ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5 Принципы защиты персональных данных

5.1 Общий обзор принципов защиты персональных данных

Принципы конфиденциальности, описанные в настоящем стандарте, основаны на существующих принципах, разработанных рядом стран и международных организаций. Эти правила нацелены на внедрение принципов защиты ПДн в информационных системах персональных данных и развитие систем управления защитой данных, которые должны быть внедрены в рамках информационных систем организации. Принципы защиты ПДн должны использоваться при проектировании, разработке и внедрении политики конфиденциальности и мер обеспечения безопасности ПДн. Кроме того, они могут быть использованы в качестве основы при мониторинге и измерении эффективности, анализе и внедрении лучших практик, проведении аудита аспектов программы управления конфиденциальностью в организации (Изменение Amd.1:2018).

Несмотря на различия в социальных, культурных, правовых и экономических факторах, которые могут ограничивать применение этих принципов в одном и том же контексте, рекомендуется применение любых принципов, приведенных в настоящем стандарте. Любые исключения из этих принципов должны быть ограничены.

Основу настоящего стандарта формируют принципы обеспечения безопасности ПДн, которые приведены в таблице 3.

Таблица 3

Принципы обеспечения безопасности ПДн

1 Согласие и выбор

2 Законность цели и ее спецификация

3 Ограничение на сбор информации

4 Минимизация данных

5 Ограничения в отношении использования, хранения и раскрытия

6 Точность и качество

7 Открытость, прозрачность и уведомление

8 Индивидуальное участие и доступ

9 Ответственность

10 Информационная безопасность

11 Соответствие безопасности ПДн