ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.11 Информационная безопасность

 

Соблюдение принципа обеспечения информационной безопасности означает:

- защиту ПДн в рамках своих полномочий с помощью соответствующих мер обеспечения безопасности на эксплуатационном, функциональном и стратегическом уровне для обеспечения их целостности, конфиденциальности и доступности, а также защиту от рисков, таких как несанкционированный доступ, разрушение, использование, модификация или раскрытие либо потеря в течение всего их жизненного цикла;

- выбор обработчиков ПДн, которые предоставляют достаточные гарантии относительно как организационных, физических и технических мер обеспечения безопасности обработки ПДн, так и обеспечения соответствия этим мерам;

- базирование мер обеспечения безопасности ПДн на требованиях соответствующего законодательства, стандартов безопасности, а также результатах систематических оценок рисков безопасности, как описано в ISO 31000, и результатах анализа "затраты/выгода";

- реализацию мер обеспечения безопасности соразмерно вероятности и серьезности потенциальных последствий, чувствительности ПДн, числу субъектов ПДн, которые могут быть затронуты, и контексту, в котором она производится;

- ограничение доступа к ПДн для пользователей, кроме тех лиц, кому такой доступ требуется для выполнения своих обязанностей, и ограничение доступа лицам, имеющим доступ к ПДн, только к той части ПДн, которые им необходимы для выполнения своих обязанностей;

- принятие решений относительно рисков и уязвимостей, обнаруженных с помощью оценок риска обеспечения защиты ПДн и процессов аудита;

- периодический пересмотр и переоценка мер обеспечения безопасности ПДн в процессе постоянного управления рисками безопасности.