ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных
Введение
Настоящий стандарт предоставляет высокоуровневые основы обеспечения безопасности персональных данных (ПДн) в информационных системах персональных данных. Стандарт является общим по своему характеру, определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения безопасности персональных данных.
Общие принципы обеспечения безопасности ПДн предназначены для содействия организациям в определении требований к мерам защиты ПДн в информационных системах персональных данных посредством:
- продвижения общей терминологии, связанной с обеспечением безопасности ПДн;
- определения субъектов и их ролей при обработке ПДн;
- описания требований к мерам обеспечения безопасности ПДн;
- использования ссылок на известные основы обеспечения безопасности ПДн.
В некоторых странах положения настоящего стандарта, связанные с мерами защиты ПДн, могут расцениваться как уточнение и дополнение к законодательным требованиям обеспечения безопасности ПДн <1>. Из-за растущего числа информационно-коммуникационных технологий (ИКТ), которые обрабатывают ПДн, важно применять стандарты по информационной безопасности, которые обеспечивают общее понимание защиты ПДн. Настоящий стандарт предназначен для улучшения существующих стандартов безопасности за счет акцентирования внимания на обработке персональных данных.
--------------------------------
<1> Настоящий стандарт необходимо применять с учетом требований национальных нормативных правовых актов и стандартов в области защиты информации стран Содружества Независимых Государств.
Увеличение коммерческого использования и ценности ПДн, совместного применения ПДн разными странами, а также растущая сложность информационных систем персональных данных могут затруднить для организации обеспечение безопасности ПДн и соответствие нормативным правовым актам. Лица, заинтересованные в обеспечении безопасности ПДн, могут предотвратить возникновение неуверенности и недоверия посредством надлежащего обращения с ПДн, а также избегая случаев нарушения типовых правил обработки ПДн.
Использование настоящего стандарта призвано:
- содействовать проектированию, реализации, эксплуатации и поддержке систем, которые обрабатывают ПДн при условии обеспечения их защиты;
- стимулировать инновационные решения, позволяющие обеспечивать безопасность ПДн в информационных системах персональных данных;
- совершенствовать корпоративные программы обеспечения безопасности ПДн благодаря использованию лучших практических приемов.
Основы обеспечения безопасности ПДн, представленные в настоящем стандарте, могут служить базой для дополнительных инициатив по стандартизации безопасности ПДн, таких как:
- применение базовой технической архитектуры;
- реализация и использование конкретных технологий обеспечения безопасности ПДн и общего управления защитой ПДн;
- применение мер обеспечения безопасности ПДн для процессов обработки данных в рамках аутсорсинга;
- оценка рисков нарушения безопасности ПДн;
- использование определенных технических спецификаций.
Некоторые страны могут потребовать соответствия с одним или несколькими нормативными документами, на которые имеются ссылки в постоянно действующем документе ISO/IEC JTC 1/SC 27 WG 5 "Standing Document 2 (WG 5 SD2) - Official Privacy Documents References" ("Библиографический список официальных документов по защите ПДн") [3], или с другими соответствующими законами и нормативными документами, но использование настоящего стандарта в качестве основы для разработки глобальной стратегии или законодательных основ не предусматривается (Изменение Amd.1:2018). |
|
Подписаться на обновления