-первых, он может управлять аутентификацией пользователей, работающих с ИСПДн. Во-вторых, он может управлять взаимной аутентификацией ИСПДн или их компонентов в рамках безопасного доступа к ПДн и их передачи. Этот перечень примеров не является исчерпывающим.
Правила и методы, используемые при каждой реализации ИСПДн, следует рассматривать отдельно с учетом целей обеспечения безопасности действующего субъекта, который использует данную систему. Например, ИСПДн действующего субъекта должна аутентифицировать субъектов ПДн, использующих систему. Аналогичным образом ИСПДн субъекта должна аутентифицировать оператора ПДн перед передачей ПДн в ИСПДн этого оператора.
Функциональные возможности компонента аутентификации одинаковы в ИСПДн всех взаимодействующих сторон.
7.2.3.6 Авторизация
Общее описание
В ИСПДн, где ограничивается доступ любого действующего субъекта, должна существовать система авторизации. Доступ к ПДн должен предоставляться только авторизованным пользователям системы. Например, субъекты ПДн, выбранные для обработки ПДн, могут получать доступ к ПДн, к которым они имеют отношение.
Функциональные возможности компонента авторизации одинаковы для всех действующих субъектов. Правила и методы авторизации в каждой ИСПДн основываются на требованиях защиты ПДн.
7.2.3.7 Взаимосвязь между принципами обеспечения безопасности персональных данных и компонентами на уровне управления идентификационными данными и управления доступом
Пример установления соответствия между принципами обеспечения безопасности ПДн и компонентами на уровне управления идентификационными данными и управления доступом приведен в таблице 2. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципами обеспечения безопасности ПДн; однако указанная взаимосвязь приводится только в качестве примера.
Таблица 2
Пример взаимосвязи между принципами обеспечения безопасности
и компонентами на уровне управления идентификационными
данными и управления доступом
Компоненты | Принципы | ||||||||||
Согласие и выбор | Законность цели и ее спецификация | Ограничение на сбор информации | Минимизация данных | Ограничения в отношении использования, хранения и раскрытия | Точность и качество | Открытость, прозрачность и уведомление | Индивидуальное участие и доступ | Ответственность | Обеспечение безопасности информации | Соответствие | |
Управление идентификационными данными | - | - | - | - | X | - | X | - | - | X | - |
Обезличивание | - | - | - | X | X | - | - | - | X | X | - |
Управление доступом | - | - | - | - | X | X | - | X | X | X | - |
Аутентификация | - | - | - | - | X | X | - | X | X | X | - |
Авторизация | - | - | - | - | X | X | - | X | X | X | - |
7.2.4 Уровень персональных данных
Компоненты на уровне ПДн должны реализовывать следующие функциональные возможности:
- сбор и передачу ПДн;
- обработку ПДн, включая безопасную обработку, и представление;
- хранение и архивирование ПДн;
- аудит ПДн и регистрацию происходящих с ними транзакций.
В настоящем стандарте определяются только общие требования управления ПДн, оставляя конкретные подробности на рассмотрение разработчика ИСПДн. Для снижения риска нарушения безопасности ПДн во время обработки должны использоваться соответствующие меры защиты.
Уровень ПДн использует информацию, поступающую с уровня установок, для введения в действие мер, основанных на требованиях обеспечение безопасности ПДн.
7.2.4.1 Управление персональными данными
Общее описание
Любая система, обрабатывающая ПДн, должна иметь определенные базовые функции для управления ПДн в системе. К ним относятся ввод, доступ, обновление и удаление ПДн. В случае необходимости ИСПДн должна быть способна поддерживать непрерывный процесс, обеспечивающий сбор и обработку ПДн в течение всего срока службы системы.
Субъект ПДн
Компонент управления персональными данными в ИСПДн субъекта связан со сбором и локальной обработкой ПДн, полученных у субъекта ПДн.
Оператор ПДн
Компонент управления персональными данными в ИСПДн оператора должен быть способен осуществлять обмен ПДн с ИСПДн субъектов (сбор ПДн) и обработчиков ПДн (для делегирования обработки). Следует отметить, что политика защиты персональных данных, а также использование различных технологий, улучшающих (обеспечивающих) конфиденциальность ПДн субъектов и другие факторы могут ограничивать инструментальные средства управления ПДн, доступные в ИСПДн оператора ПДн. Например, в системе оператора ПДн может быть запрещено добавлять ПДн или связывать ПДн с другой информацией.
Обработчик ПДн
Компонент управления ПДн ИСПДн обработчика ПДн обрабатывает ПДн, полученные от оператора ПДн.
7.2.4.2 Передача персональных данных
Общее описание
Компонент передачи ПДн отвечает за обмен ПДн между ИСПДн различных сторон, заинтересованных в защите ПДн. Передача ПДн должна включать взаимную аутентификацию и шифрование между исходной точкой и точкой назначения, чтобы защитить передачу ПДн и обеспечить их конфиденциальность. В этом случае компонент передачи ПДн должен использовать компоненты аутентификации и шифрования ПДн.
7.2.4.3 Проверка точности персональных данных
Общее описание
Должна осуществляться проверка корректности обрабатываемых ПДн на предмет точности данных и корректности формата. Оператор должен обладать достаточной информацией о данных и диапазоне их допустимых значений, чтобы предупреждать сторону, использующую систему, о возможных ошибках ввода ПДн.
Субъект ПДн
ИСПДн субъекта ПДн осуществляет проверку правильности данных, собранных у субъекта (субъектов) ПДн.
Оператор ПДн
Даже если ИСПДн субъекта спроектирована для осуществления проверки правильности ПДн, система оператора ПДн должна выполнять такую же проверку и, возможно, дополнительные проверки для обеспечения уверенности в точности данных и корректности формата ПДн. ИСПДн оператора может также осуществлять глобальные проверки на предмет посторонних значений и статистических отклонений.
Обработчик ПДн
ИСПДн обработчика должна выполнять обязанности, сходные с обязанностями системы оператора ПДн.
7.2.4.4 Обезличивание персональных данных
Общее описание
Компонент обезличивания на уровне ПДн использует систему обезличивания, описанную на уровне управления идентификационными данными и управления доступом, связанную с заменой идентификаторов, раскрывающих подлинные идентификационные данные субъекта ПДн, на обезличенные, скрывающие подлинные идентификационные данные.
Другой способ достижения целей обезличивания ПДн заключается в том, что информация делается частично анонимной.
Примеры возможного применения обезличивания ПДн включают в себя случаи, когда:
- идентификационные данные субъекта ПДн не требуются для достижения целей обработки ПДн;
- для обработки ПДн требуется идентификатор (например, при применении для обезличивания метода введения идентификатора).
Субъект ПДн
ИСПДн субъекта ПДн осуществляет обезличивание собранных ПДн перед их отправкой в ИСПДн оператора.
Оператор ПДн
Компонент обезличивания в ИСПДн оператора может использоваться для обработки подвергшихся обезличиванию идентификационных данных в ПДн, полученных от ИСПДн субъекта. Если система обезличивания основана на двусторонней функции, совместно используемой субъектом ПДн и оператором ПДн, последний может также повторно идентифицировать ПДн, когда это необходимо. ИСПДн оператора может также использовать обезличивание ПДн, которые передаются в систему обработчика ПДн. При раскрытии ПДн различным взаимодействующим сторонам (субъектам) следует использовать различные или по-разному параметризованные функции обезличивания.
Например, если ПДн передается в ИСПДн нескольких обработчиков ПДн, то для снижения риска сговора между обработчиками для ПДн, предоставляемых каждому обработчику, должны использоваться разные функции обезличивания. Оператор ПДн ведет реестр обработчиков ПДн и применяемых ими методов, а также параметров обезличивания. Кроме того, каждый случай раскрытия ПДн должен регистрироваться обеими сторонами, а транзакции раскрытия - системами оператора ПДн и обработчика ПДн.
Обработчик ПДн
ИСПДн обработчика может осуществлять обезличивание, если ей даются такие инструкции оператором ПДн.
7.2.4.5 Распределение секрета
Общее описание
Распределение секрета - это метод разделения значений ПДн на части, которые по отдельности не раскрывают никакую информацию об исходном значении. Распределение секрета может быть использовано для сбора ПДн с целью снижения риска нарушения безопасности ПДн. Распределение секрета обеспечивает более высокую защищенность ПДн в ИСПДн субъекта ПДн в сочетании с безопасными многосторонними вычислениями.
Распределение секрета может быть использовано для снижения риска со стороны нарушителей, так как сторона, имеющая доступ к части значений ПДн, не может узнать из них исходное значение. Это существенно усложняет атаки со стороны нарушителей. Для получения оптимальных результатов распределения секрета требуется наличие в системе более чем одного представителя каждого действующего субъекта. Каждый представитель должен хранить и обрабатывать ограниченное число частей ПДн.
Субъект ПДн
ИСПДн субъекта может осуществлять распределение секрета для ПДн, собранных у субъектов ПДн. Полученные части затем передаются операторам ПДн.
Оператор ПДн
ИСПДн оператора может использовать распределение секрета для обработки прошедших распределение секрета ПДн, полученных от системы субъекта ПДн, или для осуществления распределения секрета в отношении представленных открытым текстом ПДн до их передачи в систему обработчика ПДн.
Обработчик ПДн
ИСПДн обработчика может использовать распределение секрета для одной из целей. Во-первых, хранение или загрузка ПДн, прошедших распределение секрета, до их обработки. В этом случае ПДн хранятся в форме с распределением секрета, но восстанавливаются перед обработкой. Во-вторых, использование в сочетании с безопасными многосторонними вычислениями. В этом случае можно выполнять вычисления непосредственно с ПДн, прошедшими распределение секрета.
7.2.4.6 Шифрование персональных данных
Общее описание
Компоненты шифрования ПДн могут обеспечивать применение механизмов шифрования ПДн перед их хранением. Проектирование ИСПДн может включать в себя определение того, какие хранящиеся ПДн должны быть зашифрованы. В зависимости от требований защиты обеспечения безопасности ПДн ключи шифрования могут совместно использоваться системами ИСПДн так, чтобы каждая из них могла расшифровывать ПДн и получать к ним соответствующий доступ. Если используется метод безопасных вычислений, способный обрабатывать зашифрованные ПДн, то для обработки не требуется выполнять процедуру расшифровывания информации.
Сервисы компонента могут включать в себя управление ключами, шифрованием ПДн в базах данных и шифрованием хранящихся ПДн, таких как резервные файлы и архивы. При этом проектирование и реализация методов шифрования ПДн должны проводиться в соответствии с действующими нормативными правовыми актами.
Шифрование ПДн может использоваться для защиты хранящихся ПДн. Это может осуществляться с двумя целями. Во-первых, можно хранить зашифрованные ПДн для предотвращения несанкционированного доступа к ним. Если они требуют обработки, осуществляется процедура расшифровывания с помощью соответствующего ключа. Шифрование ПДн снижает риск утечки данных из резервных копий. Во-вторых, ПДн могут быть зашифрованы для подготовки их к обработке в зашифрованном виде с использованием методов безопасных вычислений согласно действующим нормативным правовым актам.
7.2.4.7 Использование персональных данных
Общее описание
Для использования ПДн в вычислениях или анализе в ИСПДн действующего субъекта должен реализоваться компонент использования ПДн. В этом компоненте реализована логика обработки ПДн. Следует отметить, что для некоторых сценариев использования ПДн для снижения рисков потери ПДн могут применяться безопасные вычисления.
7.2.4.8 Безопасные вычисления
Безопасные вычисления могут использоваться для того, чтобы дать возможность операторам ПДн и обработчикам ПДн обрабатывать ПДн, не имея доступа к исходным входным значениям. Вместо этого методы безопасных вычислений осуществляют вычисления с использованием ПДн, которые были преобразованы с помощью технологий, улучшающих конфиденциальность персональных данных, таких как шифрование или распределение секрета.
Подмножество методов безопасных вычислений, известное как безопасные многосторонние вычисления, представляет собой метод, при котором стороны могут совместно вычислять некоторое значение на основе индивидуально хранимых частей информации, не раскрывая в процессе обработки данные части друг другу. Для обеспечения оптимальной защиты от нарушений при безопасных многосторонних вычислениях должны быть задействованы несколько операторов ПДн или обработчиков ПДн и их ИСПДн, каждая со своей соответствующей информацией.
Безопасные вычисления могут снижать риск утечки ПДн из системы персональных данных действующего субъекта, так как ПДн не предоставляются обрабатывающей стороне в открытой форме.
7.2.4.9 Управление запросами
Общее описание
Компонент управления запросами ИСПДн оператора и/или обработчика ПДн реализуется для фильтрации входящих запросов. Например, сервис может отказаться отвечать на статистический запрос, если для этого запроса недостаточно входных данных. Хотя отказ отвечать на запрос все же предоставляет некоторую информацию заинтересованной в обеспечении безопасности ПДн стороне, которая делает этот запрос, данный метод все же следует рассматривать как применимый в определенных сценариях.
Управление запросами - это специальный метод, используемый в приложениях "добычи данных", для сведения к минимуму обработки ПДн. Этот метод облегчает предоставление сервисов анализа ПДн, не внося риск злоупотребления ПДн и не ставя под угрозу точность алгоритмов "добычи данных". Процесс управления запросами следует использовать для обеспечения уверенности в обработке только достаточного количества ПДн для задействованных процессов.
Методы управления запросами включают в себя ограничение объема результатов запроса, контроль за перекрытием последовательных запросов, ведение контрольных журналов всех запросов, на которые даны ответы, и постоянную проверку на предмет возможной компрометации, отбрасывания ячеек ПДн малого размера и кластеризации объектов во взаимоисключающие элементарные совокупности.
7.2.4.10 Инвентарная опись персональных данных
Общее описание
Компонент инвентарной описи ПДн предоставляет обзор ПДн, хранящихся в ИСПДн. Информация из системы классификации ПДн должна использоваться для классификации хранящихся в системе значений ПДн. Для определения субъекта ПДн, связанного с конкретным элементом ПДн, должна использоваться система управления идентификационными данными. Компонент инвентарной описи ПДн должен предоставлять заинтересованной в обеспечении безопасности ПДн стороне, использующей систему, по крайней мере, следующую метрику:
- количество ПДн в системе (количество записей);
- количество субъектов ПДн, предоставивших информацию.
В зависимости от требований защиты ПДн этот компонент может предоставлять дополнительную информацию, такую как список субъектов ПДн.
Компонент инвентарной описи ПДн выполняет сходную функцию у всех действующих субъектов - предоставляет обзор того, сколько ПДн хранится в определенном месте и кто является соответствующими субъектами ПДн. ИСПДн оператора должна расширять эти функциональные возможности путем ведения учета обработки ПДн, выполненной системами обработчиков ПДн. Это должно осуществляться во взаимодействии с соответствующими компонентами управления ПДн и архивирования ПДн в ИСПДн обработчика.
7.2.4.11 Раскрытие персональных данных
Оператор ПДн
Компонент раскрытия ПДн отвечает за управление любым раскрытием ПДн оператором. Это может включать подготовку ПДн перед тем, как они покинут ИСПДн оператора. Например, оператор ПДн может обезличивать ПДн, используя соответствующий компонент, перед отправкой их обработчику ПДн. Раскрытие ПДн часто требует использования компонента передачи ПДн.
Если при раскрытии ПДн используется обезличивание, журнал регистрации должен содержать описание функции обезличивания, используемой для раскрытия ПДн. В такой ситуации в случаях раскрытия следует использовать разные функции обезличивания, поскольку это уменьшает возможность связывания раскрытых баз данных друг с другом, так как один и тот же идентификатор не преобразуется в один и тот же псевдоним.
Обработчик ПДн
ПДн могут быть раскрыты системой персональных данных обработчика ПДн таким же образом, как и системой оператора ПДн. Любое такое раскрытие должно быть осуществлено в соответствии с указаниями оператора ПДн.
7.2.4.12 Архивирование и хранение персональных данных
Общее описание
Если ПДн не находятся в активном использовании и планируется архивирование, их следует подготовить к архивированию. Компонент архивирования и хранения должен обеспечивать уверенность в том, что архив имеет достаточную защиту и что соблюдаются процедуры архивирования и хранения. Шифрование, распределение секрета и обезличивание могут использоваться для обеспечения защиты архивированных ПДн от несанкционированного доступа. При этом необходимо обеспечить сохранение и защиту параметров данных методов, например ключей шифрования, схемы распределения секрета или параметров обезличивания, чтобы осуществить последующее восстановление ПДн.
Если срок хранения ПДн истекает, этот компонент должен запланировать обезличивание или безопасное удаление ПДн из системы.
7.2.4.13 Протоколирование
Компонент протоколирования должен фиксировать каждую транзакцию, осуществляемую с ПДн. Этот компонент должен быть интегрирован с каждым другим компонентом, чтобы он мог фиксировать все соответствующие действия.
Идентификационные данные действующего субъекта или субъектов, которые получают доступ к ПДн, инициируют транзакции с ПДн или получают ПДн в результате транзакций с ПДн, должны быть зафиксированы в журнале регистрации транзакций. Это предполагает интеграцию протоколирования с аутентификацией, авторизацией и модулями уровня ПДн. Для предотвращения вмешательства в записи журнала регистрации следует использовать методы безопасного протоколирования.
7.2.4.14 Взаимосвязь между принципами обеспечения безопасности и компонентами на уровне персональных данных
Пример взаимосвязи между принципами обеспечения безопасности и компонентами на уровне персональных данных приведен в таблице 3. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципом, однако указанная взаимосвязь приводится только в качестве примера.
Таблица 3
Пример взаимосвязи между принципами обеспечения
безопасности и компонентами на уровне персональных данных
Компоненты | Принципы | ||||||||||
Согласие и выбор | Законность цели и ее спецификация | Ограничение на сбор информации | Минимизация данных | Ограничения в отношении использования, хранения и раскрытия | Точность и качество | Открытость, прозрачность и уведомление | Индивидуальное участие и доступ | Ответственность | Обеспечение безопасности информации | Соответствие | |
Управление ПДн | X | X | X | X | X | - | X | X | - | - | - |
Передача ПДн | X | X | - | X | X | - | X | X | - | - | - |
Проверка правильности ПДн | - | - | - | - | - | X | - | - | - | - | - |
Обезличивание ПДн | - | - | - | X | - | - | - | - | - | X | - |
Распределение секрета | - | - | - | X | - | - | - | - | - | X | - |
Шифрование ПДн | - | - | - | X | - | - | - | - | - | X | - |
Использование ПДн | X | X | - | X | X | X | X | - | - | - | - |
Безопасные вычисления | - | - | - | X | - | - | - | - | - | X | - |
Управление запросами | - | - | - | X | X | - | - | - | - | X | - |
Инвентарная опись ПДн | - | - | - | X | X | - | X | - | X | - | - |
Раскрытие ПДн | X | X | - | X | X | - | X | - | - | - | - |
Архивирование и хранение ПДн | X | X | - | X | X | - | X | - | - | - | - |
Протоколирование | - | - | - | - | - | - | - | - | X | X | - |
Подписаться на обновления