ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

4.5 Требования к мерам обеспечения безопасности персональных данных

 

Организации заинтересованы в обеспечении безопасности ПДн по разным причинам: чтобы защищать право на обеспечение безопасности ПДн субъекта, соответствовать правовым и нормативным требованиям, выполнять обязанности корпорации, повышать доверие клиентов и т.д. Цель данного подраздела заключается в определении различных факторов, которые могут влиять на требования к мерам защиты ПДн, являющиеся соответствующими для отдельных организаций или лиц, обрабатывающих ПДн и заинтересованных в обеспечении права на защиту ПДн.

Требования к мерам защиты ПДн могут затрагивать различные аспекты обработки ПДн, например сбор и сохранение ПДн, передачу ПДн третьим сторонам, договорные взаимоотношения между операторами ПДн, обработчиками ПДн, трансграничную передачу ПДн и т.д. Требования к мерам защиты ПДн могут также различаться по специфике. Они могут быть общими по характеру, например состоять из определенного количества высокоуровневых принципов защиты ПДн, которые, как ожидается, организация будет принимать во внимание при обработке ПДн. Однако требования к мерам защиты ПДн могут включать к себя очень специфические ограничения на обработку определенных типов ПДн или предписывать реализацию специфических мер обеспечения безопасности ПДн.

Разработке какой-либо системы ИКТ, осуществляющей обработку ПДн, должна предшествовать идентификация соответствующих требований к мерам защиты ПДн. Последствия обеспечения защиты ПДн, связанные с новыми или значительно модифицированными системами, участвующими в обработке ПДн, должны быть приняты во внимание (разрешены) до того, как такие информационные системы персональных данных будут реализованы. В плановом порядке организации выполняют широкий спектр деятельностей по управлению рисками и разрабатывают профили риска, относящиеся к их информационным системам персональных данных.

Управление рисками определяется как "скоординированные действия по руководству и управлению организацией в отношении риска" (ISO Guide 73:2009). Процесс управления рисками защиты ПДн включает в себя следующие процессы:

- установление контекста путем осмысления организации (например, обработка ПДн, обязанности), технической среды и факторов, влияющих на управление рисками нарушения безопасности ПДн (т.е. правовые и нормативные факторы, договорные факторы, факторы бизнеса и другие факторы);

- оценку риска путем идентификации, анализа и оценивания рисков для субъектов ПДн (риски, которые могут повлиять на них неблагоприятным образом);

- обработку риска путем определения требований по защите ПДн, идентификации и реализации мер обеспечения безопасности ПДн для предотвращения или уменьшения рисков для субъектов ПДн;

- коммуникации и консультирование путем получения информации от заинтересованных сторон, достижения согласия по каждому процессу управления рисками, а также информирования субъектов ПДн и сообщения им о рисках и мерах обеспечения безопасности ПДн;

- мониторинг и пересмотр путем отслеживания рисков, мер обеспечения безопасности ПДн, а также усовершенствования процесса.

Одним из результатов может быть оценка влияния защиты ПДн, которая является составной частью управления рисками, направленного на обеспечение соблюдения законодательных требований в части защиты ПДн, и оценка последствий обеспечения защиты ПДн в новых или существенно измененных программах или видах деятельности. Оценки влияния защиты ПДн должны быть оформлены в рамках более широкой структуры управления рисками организации.

 

 

Рисунок 1 - Факторы, влияющие на управление рисками

в области защиты ПДн

 

Требования к мерам защиты ПДн идентифицируются как часть общего процесса управления рисками обеспечения прав субъектов ПДн, на который оказывают влияние следующие факторы (как показано на рисунке 1 и описано далее):

- правовые и нормативные факторы, направленные на защиту прав физического лица и защиту его ПДн;

 

- договорные факторы, такие как соглашения между несколькими различными субъектами, политики организации и обязательные корпоративные правила (Изменение Amd.1:2018);

 

- факторы бизнеса, предопределенные специфичными бизнес-приложениями или, в отдельных случаях, специфичным контекстом;

- другие факторы, которые могут влиять на проектирование информационной системы персональных данных и связанные с ними требования к мерам обеспечения безопасности ПДн.

4.5.1 Правовые и нормативные факторы

Требования к мерам обеспечения безопасности ПДн часто отражены в (1) международных, национальных и местных законах, (2) постановлениях, (3) судебных решениях или (4) договорных соглашениях с советами трудовых коллективов или другими организациями работников. Некоторые примеры местного и национального законодательства включают в себя законы о защите данных, о защите прав потребителя, законы о предупреждении нарушений, законы о хранении данных и трудовое законодательство. Соответствующие международные законы могут включать в себя правила, затрагивающие трансграничную передачу ПДн. Операторы ПДн должны быть осведомлены обо всех соответствующих требованиях к мерам обеспечения безопасности ПДн, вытекающих из правовых или нормативных факторов. Для достижения этой цели операторы могут действовать в тесном сотрудничестве с юрисконсультами. В то время как для многих стран ответственность за соблюдение требований, в конечном счете, несет оператор ПДн, все стороны, участвующие в обработке ПДн, также должны занять активную позицию в определении соответствующих требований обеспечения защиты ПДн, вытекающих из правовых и нормативных факторов.

4.5.2 Договорные факторы

Договорные обязательства также могут влиять на требования к мерам защиты ПДн. Эти обязательства могут являться результатом соглашений между несколькими субъектами и соглашений с отдельными субъектами, например соглашения обработчиков ПДн, соглашения операторов ПДн и третьих сторон. Например, лицо, заинтересованное в обеспечении защиты ПДн, может потребовать, чтобы третьи стороны использовали определенные меры обеспечения безопасности ПДн и согласовывали требования о распоряжении специфическими ПДн до передачи им ПДн. Требования к мерам защиты ПДн могут также определяться политикой организации и обязательными корпоративными правилами, которые лицо, заинтересованное в обеспечении защиты ПДн, определило само для себя, например для защиты торговой марки от утраты репутации в случае нарушения прав субъектов на обеспечение безопасности своих ПДн.

 

В принципе любая сторона, имеющая доступ к ПДн, должна быть поставлена в известность о своих обязательствах со стороны оператора(ов) ПДн в формализованном виде, например путем заключения договора с третьей стороной. Такие соглашения, вероятно, будут содержать ряд требований к мерам защиты ПДн, которые получатели ПДн должны принимать во внимание. В некоторых странах национальные и региональные органы могут иметь установленные правовые и договорные инструменты, делающие возможной передачу ПДн третьим сторонам (Изменение Amd.1:2018).

 

4.5.3 Факторы бизнеса

На требования к мерам обеспечения безопасности ПДн могут также влиять факторы бизнеса, к которым относятся определенные характеристики, предусмотренные для применения, или контекст их использования. Факторы бизнеса могут широко варьироваться в зависимости от типа лица, заинтересованного в обеспечении защиты ПДн, и вида бизнеса. Например, они могут иметь отношение к сегменту, в котором организация функционирует (например, отраслевые нормы, кодекс поведения, лучшие практики, стандарты), или к характеру модели бизнеса (например, онлайновые сервисы в непрерывном режиме, сервисы совместного использования информации, банковские приложения).

 

Многие бизнес-факторы не оказывают прямого влияния на требования к защите конфиденциальности. Предполагаемое использование ПДн, вероятно, повлияет на реализацию организацией политики конфиденциальности, а также на выбор мер обеспечения безопасности ПДн. Однако организация не должна изменять принципы защиты ПДн, на которые она подписывается из-за этого. Например, для предоставления определенной услуги может потребоваться поставщик услуг, который может собирать дополнительные ПДн для того, чтобы больше сотрудников обрабатывало отдельные виды ПДн. Тем не менее, надзорному органу идентификационных данных (ПДн), который поддерживает принципы, содержащиеся в правилах обращения с ПДн, следует тщательно оценить, какие типы ПДн необходимы для предоставления услуги (принцип ограничения сбора), и ограничить обработку ПДн сотрудниками организации, предоставляющей услуги, до уровня, необходимого для того, чтобы выполнять свои обязанности (принцип минимизации данных) (Изменение Amd.1:2018).

 

4.5.4 Другие факторы

Наиболее важный фактор, который следует учитывать организации при идентификации требований к мерам обеспечения безопасности ПДн, связан с предпочтениями субъектов ПДн в сфере защиты ПДн. Персональная позиция физического лица по отношению к защите ПДн и то, что оно вкладывает в понятие "риски", может зависеть от ряда факторов, включающих: понимание физическим лицом используемой технологии, их происхождение, предоставляемую информацию, назначение транзакций, приобретенный опыт, а также социально-психологические факторы.

Проектировщики информационной системы персональных данных должны понимать вероятные проблемы обеспечения защиты ПДн субъектов ПДн и типы ПДн, которые будут обрабатываться с помощью этой системы. Проектировщики, так же как разработчик системы или приложения или поставщик услуг, изучают целевую аудиторию клиентов, нуждающихся в обеспечении защиты ПДн, для того чтобы понять их ожидания и предпочтения относительно обеспечения защиты ПДн. Проектировщики информационных систем персональных данных не всегда могут предоставить субъекту ПДн выбор, который бы соответствовал их предпочтению по обеспечению защиты ПДн.

Примеры предпочтений по обеспечению защиты ПДн могут включать в себя предпочтение анонимности или назначения псевдонимов, возможность ограничения доступа к конкретным ПДн или возможность ограничения цели обработки ПДн. До определенной степени субъекту ПДн предоставляется выбор предпочтения обработки его данных, например использовать ли ПДн во вторичных целях, таких как маркетинг. Способность выразить предпочтения, не влияющие неблагоприятным образом на защиту ПДн, могут быть реализованы с помощью графического интерфейса пользователя информационной системы персональных данных. Это может помочь субъекту ПДн сделать выбор, представив набор предопределенных вариантов общих предпочтений в части обеспечения защиты ПДн с использованием легко понимаемого языка. Реализация пользовательского интерфейса может быть основана на таких элементах, как поля выбора и выпадающее меню.

В дополнение к факторам, перечисленным в предыдущих пунктах, существуют другие факторы, которые могут влиять на проектирование информационных систем персональных данных и связанные с ними требования к мерам обеспечения безопасности ПДн. Например, на требования к мерам обеспечения безопасности ПДн могут влиять системы внутреннего контроля или технические стандарты, принятые организацией (например, такой рекомендуемый стандарт, как стандарт ISO).