ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

4.6 Политики защиты персональных данных

 

Высшее руководство организации, участвующее в обработке ПДн, призвано создать политику защиты ПДн. Политика защиты ПДн должна:

- соответствовать назначению организации;

- предоставлять структуру для установления целей;

- включать обязательство соответствовать применимым требованиям к мерам обеспечения безопасности ПДн;

- включать обязательство в части непрерывного совершенствования;

- быть озвучена в пределах организации;

- быть доступной заинтересованным сторонам.

Организация должна оформлять свою политику защиты ПДн в письменной форме. Если организация, обрабатывающая ПДн, является обработчиком ПДн, то эти политики могут в значительной степени определяться оператором ПДн. Политика защиты ПДн должна быть дополнена более детализированными правилами и обязательствами различных лиц, заинтересованных в защите ПДн, участвующих в обработке ПДн (например, процедуры для конкретных ведомств или сотрудников). Кроме того, меры обеспечения безопасности, которые используются для проведения в жизнь политики защиты ПДн в конкретных условиях (например, контроль доступа, обеспечение уведомлений, аудиты и т.д.), должны быть документированы четким образом.

Термин "политика защиты ПДн" часто используется для упоминания как о внутренних, так и о внешних политиках защиты ПДн. Внутренняя политика защиты ПДн документирует цели, правила, обязательства, ограничения и (или) формирование мер обеспечения безопасности ПДн, которые адаптированы организацией к удовлетворению требований к мерам обеспечения безопасности ПДн, являющихся важными для обработки ПДн. Внешние политики защиты ПДн предоставляются внешним поставщикам организации с уведомлениями о практиках организации защиты ПДн, а также о другой важной информации, например идентификационные данные и официальный адрес оператора ПДн, точки контакта, откуда субъекты ПДн могли бы получать дополнительную информацию, и т.д. В контексте такой структуры термин "политика защиты ПДн" используется для ссылки на внутреннюю политику защиты ПДн организации. На внешнюю политику защиты ПДн ссылаются как на уведомления.