Information technology. Security techniques. Personal data protection architecture framework
УДК 006.34:004.056:004.056.5:004.056.53:006:354
ОКС 35.030
Дата введения - 30 ноября 2021 г.
Введен впервые
Предисловие
1 Разработан Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.")
2 Внесен Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 415-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 29101:2018 "Информационные технологии. Методы и средства обеспечения безопасности. Архитектура обеспечения приватности" (ISO/IEC 29101:2018 "Information technology - Security techniques - Privacy architecture framework", NEQ).
ИСО/МЭК 29101 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)
5 Введен впервые
6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта. Патентообладатель может заявить о своих правах и направить в национальный орган по стандартизации аргументированное предложение о внесении в настоящий стандарт поправки для указания информации о наличии в стандарте объектов патентного права и патентообладателе
Введение
Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных.
Описанная в настоящем стандарте архитектура защиты персональных данных:
- предоставляет последовательный высокоуровневый подход к реализации мер защиты при обработке персональных данных с использованием средств автоматизации;
- предоставляет руководство по планированию, проектированию и построению архитектур информационных систем персональных данных, которые обеспечивают защиту персональных данных путем контроля за их обработкой, доступом и передачей;
- показывает, как технологии, обеспечивающие конфиденциальность персональных данных действующих субъектов персональных данных, могут использоваться в качестве мер защиты.
Настоящий стандарт учитывает основные положения нормативных правовых актов Российской Федерации.
Положения настоящего стандарта не исключают применение криптографических методов (алгоритмов) при обеспечении безопасности персональных данных, в частности их шифрование, но не устанавливают требования по их реализации.
1 Область применения
Настоящий стандарт содержит описание базовой архитектуры защиты персональных данных, которая:
- определяет значимые вопросы, касающиеся информационных систем персональных данных;
- предоставляет перечень компонентов при реализации таких систем;
- предоставляет базовые архитектурные решения, рассматриваемые в контексте данных компонентов.
Настоящий стандарт применим для организаций, участвующих в определении, приобретении, разработке архитектуры, проектировании, тестировании, поддержке, администрировании и эксплуатации информационных систем персональных данных.
Основное внимание в настоящем стандарте уделено информационным системам персональных данных, предназначенным для взаимодействия с субъектами персональных данных.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 57100-2016/ISO/lEC/IЕЕЕ 42010:2011 Системная и программная инженерия. Описание архитектуры
ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Основные положения
ГОСТ Р 59382 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины, определения и сокращения
3.1 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922 и ГОСТ 58833, а также следующие термины с соответствующими определениями:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ 58833" следует читать "ГОСТ Р 58833"
3.1.1 безопасность персональных данных: Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
3.1.2
информационная система персональных данных: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. |
3.1.3 конфиденциальность персональных данных: Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
3.1.4 нарушитель безопасности персональных данных: Физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
3.1.5
обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. |
3.1.6
обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
3.1.7
оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
3.1.8 персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Примечания
1 Адаптировано из [1], статья 3.
2 Персональными данными являются, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация физического лица.
3.1.9
предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
3.1.10 распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
3.1.11 угрозы безопасности персональных данных: Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
3.1.12 уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3.2 Сокращения
В настоящем стандарте применены следующие сокращения:
ИСПДн - информационная система персональных данных;
ПДн - персональные данные.
4 Общий обзор базовой архитектуры защиты персональных данных
4.1 Элементы архитектуры
Представленная в настоящем стандарте базовая архитектура защиты ПДн предназначена для использования в качестве технического руководства для разработчиков ИСПДн. Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн.
Данная базовая архитектура направлена на защиту ПДн. Поскольку защита ПДн является целью обеспечения безопасности информации, то ИСПДн, обрабатывающие ПДн, должны следовать принципам проектирования систем безопасности информации. В данной базовой архитектуре определены некоторые компоненты обеспечения безопасности информации, которые имеют решающее значение для защиты ПДн. Представленная базовая архитектура основана на модели, приведенной в ГОСТ Р 57100.
Значимые вопросы, касающиеся базовой архитектуры защиты ПДн, приведены в разделе 6 и включают в себя принципы обеспечения безопасности ПДн, характерные для ИСПДн.
Базовая архитектура может быть представлена следующим образом:
- уровни технической базовой архитектуры, приведенные в 7.2, определяют ее с точки зрения компонентов. В каждом уровне сгруппированы компоненты, имеющие общую цель или сходную функцию;
- модель реализации, приведенная в 7.3, определяет базовую архитектуру с точки зрения автономной ИСПДн. Каждое представление показывает группировку компонентов в зависимости от их реализации в ИСПДн;
- представления, приведенные в 7.4, определяют базовую архитектуру с точки зрения взаимодействия. Эти представления демонстрируют взаимодействие компонентов между системами сторон, участвующих в обмене информацией.
Базовая архитектура предоставляет правила соответствия между значимыми вопросами и точками зрения посредством использования таблиц соответствия.
Центральным элементом базовой архитектуры является создаваемая ИСПДн. Субъект ПДн использует ИСПДн. На проектирование ИСПДн оказывают влияние значимые вопросы, рассматриваемые в настоящем стандарте, а также другие значимые вопросы. К другим значимым вопросам можно отнести вопросы, которые касаются нефункциональных требований, оказывающих влияние на качество функционирования, доступность и проектирование ИСПДн и не влияющих на функциональную обработку ПДн. Эти вопросы выходят за рамки применения настоящего стандарта.
ИСПДн может содержать компоненты из базовой архитектуры защиты ПДн, приведенной в настоящем стандарте, а также другие компоненты. Эти компоненты не обрабатывают ПДн, а имеют дело с другими функциональными возможностями ИСПДн, такими, как обеспечение доступности или предоставление специальных пользовательских интерфейсов. Такие компоненты также выходят за рамки применения настоящего стандарта.
4.2 Взаимосвязь с системой управления
Использование системы управления дает возможность операторам и обработчикам ПДн более эффективно выполнять требования защиты с помощью структурированного подхода. Структурированный подход предоставляет операторам ПДн возможность оценивать результаты и постоянно повышать эффективность системы управления.
Эффективная система управления является прозрачной в максимально возможной степени, но все же оказывает влияние на людей, процессы и технологии. Она должна быть частью программы внутреннего контроля и стратегии снижения рисков в организации, а ее реализация должна способствовать обеспечению соблюдения требований, установленных в [1].
5 Участники обработки персональных данных
5.1 Общие положения
Сторонами, участвующими в обработке ПДн, являются:
- субъект персональных данных;
- оператор персональных данных;
- обработчик ПДн, которому оператор персональных данных поручает обработку ПДн.
С точки зрения реализации базовая архитектура защиты ПДн разделена на три части. Каждая часть относится к реализованной ИСПДн с точки зрения каждого из участников.
ИСПДн, действующие субъекты и потоки ПДн между этими системами приведены на рисунке 1. Рисунок иллюстрирует логическое разделение функциональных возможностей базовой архитектуры защиты ПДн, описанной в настоящем стандарте. Он не предназначен для представления физической структуры, организации или аппаратных средств систем персональных данных.
Рисунок 1 - Действующие субъекты и их информационные системы персональных данных в соответствии с настоящим стандартом
Действующий субъект может нести или не нести ответственность за создание используемых им ИСПДн. Например, субъект ПДн может использовать систему, созданную и являющуюся ответственностью оператора ПДн, или система субъекта ПДн может быть частью системы оператора ПДн. Кроме того, функциональные возможности системы ПДн субъекта ПДн могут быть распределены по различным системам ПДн, владельцами которых являются субъект ПДн и оператор ПДн. Аналогичным образом оператор ПДн может предоставлять систему обработчику ПДн. Процессы обработки ПДн, в которых применяются ИСПДн, используют широкий спектр методов обмена информацией и моделей доверия. Базовая архитектура, приведенная в настоящем стандарте, основана на обобщении этих моделей.
Если оператор ПДн использует ИСПДн, находящуюся в организации, другие стороны, заинтересованные в обеспечении безопасности ПДн, могут налагать требования на эту систему. Например, система субъекта ПДн должна отвечать минимальным требованиям безопасности, чтобы иметь возможность подключаться к другим системам ПДн. Другие примеры включают в себя использование специальных компонентов обеспечения безопасности, таких как аппаратные устройства аутентификации, определенные версии операционной системы или специальные версии веб-браузера.
Примечания
1 В ИСПДн, например, использующих одноранговые коммуникации (способ связи, модель связи или технология связи, обеспечивающие коммуникации между являющимися равноправными объектами без центральных серверов), каждое приложение может брать на себя роли всех трех перечисленных действующих субъектов. Информация отправляется и принимается каждым равноправным узлом, поэтому каждый равноправный узел может быть оператором ПДн или обработчиком ПДн, которому другая сторона передала роль оператора персональных данных.
2 В приложениях социальных сетей ПДн могут обрабатываться любым пользователем, имеющим доступ к профилям других пользователей. Веб-приложения социальных сетей позволяют всем авторизованным и, возможно, анонимным пользователям сервиса обрабатывать ПДн (являться обработчиком), которые предоставлены подключенными к социальной сети субъектами ПДн.
5.2 Этапы жизненного цикла персональных данных при обработке
5.2.1 Сбор
Многие организации осуществляют сбор информации у субъектов ПДн. Осуществляя сбор персональных данных, организации должны учитывать предпочтительные способы защиты и законные права субъектов ПДн, а также требования обеспечения безопасности ПДн, установленные в [1]. На всех этапах обработки необходимо учитывать такие факторы, как тип ПДн, наличие согласия на обработку и необходимые способы защиты ПДн. Сбор ПДн следует осуществлять только в том случае, если он необходим для достижения заявленных целей.
С ПДн должна быть связана соответствующая документация. Примеры документации включают в себя (но не ограничиваются этим):
- программные теги, формулирующие цель(и), для которой(ых) могут использоваться ПДн;
- записи, описывающие цель(и), для которой(ых) могут использоваться ПДн;
- записи о данном субъектами ПДн согласии на обработку и о любых конкретных свойствах, которые необходимо отслеживать (например, специальные категории ПДн следует шифровать или удалять по истечении определенного периода времени).
Процессы сбора ПДн должны быть спроектированы таким образом, чтобы осуществлялся сбор только тех ПДн, которые необходимы для соответствующей транзакции. Организациям следует принимать меры для сведения к минимуму случайного/непреднамеренного сбора ПДн через системы ввода данных (например, формы веб-приложений, позволяющие вводить любую информацию). Ввод произвольных ПДн должен быть сведен к минимуму посредством использования полей ввода, учитывающих конкретные условия отображения, уменьшающего или устраняющего области в веб-форме, куда можно вводить такую информацию (например, удаляя ненужные кнопки-флажки и поля для свободного текста). Кроме того, следует рассмотреть вопрос использования полей с заранее определенными элементами (например, окна списка и "выпадающие" списки), содержащими не относящиеся к ПДн опции. Если необходимы текстовые поля произвольной формы, пользовательский интерфейс должен обеспечивать:
- предупреждения, предостерегающие субъекта ПДн, что он не должен вводить ПДн, кроме тех, что явно запрашиваются и на которые дается согласие на обработку, или тех, что требуются в соответствии с применимым законодательством;
- однозначное указание тех полей, куда должны вводиться ПДн, и того, какие ПДн должны быть введены (например, фамилия, адрес, информация о здоровье);
- однозначное указание тех полей, куда не следует вводить ПДн.
5.2.2 Передача
Передача, распространение или раскрытие ПДн другим лицам означают, что ПДн больше не находятся под единоличным контролем оператора ПДн. Термин "передача" обычно представляет собой термин, используемый для описания распространения ПДн от оператора или обработчика ПДн другим операторам и обработчикам ПДн. Если ПДн передаются от оператора ПДн другому действующему субъекту, передача может называться "раскрытием".
Ответственность и подотчетность за переданные ПДн следует согласовывать и поддерживать каждой стороной, участвующей в обработке ПДн. Такое соглашение должно быть составлено в письменной форме. Кроме того, такие соглашения должны соответствовать положениям [1] в исходном и целевом домене передачи. В соответствующих случаях или когда это требует законодательство, субъект ПДн должен быть уведомлен об осуществлении передачи и проинформирован о содержании и цели передачи. В случае возникновения спора между субъектом ПДн и оператором или обработчиком ПДн должны быть доступны записи соответствующих транзакций передачи ПДн для последующего применения письменных доказательств в разрешении любого подобного спора.
Передачи специальных категорий ПДн следует избегать, если только это:
- не является необходимым для предоставления услуги, которую запрашивает субъект ПДн с его письменного согласия на обработку ПДн;
- не отвечает требованиям для предложения запрашиваемой услуги;
- не регулируется положениями, указанными в [1].
Во время передачи ПДн следует применять соответствующие меры обеспечения безопасности ПДн. В случае передачи ПДн должны передаваться по защищенному каналу или в зашифрованном виде, если передача осуществляется по незащищенному каналу. Если ПДн передаются на физическом носителе информации, они должны быть зашифрованы. Если используется шифрование, ключ шифрования не должен храниться или передаваться вместе с зашифрованными ПДн.
5.2.3 Использование
Использование ПДн означает любую форму обработки ПДн, которая не включает "сбор", "передачу", "хранение", "архивирование" или "уничтожение". Принципы обеспечения безопасности ПДн, а также нормативные правовые акты, например [1], могут ограничивать обработку ПДн, если эта обработка несовместима с первоначально указанными целями. Соответственно ПДн должны обрабатываться только для заявленных целей, для которых осуществлялся их сбор.
Если ПДн требуется обрабатывать для другой цели, не охватываемой действующим законодательством, от субъекта ПДн или его представителя следует получить согласие на обработку. Субъекту ПДн должен быть предоставлен способ связи с оператором ПДн в случае возникновения любых вопросов о каких-либо действиях, которые не ясны субъекту ПДн.
В случаях, когда такая обработка считается необходимой, должно быть получено согласие субъекта ПДн, если иное не разрешено законом. Субъектам ПДн следует представлять четкое уведомление о конкретном использовании ПДн. Кроме того, должны быть применены механизмы защиты, соответствующие использованию ПДн. Механизмы защиты включают в себя использование методов обезличивания перед обработкой, а также применение методов безопасных вычислений во время обработки.
5.2.4 Хранение
Одним из условий хранения ПДн является наличие согласия субъекта ПДн на применение конкретных мер в соответствии с действующим законодательством. В таких случаях ПДн должны храниться только в течение времени, необходимого для достижения конкретной бизнес-цели.
ПДн должны храниться с применением соответствующих мер защиты и механизмов для предотвращения несанкционированного доступа, модификации, уничтожения, удаления или иного несанкционированного использования. Такие меры защиты включают в себя (но не ограничиваются) шифрование и обезличивание.
Архивирование ПДн требует особого внимания. Принципы обеспечения безопасности ПДн определяют, что ПДн следует сохранять только до тех пор, пока это необходимо для выполнения заявленных целей, а затем их следует безопасно уничтожить или обезличить. Однако, если оператору ПДн или обработчику ПДн в соответствии с действующим законодательством требуется сохранение ПДн после истечения срока действия других целей, ПДн должны быть заблокированы (т.е. архивированы и защищены с помощью механизма управления доступом для предотвращения дальнейшего использования). Основные соображения при архивировании ПДн должны заключаться в обеспечении уверенности в наличии соответствующих механизмов защиты ПДн, включая решения по управлению доступом, обеспечивающие доступ к архивированной ПДн только уполномоченным пользователям.
Оператор ПДн должен реализовать меры защиты для уничтожения ПДн в системах хранения по истечении срока действия цели хранения или в случае, когда цель хранения или обработки ПДн больше не являются действительными.
5.2.5 Уничтожение
На завершающем этапе жизненного цикла ПДн происходит удаление или уничтожение ПДн. Конкретные ПДн в записях могут быть заблокированы от несанкционированного использования путем их маркировки для уничтожения. Следует отметить, что удаление ПДн не обязательно означает, что ПДн уничтожаются окончательно, так как удаленные ПДн в информационных системах могут быть восстановлены. Хотя эта задача может казаться очевидной при обработке ПДн, процедуры, касающиеся уничтожения ПДн, иногда не соответствуют требованиям защиты. Перед уничтожением ПДн должны учитываться спецификации, представленные оператором ПДн (например, цель использования), или требования, установленные законодательством (например, дата истечения срока действия для конкретных ПДн).
6 Значимые вопросы
6.1 Общие положения
Значимыми, как определено в ГОСТ Р 57100, считаются вопросы, отражающие необходимость обеспечения безопасности ПДн для одной или нескольких сторон взаимодействия. Базовая архитектура защиты ПДн, приведенная в настоящем стандарте, отражает наиболее значимые вопросы защиты для сторон, связанных с обработкой ПДн. Значимые вопросы касаются принципов обеспечения безопасности ПДн и требований защиты ПДн, вытекающих из этих принципов и согласующихся с ними.
Все установленные требования обеспечения безопасности ПДн должны соответствовать действующему законодательству и/или определяться в соответствии с процессом управления рисками нарушения безопасности ПДн. Организации, проектирующие систему, которая обрабатывает ПДн, должны следовать этому процессу перед составлением модели угроз и модели нарушителя.
6.2 Принципы обеспечения безопасности персональных данных
Оператор ПДн отвечает за обеспечение защиты ПДн и за легитимное обращение с ней в любое время в масштабах всей организации, а также за обработку ПДн, осуществляемую по поручению обработчиком ПДн.
Оператор ПДн несет полную ответственность за реализацию мер защиты при обработке ПДн. Меры защиты обеспечивают уверенность в том, что требования защиты, установленные для конкретного субъекта ПДн, транзакции или сценария, учитываются и последовательно выполняются. Подтверждение реализации мер защиты следует обеспечивать путем надлежащего документального оформления существующих мер защиты и предоставления заключения стороны, подтверждающей наличие таких мер, их правильную реализацию и надлежащее функционирование. В конечном счете оператор ПДн должен признавать и соблюдать принципы обеспечения безопасности ПДн, такие как:
- согласие и выбор;
- законность цели и ее спецификация;
- ограничение на сбор информации;
- минимизация данных;
- ограничения в отношении использования, хранения и раскрытия;
- точность и качество ПДн;
- открытость, прозрачность и уведомление;
- персонифицированный доступ;
- ответственность;
- обеспечение безопасности информации;
- соответствие требованиям нормативной правовой базы.
6.3 Требования защиты персональных данных
Информационные системы персональных данных должны реализовывать меры защиты как основной элемент на каждом этапе жизненного цикла ПДн. Требования защиты дают возможность разработчику системы реализовать связь между принципами обеспечения безопасности ПДн и компонентами архитектуры, приведенными в разделе 7.
Для реализации эффективных мер защиты в ИСПДн следует разработать схемы потоков, описывающих обработку ПДн. Блок-схемы обработки ПДн являются графическим представлением потока ПДн через ИСПДн и между различными участниками обмена ПДн. Например, если оператор передает ПДн обработчику, блок-схема обработки ПДн должна содержать элемент передачи ПДн.
Блок-схема обработки ПДн может быть представлена в виде таблицы потоков ПДн. В указанной таблице отслеживаются процессы сбора, передачи, использования, хранения или уничтожения ПДн и может указываться такая информация, как тип ПДн, действующий субъект, осуществлявший сбор ПДн, цель обработки, действующий субъект, которому будут переданы ПДн, необходимость получения согласия от субъекта ПДн, период хранения и место, где будут храниться ПДн, а также результирующий уровень риска нарушения безопасности ПДн. Таблица потоков ПДн используется в процессе управления рисками нарушения безопасности ПДн, на ее основе формируются модель угроз и модель нарушителя безопасности ПДн.
После завершения анализа требований разработчикам ИСПДн следует использовать перекрестные ссылки между требованиями защиты ПДН в ИСПДн и перечнем значимых вопросов, рассмотренных в настоящем стандарте. Затем требования защиты следует использовать для выбора компонентов архитектуры защиты ПДн, удовлетворяющих указанным требованиям.
В приложении А содержится примерный перечень значимых вопросов и описание взаимосвязи значимых вопросов с принципами обеспечения безопасности ПДн и компонентами базовой архитектуры защиты ПДн, приведенными в настоящем стандарте.
7 Архитектурные представления
7.1 Общие положения
Архитектурные представления в данном разделе систематизированы по трем видам (уровням):
- представление с точки зрения компонентов;
- представление с точки зрения субъектов (сторон);
- представление с точки зрения взаимодействия.
Представление с точки зрения компонентов описывает компоненты ИСПДн и разделяет их по уровням на основе их функциональных возможностей. Каждый уровень группирует компоненты, вносящие свой вклад в надлежащую обработку ПДн. Для каждого компонента приводится краткое руководство по реализации. Там, где это применимо, приводится руководство для оператора или обработчика ПДн. Это представление полезно для понимания компоновочных блоков в базовой архитектуре защиты ПДн. В представлении с точки зрения компонентов содержатся таблицы, показывающие примеры типичных взаимосвязей между принципами обеспечения безопасности ПДн и компонентами архитектуры защиты ПДн. Такие таблицы соответствия полезны для понимания того, как в ИСПДн соблюдаются принципы обеспечения безопасности ПДн. Аналогичные таблицы могут использоваться в качестве примеров и обновляться в ходе разработки системы с целью описания соблюдения принципов обеспечения безопасности ПДн в конкретной ИСПДн.
Представление субъекта рассматривает компоненты, описанные в представлении компонента, с точки зрения ИСПДн отдельного субъекта ПДн. Эта точка зрения полезна при проектировании архитектуры защиты ПДн для конкретной ИСПДн.
Представление взаимодействия рассматривает компоненты с точки зрения развертывания. Эта точка зрения полезна для понимания того, как компоненты в ИСПДн различных субъектов взаимодействуют друг с другом.
7.2 Представление с точки зрения компонентов
7.2.1 Общие положения
Представление с точки зрения компонентов предназначено для описания компонентов ИСПДн, которые участвуют в обработке ПДн.
При выборе компонентов следует руководствоваться соответствующими требованиями защиты ПДн. Разработчик ИСПДн для конкретного(ых) действующего(их) субъекта(ов) должен использовать данное представление для определения компонентов, которые необходимо включить в архитектуру разрабатываемой им системы. Эта архитектура должна основываться на требованиях обеспечения безопасности ПДн, установленных с использованием указаний, приведенных в разделе 7. Следует отметить, что не все компоненты, описанные в настоящем стандарте, обязательно подходят для конкретной ИСПДн.
Представление с точки зрения компонентов сгруппировано по трем уровням. Каждый уровень представляет собой логическую группу компонентов, которые способствуют достижению определенной цели при обработке ПДн. Компоненты на уровне установок по обеспечению безопасности ПДн относятся к управлению метаданными, связанными с обработкой ПДн, включая обмен информацией о целях обработки, согласии и предпочтительных способах обеспечения безопасности ПДн конкретного субъекта ПДн. Компоненты на уровне управления идентификационными данными и управления доступом отвечают за обеспечение уверенности в использовании правильной идентификационной информации при обработке ПДн и осуществлении управления доступом к ПДн в соответствии с требованиями обеспечения безопасности ПДн. Наконец, компоненты на уровне ПДн выполняют различные задачи по обработке ПДн.
Базовая архитектура защиты ПДн разработана с использованием предположения, что все компоненты взаимодействуют с несколькими другими компонентами. Однако для поддержания универсальности и удобочитаемости возможные взаимодействия между компонентами в представлении были опущены.
Некоторыми из компонентов базовой архитектуры являются технологии, улучшающие (обеспечивающие) конфиденциальность ПДн. Данный выбор технологий не является исчерпывающим. Существуют другие технологии, улучшающие (обеспечивающие) конфиденциальность ПДн, которые не описаны в настоящем стандарте. Разработчик ИСПДн отвечает за выбор соответствующих технологий и за их применение в данной базовой архитектуре.
Пример архитектуры ИСПДн, которая применяет технологии, улучшающие (обеспечивающие) конфиденциальность при обработке ПДн, приведен в приложении Б.
Пример использования мандатов на основе атрибутов для создания ИСПДн [2], обеспечивающей управление обезличенными идентификационными данными и управление доступом, приведен в приложении В.
В следующих пунктах настоящего стандарта описываются уровни архитектуры, входящие в них компоненты и действующие субъекты, взаимодействующие с компонентами. Кроме того, приводится общее описание каждого компонента и следуют указания, касающиеся конкретных действующих субъектов. Для некоторых компонентов не приводится никаких указаний, характерных для ИСПДн конкретного действующего субъекта, поскольку поведение этого компонента в разных ИСПДн имеет схожий характер.
7.2.2 Уровень установок политики защиты
7.2.2.1 Общие положения
Уровень установок политики защиты составляют компоненты, сообщающие политику защиты ИСПДн операторов и реализующие требования обеспечения безопасности ПДн. Эти компоненты позволяют разрабатывать политику и реализовывать соответствующие меры защиты в ИСПДн.
Кроме того, компоненты на этом уровне должны передавать оператору ПДн и обработчику ПДн информацию о предпочтительных способах защиты ПДн и согласии на обработку, которую подписал субъект ПДн.
7.2.2.2 Доведение политики и целей
Общее описание
Данный компонент отвечает за передачу информации, включая обновления, информацию о политике защиты ПДн оператора ПДн и целях сбора ПДн в ИСПДн.
Переданная информация должна содержать, по крайней мере, следующее:
- идентификационные данные операторов ПДн и любых взаимосвязанных обработчиков ПДн;
- политики, касающиеся передачи ПДн обработчикам ПДн;
- применяемые технологии, улучшающие (обеспечивающие) конфиденциальность ПДн (например, обезличивание), с их соответствующими задачами;
- цели, для которых осуществляется сбор ПДн;
- идентификацию ПДн, которые должны быть собраны;
- юридические права субъекта ПДн на получение доступа к своим ПДн для определения объема хранящихся его ПДн, а также проверки и исправления любых неточностей, и процедуры осуществления этого.
Субъект ПДн
Субъект ПДн, получивший извещение о политике и целях компонента ИСПДн от оператора ПДн, должен:
- получать информацию о политике и целях от соответствующего компонента ИСПДн оператора ПДн;
- интерпретировать полученную информацию с целью ее отображения субъекту ПДн понятным образом;
- получать предложение возможности локального хранения полученной информации;
- подтверждать оператору ПДн факт получения информации о политике и целях субъектом ПДн.
Оператор ПДн
Оператор ПДн, как связанный с публикацией политики и целей компонента ИСПДн, находящейся под контролем оператора ПДн, должен:
- хранить информацию о политике и целях, которая была передана субъектам ПДн;
- регистрировать действия по передаче информации о политике и целях субъектам ПДн таким образом, чтобы можно было установить, в какое время и какая информация была актуальна и передавалась субъектам ПДн, наряду с подтверждением получения этой информации;
- передавать текущую информацию о политике и целях соответствующему компоненту ИСПДн субъекта ПДн таким образом, чтобы она могла быть использована этой системой для полного и понятного информирования субъекта ПДн или могла быть преобразована указанным компонентом в требуемую форму с помощью некоторого заранее определенного преобразования;
- передавать ссылку на отображаемую информацию о политике и целях тем компонентам, которые управляют хранением информации о согласии и хранением самих ПДн;
- передавать обновленные сведения об изменениях информации о политике и целях соответствующим компонентам, принадлежащим тем субъектам ПДн, которые дали согласие на получение такой информации.
Обработчик ПДн
ИСПДн обработчика ПДн должна получать копии политики защиты персональных данных и целей обработки от ИСПДн оператора ПДн. ИСПДн обработчика ПДн должна представлять документацию о политике защиты персональных данных и целях обработки, полученную от оператора ПДн, в ясной и понятной форме всем, кто имеет доступ к ПДн, регулируемой этой политикой. Оператор ПДн может условиться об обработке ПДн различными обработчиками ПДн. Связанный с публикацией целей компонент ИСПДн оператора ПДн должен передавать цели, относящиеся к предоставленным ПДн, всем соответствующим обработчикам ПДн. Каждый обработчик ПДн должен быть проинформирован о цели(ях) обработки ПДн.
7.2.2.3 Классификация персональных данных
Общее описание
Система, обрабатывающая ПДн, должна быть осведомлена о классах (категориях) ПДн, которые она обрабатывает, с тем чтобы можно было проводить различие между разными типами данных (например, специальные категории ПДн, ПДн и информация, не являющаяся ПДн). Это необходимо для обработки ПДн разными способами в зависимости от категории ПДн. Кроме того, ИСПДн должна быть осведомлена о значениях ПДн, которые содержат прямые идентификаторы, такие, например, как имя или индивидуальный номер налогоплательщика. Этот компонент должен выполнять функции, обеспечивающие такую классификацию в ИСПДн.
При работе с информацией, не являющейся ПДн, следует понимать и оценивать риск объединения информации, не являющейся ПДн, для выведения или получения идентификационных данных или профиля уникального пользователя или, по крайней мере, достаточно небольшого подмножества пользователей.
Все ПДн должны быть надлежащим образом классифицированы, чтобы они могли обрабатываться и храниться в ИСПДн в соответствии с их промаркированной категорией. Если ПДн были собраны случайно, например в результате незапрошенного ввода, осуществление этого может оказаться невозможным, и, соответственно, должны приниматься меры для сведения к минимуму возможности сбора незапрошенных ПДн. Хотя ИСПДн должна быть осведомлена о значениях ПДн, содержащих прямые идентификаторы, выполнение этого может быть невозможным в случае сбора незапрошенных ПДн.
Субъект ПДн
ИСПДн субъекта ПДн должна быть способна идентифицировать классификационную маркировку, связанную с ПДн, и должна обрабатывать ПДн в соответствии с их классификацией. Классификация может также использоваться для идентификации ПДн, которым следует обеспечивать защиту с использованием технологий, улучшающих (обеспечивающих) конфиденциальность персональных данных. Компонент классификации ПДн также обеспечивает дальнейшую классификацию ПДн по подкатегориям, где подкатегории являются требованием конкретной сферы применения.
Оператор ПДн
ИСПДн оператора должна содержать полную классификацию ПДн, используемую в системах, обрабатывающих классифицированные ПДн. Эта информация должна передаваться обработчикам ПДн. Кроме того, классификация ПДн может использоваться для компонентов протоколирования, обезличивания, раскрытия, архивирования и хранения ПДн, чтобы они могли определять, какие части данных содержат ПДн.
Обработчик ПДн
ИСПДн обработчика должна быть способна обрабатывать классифицированные ПДн. Эта информация должна использоваться для аудита ПДн и обеспечения безопасности ПДн.
7.2.2.4 Управление согласиями на обработку персональных данных
Общее описание
Согласие субъекта ПДн является необходимым условием обработки ПДн, если такая обработка иначе не разрешена законодательством.
Этот компонент связан с задачами управления согласиями и включает в себя (но не ограничиваясь) следующее:
- получение осознанного согласия субъекта ПДн;
- хранение информации о согласии в ИСПДн заинтересованной стороны;
- связывание хранящейся информации о согласии с версией информации о политике и целях, для которых было дано согласие;
- проверку наличия согласия перед обработкой ПДн;
- поддержку статуса информации о согласии.
Нормативные правовые акты могут иметь преимущество в случае отсутствия или ограничения согласия, выраженного субъектом ПДн.
Субъект ПДн
Оператор ПДн должен получать осознанное согласие субъекта ПДн с помощью компонента управления согласиями в ИСПДн субъекта ПДн. При определенных обстоятельствах субъект ПДн может изменить или отозвать согласие, и эта информация должна быть передана ИСПДн оператора.
Оператор ПДн
В ИСПДн оператора этот компонент должен поддерживать актуальную информацию о статусе согласия. ИСПДн оператора должна быть способна находить, хранить, управлять и поддерживать информацию о согласии.
ИСПДн оператора должна передавать информацию о согласии другим сторонам, которым она требуется. Кроме того, этот компонент должен принимать обновления статуса согласия субъекта ПДн (например, изменение или отзыв согласия). ИСПДн оператора должна представлять и распространять эту информацию по мере необходимости.
Обработчик ПДн
ИСПДн обработчика должна проверять наличие согласия всех субъектов ПДн, связанных с предоставляемыми ей ПДн. Эта информация должна поступать от ИСПДн оператора. Перед любой обработкой ИСПДн обработчика следует удостовериться, что ИСПДн содержит актуальную информацию о согласии соответствующих субъектов ПДн. ИСПДн обработчика должна быть готова принимать изменения статуса согласия, когда о таких изменениях уведомляет оператор ПДн.
7.2.2.5 Управление способами защиты персональных данных
Общее описание
В некоторых ситуациях возможно, что субъект ПДн может выразить свои предпочтения относительно того, как будут обрабатываться его ПДн оператором или обработчиком ПДн. В этих случаях соответствующие ИСПДн действующих субъектов должны быть способны зафиксировать эти предпочтительные способы обработки и сообщить о них оператору или обработчику ПДн. Оператор и обработчик ПДн должны быть способны понимать эти предпочтительные способы обработки и в максимально возможной степени соблюдать их при обработке ПДн.
Субъект ПДн
Если обработка ПДн основана на установках предпочтительных способов обеспечения безопасности ПДн, то субъекту ПДн должен предоставляться интерфейс для выбора установок, наиболее подходящих для этих целей. Например, сюда могут входить установки, определяющие, как ИСПДн использует, передает или раскрывает ПДн.
Оператор ПДн
Если субъект ПДн определил какие-либо предпочтительные способы обеспечения безопасности ПДн, то оператор ПДн должен представить эти варианты субъекту ПДн.
Оператор ПДн должен реализовывать соответствующие предпочтительные способы обеспечения безопасности ПДн, которые указал субъект ПДн из имеющихся вариантов, если таковые существуют. Оператор также должен распространять эту информацию любым сторонам, которые обрабатывают ПДн, связанную с этими способами.
Обработчик ПДн
Если это имеет отношение к установленным задачам обработчика ПДн, ИСПДн обработчика должна быть осведомлена о любых ограничениях, устанавливаемых для обработки ПДн выбранными предпочтительными способами обеспечения безопасности ПДн, которые указал субъект ПДн, и действовать в соответствии с ними. Эта информация и ее возможные обновления должны быть получены от оператора ПДн или непосредственно от субъекта ПДн через их соответственные ИСПДн.
7.2.2.6 Взаимосвязь между принципами обеспечения безопасности персональных данных и компонентами на уровне установок
Пример взаимосвязи между принципами обеспечения безопасности ПДн и компонентами на уровне установок приведен в таблице 1. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципом, однако указанная взаимосвязь приводится только в качестве примера.
Таблица 1 - Пример взаимосвязи между принципами обеспечения безопасности персональных данных и компонентами на уровне установок
Компоненты |
Принципы |
||||||||||
Согласие и выбор |
Законность цели и ее спецификация |
Ограничение на сбор информации |
Минимизация данных |
Ограничения в отношении использования, хранения и раскрытия |
Точность и качество |
Открытость, прозрачность и уведомление |
Индивидуальное участие и доступ |
Ответственность |
Обеспечение безопасности информации |
Соответствие |
|
Доведение политики и целей |
X |
X |
X |
X |
- |
- |
X |
- |
X |
- |
X |
Классификация ПДн |
- |
- |
X |
X |
X |
- |
- |
- |
- |
- |
- |
Управление согласиями |
X |
X |
X |
- |
- |
- |
- |
X |
- |
- |
- |
Управление предпочтительными способами защиты персональных данных |
X |
X |
X |
- |
X |
- |
X |
- |
- |
- |
- |
7.2.3 Уровень управления идентификационными данными и управления доступом
7.2.3.1 Общие положения
Компоненты на уровне управления идентификационными данными и управления доступом помогают идентифицировать действующих субъектов и их ИСПДн и управлять соответствующей идентификационной информацией. Кроме того, компоненты на этом уровне управляют доступом к ПДн действующих субъектов. Компоненты реализуют следующие функциональные возможности:
- управление идентификационными данными сторон, заинтересованных в обеспечении безопасности ПДн;
- управление идентификационными данными действующих субъектов, использующих ИСПДн;
- предоставление этой информации другим компонентам в ИСПДн;
- управление соответствием между идентификационными данными субъекта ПДн и обезличенными ПДн.
Уровень управления идентификационными данными и управления доступом предоставляет идентификационную информацию компонентам на других уровнях, которым это требуется. Следует отметить, что в настоящем стандарте не специфицируются методы управления идентификационными данными, которые должны использоваться.
7.2.3.2 Управление идентификационными данными
Общее описание
Данный компонент может иметь несколько назначений, каждое из которых может быть реализовано отдельной системой управления идентификационными данными.
Во-первых, данный компонент может осуществлять управления идентификационными данными субъектов ПДн, персональные данные которых обрабатываются в системе. Во-вторых, этот компонент может управлять идентификационными данными пользователей ИСПДн, которые обрабатывают ПДн субъектов. В-третьих, данный компонент может осуществлять управление идентификационными данными ИСПДн, заинтересованных в защите персональных данных. Это дает возможность ИСПДн различных сторон взаимно аутентифицировать друг друга во время передачи ПДн. Данный перечень примеров назначений данного компонента не является исчерпывающим.
Механизмы определения характера и точности базовой идентификационной информации не приводятся в настоящем стандарте. Функциональные возможности компонента управления идентификационными данными одинаковы для всех действующих сторон.
7.2.3.3 Обезличивание
Общее описание
Если при обработке ПДн используется обезличивание, то задействованные ИСПДн должны иметь функции управления используемыми методами обезличивания.
Примечание - Для обезличивания применяются различные методы, например метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции, метод перемешивания и, кроме того, может применяться шифрование ПДн.
Компонент системы обезличивания на уровне управления идентификационными данными и управления доступом содержит информацию о реализованной системе обезличивания и ее параметрах. Например, если используется шифрование, этот компонент хранит информацию об используемых ключах.
Взаимосвязанный компонент обезличивания ПДн на уровне ПДн используется для их фактического преобразования.
Субъект ПДн
Если в ИСПДн субъекта используется обезличивание, то система должна содержать описание реализованного метода обезличивания. Компонент обезличивания на уровне ПДн системы персональных данных субъекта ПДн должен применять данный метод обезличивания.
Оператор ПДн
Управление методами обезличивания может осуществляться ИСПДн оператора. В этом случае ИСПДн оператора передает информацию о методах обезличивания, используемых в ИСПДн субъекта и обработчиков ПДн. Эта информация может потребоваться для обеспечения уверенности в том, что подвергшиеся обезличиванию ПДн из системы субъекта ПДн могли быть обработаны в ИСПДн оператора и ИСПДн обработчика. Следует отметить, что может потребоваться определение нескольких вариантов (реализованных методов) обезличивания, например для осуществления обезличивания ПДн разными методами для различных обработчиков.
Обработчик ПДн
Если обработчику ПДн нужно выполнять обезличивание в соответствии с инструкциями оператора ПДн, ему следует реализовать данный компонент для осуществления управления реализованными методами обезличивания.
7.2.3.4 Управление доступом
Общее описание
Механизмы управления доступом должны обеспечивать уверенность в том, что доступ к функциям в ИСПДн предоставляется только в рамках ограничений, установленных на основе требований защиты. Например, если сбор у субъектов ПДн осуществляется с использованием веб-формы и осуществляется в течение определенного периода времени, доступ к веб-форме должен предоставляться только в течение данного времени. В этом примере ИСПДн оператора должна ограничивать доступ субъектов ПДн к форме сбора ПДн.
Функциональные возможности компонента управления доступом одинаковы для всех действующих субъектов. Правила и методы управления доступом в каждой ИСПДн выводятся из требований обеспечения безопасности ПДн.
7.2.3.5 Аутентификация
Общее описание
Аутентификация является важным компонентом обеспечения безопасности системы, обрабатывающей ПДн. Она обеспечивает уверенность в конфиденциальности и целостности ПДн, сбор, хранение и обработку которой осуществляет ИСПДн.
Компонент аутентификации может иметь несколько назначений. Во-первых, он может управлять аутентификацией пользователей, работающих с ИСПДн. Во-вторых, он может управлять взаимной аутентификацией ИСПДн или их компонентов в рамках безопасного доступа к ПДн и их передачи. Этот перечень примеров не является исчерпывающим.
Правила и методы, используемые при каждой реализации ИСПДн, следует рассматривать отдельно с учетом целей обеспечения безопасности действующего субъекта, который использует данную систему. Например, ИСПДн действующего субъекта должна аутентифицировать субъектов ПДн, использующих систему. Аналогичным образом ИСПДн субъекта должна аутентифицировать оператора ПДн перед передачей ПДн в ИСПДн этого оператора.
Функциональные возможности компонента аутентификации одинаковы в ИСПДн всех взаимодействующих сторон.
7.2.3.6 Авторизация
Общее описание
В ИСПДн, где ограничивается доступ любого действующего субъекта, должна существовать система авторизации. Доступ к ПДн должен предоставляться только авторизованным пользователям системы. Например, субъекты ПДн, выбранные для обработки ПДн, могут получать доступ к ПДн, к которым они имеют отношение.
Функциональные возможности компонента авторизации одинаковы для всех действующих субъектов. Правила и методы авторизации в каждой ИСПДн основываются на требованиях защиты ПДн.
7.2.3.7 Взаимосвязь между принципами обеспечения безопасности персональных данных и компонентами на уровне управления идентификационными данными и управления доступом
Пример установления соответствия между принципами обеспечения безопасности ПДн и компонентами на уровне управления идентификационными данными и управления доступом приведен в таблице 2. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципами обеспечения безопасности ПДн; однако указанная взаимосвязь приводится только в качестве примера.
Таблица 2 - Пример взаимосвязи между принципами обеспечения безопасности и компонентами на уровне управления идентификационными данными и управления доступом
Компоненты |
Принципы |
||||||||||
Согласие и выбор |
Законность цели и ее спецификация |
Ограничение на сбор информации |
Минимизация данных |
Ограничения в отношении использования, хранения и раскрытия |
Точность и качество |
Открытость, прозрачность и уведомление |
Индивидуальное участие и доступ |
Ответственность |
Обеспечение безопасности информации |
Соответствие |
|
Управление идентификационными данными |
- |
- |
- |
- |
X |
- |
X |
- |
- |
X |
- |
Обезличивание |
- |
- |
- |
X |
X |
- |
- |
- |
X |
X |
- |
Управление доступом |
- |
- |
- |
- |
X |
X |
- |
X |
X |
X |
- |
Аутентификация |
- |
- |
- |
- |
X |
X |
- |
X |
X |
X |
- |
Авторизация |
- |
- |
- |
- |
X |
X |
- |
X |
X |
X |
- |
7.2.4 Уровень персональных данных
Компоненты на уровне ПДн должны реализовывать следующие функциональные возможности:
- сбор и передачу ПДн;
- обработку ПДн, включая безопасную обработку, и представление;
- хранение и архивирование ПДн;
- аудит ПДн и регистрацию происходящих с ними транзакций.
В настоящем стандарте определяются только общие требования управления ПДн, оставляя конкретные подробности на рассмотрение разработчика ИСПДн. Для снижения риска нарушения безопасности ПДн во время обработки должны использоваться соответствующие меры защиты.
Уровень ПДн использует информацию, поступающую с уровня установок, для введения в действие мер, основанных на требованиях обеспечение безопасности ПДн.
7.2.4.1 Управление персональными данными
Общее описание
Любая система, обрабатывающая ПДн, должна иметь определенные базовые функции для управления ПДн в системе. К ним относятся ввод, доступ, обновление и удаление ПДн. В случае необходимости ИСПДн должна быть способна поддерживать непрерывный процесс, обеспечивающий сбор и обработку ПДн в течение всего срока службы системы.
Субъект ПДн
Компонент управления персональными данными в ИСПДн субъекта связан со сбором и локальной обработкой ПДн, полученных у субъекта ПДн.
Оператор ПДн
Компонент управления персональными данными в ИСПДн оператора должен быть способен осуществлять обмен ПДн с ИСПДн субъектов (сбор ПДн) и обработчиков ПДн (для делегирования обработки). Следует отметить, что политика защиты персональных данных, а также использование различных технологий, улучшающих (обеспечивающих) конфиденциальность ПДн субъектов и другие факторы могут ограничивать инструментальные средства управления ПДн, доступные в ИСПДн оператора ПДн. Например, в системе оператора ПДн может быть запрещено добавлять ПДн или связывать ПДн с другой информацией.
Обработчик ПДн
Компонент управления ПДн ИСПДн обработчика ПДн обрабатывает ПДн, полученные от оператора ПДн.
7.2.4.2 Передача персональных данных
Общее описание
Компонент передачи ПДн отвечает за обмен ПДн между ИСПДн различных сторон, заинтересованных в защите ПДн. Передача ПДн должна включать взаимную аутентификацию и шифрование между исходной точкой и точкой назначения, чтобы защитить передачу ПДн и обеспечить их конфиденциальность. В этом случае компонент передачи ПДн должен использовать компоненты аутентификации и шифрования ПДн.
7.2.4.3 Проверка точности персональных данных
Общее описание
Должна осуществляться проверка корректности обрабатываемых ПДн на предмет точности данных и корректности формата. Оператор должен обладать достаточной информацией о данных и диапазоне их допустимых значений, чтобы предупреждать сторону, использующую систему, о возможных ошибках ввода ПДн.
Субъект ПДн
ИСПДн субъекта ПДн осуществляет проверку правильности данных, собранных у субъекта (субъектов) ПДн.
Оператор ПДн
Даже если ИСПДн субъекта спроектирована для осуществления проверки правильности ПДн, система оператора ПДн должна выполнять такую же проверку и, возможно, дополнительные проверки для обеспечения уверенности в точности данных и корректности формата ПДн. ИСПДн оператора может также осуществлять глобальные проверки на предмет посторонних значений и статистических отклонений.
Обработчик ПДн
ИСПДн обработчика должна выполнять обязанности, сходные с обязанностями системы оператора ПДн.
7.2.4.4 Обезличивание персональных данных
Общее описание
Компонент обезличивания на уровне ПДн использует систему обезличивания, описанную на уровне управления идентификационными данными и управления доступом, связанную с заменой идентификаторов, раскрывающих подлинные идентификационные данные субъекта ПДн, на обезличенные, скрывающие подлинные идентификационные данные.
Другой способ достижения целей обезличивания ПДн заключается с том, что информация делается частично анонимной.
Примеры возможного применения обезличивания ПДн включают в себя случаи, когда:
- идентификационные данные субъекта ПДн не требуются для достижения целей обработки ПДн;
- для обработки ПДн требуется идентификатор (например, при применении для обезличивания метода введения идентификатора).
Субъект ПДн
ИСПДн субъекта ПДн осуществляет обезличивание собранных ПДн перед их отправкой в ИСПДн оператора.
Оператор ПДн
Компонент обезличивания в ИСПДн оператора может использоваться для обработки подвергшихся обезличиванию идентификационных данных в ПДн, полученных от ИСПДн субъекта. Если система обезличивания основана на двусторонней функции, совместно используемой субъектом ПДн и оператором ПДн, последний может также повторно идентифицировать ПДн, когда это необходимо. ИСПДн оператора может также использовать обезличивание ПДн, которые передаются в систему обработчика ПДн. При раскрытии ПДн различным взаимодействующим сторонам (субъектам) следует использовать различные или по-разному параметризованные функции обезличивания.
Например, если ПДн передается в ИСПДн нескольких обработчиков ПДн, то для снижения риска сговора между обработчиками для ПДн, предоставляемых каждому обработчику, должны использоваться разные функции обезличивания. Оператор ПДн ведет реестр обработчиков ПДн и применяемых ими методов, а также параметров обезличивания. Кроме того, каждый случай раскрытия ПДн должен регистрироваться обеими сторонами, а транзакции раскрытия - системами оператора ПДн и обработчика ПДн.
Обработчик ПДн
ИСПДн обработчика может осуществлять обезличивание, если ей даются такие инструкции оператором ПДн.
7.2.4.5 Распределение секрета
Общее описание
Распределение секрета - это метод разделения значений ПДн на части, которые по отдельности не раскрывают никакую информацию об исходном значении. Распределение секрета может быть использовано для сбора ПДн с целью снижения риска нарушения безопасности ПДн. Распределение секрета обеспечивает более высокую защищенность ПДн в ИСПДн субъекта ПДн в сочетании с безопасными многосторонними вычислениями.
Распределение секрета может быть использовано для снижения риска со стороны нарушителей, так как сторона, имеющая доступ к части значений ПДн, не может узнать из них исходное значение. Это существенно усложняет атаки со стороны нарушителей. Для получения оптимальных результатов распределения секрета требуется наличие в системе более чем одного представителя каждого действующего субъекта. Каждый представитель должен хранить и обрабатывать ограниченное число частей ПДн.
Субъект ПДн
ИСПДн субъекта может осуществлять распределение секрета для ПДн, собранных у субъектов ПДн. Полученные части затем передаются операторам ПДн.
Оператор ПДн
ИСПДн оператора может использовать распределение секрета для обработки прошедших распределение секрета ПДн, полученных от системы субъекта ПДн, или для осуществления распределения секрета в отношении представленных открытым текстом ПДн до их передачи в систему обработчика ПДн.
Обработчик ПДн
ИСПДн обработчика может использовать распределение секрета для одной из целей. Во-первых, хранение или загрузка ПДн, прошедших распределение секрета, до их обработки. В этом случае ПДн хранятся в форме с распределением секрета, но восстанавливаются перед обработкой. Во-вторых, использование в сочетании с безопасными многосторонними вычислениями. В этом случае можно выполнять вычисления непосредственно с ПДн, прошедшими распределение секрета.
7.2.4.6 Шифрование персональных данных
Общее описание
Компоненты шифрования ПДн могут обеспечивать применение механизмов шифрования ПДн перед их хранением. Проектирование ИСПДн может включать в себя определение того, какие хранящиеся ПДн должны быть зашифрованы. В зависимости от требований защиты обеспечения безопасности ПДн ключи шифрования могут совместно использоваться системами ИСПДн так, чтобы каждая из них могла расшифровывать ПДн и получать к ним соответствующий доступ. Если используется метод безопасных вычислений, способный обрабатывать зашифрованные ПДн, то для обработки не требуется выполнять процедуру расшифровывания информации.
Сервисы компонента могут включать в себя управление ключами, шифрованием ПДн в базах данных и шифрованием хранящихся ПДн, таких как резервные файлы и архивы. При этом проектирование и реализация методов шифрования ПДн должны проводиться в соответствии с действующими нормативными правовыми актами.
Шифрование ПДн может использоваться для защиты хранящихся ПДн. Это может осуществляться с двумя целями. Во-первых, можно хранить зашифрованные ПДн для предотвращения несанкционированного доступа к ним. Если они требуют обработки, осуществляется процедура расшифровывания с помощью соответствующего ключа. Шифрование ПДн снижает риск утечки данных из резервных копий. Во-вторых, ПДн могут быть зашифрованы для подготовки их к обработке в зашифрованном виде с использованием методов безопасных вычислений согласно действующим нормативным правовым актам.
7.2.4.7 Использование персональных данных
Общее описание
Для использования ПДн в вычислениях или анализе в ИСПДн действующего субъекта должен реализоваться компонент использования ПДн. В этом компоненте реализована логика обработки ПДн. Следует отметить, что для некоторых сценариев использования ПДн для снижения рисков потери ПДн могут применяться безопасные вычисления.
7.2.4.8 Безопасные вычисления
Безопасные вычисления могут использоваться для того, чтобы дать возможность операторам ПДн и обработчикам ПДн обрабатывать ПДн, не имея доступа к исходным входным значениям. Вместо этого методы безопасных вычислений осуществляют вычисления с использованием ПДн, которые были преобразованы с помощью технологий, улучшающих конфиденциальность персональных данных, таких как шифрование или распределение секрета.
Подмножество методов безопасных вычислений, известное как безопасные многосторонние вычисления, представляет собой метод, при котором стороны могут совместно вычислять некоторое значение на основе индивидуально хранимых частей информации, не раскрывая в процессе обработки данные части друг другу. Для обеспечения оптимальной защиты от нарушений при безопасных многосторонних вычислениях должны быть задействованы несколько операторов ПДн или обработчиков ПДн и их ИСПДн, каждая со своей соответствующей информацией.
Безопасные вычисления могут снижать риск утечки ПДн из системы персональных данных действующего субъекта, так как ПДн не предоставляются обрабатывающей стороне в открытой форме.
7.2.4.9 Управление запросами
Общее описание
Компонент управления запросами ИСПДн оператора и/или обработчика ПДн реализуется для фильтрации входящих запросов. Например, сервис может отказаться отвечать на статистический запрос, если для этого запроса недостаточно входных данных. Хотя отказ отвечать на запрос все же предоставляет некоторую информацию заинтересованной в обеспечении безопасности ПДн стороне, которая делает этот запрос, данный метод все же следует рассматривать как применимый в определенных сценариях.
Управление запросами - это специальный метод, используемый в приложениях "добычи данных", для сведения к минимуму обработки ПДн. Этот метод облегчает предоставление сервисов анализа ПДн, не внося риск злоупотребления ПДн и не ставя под угрозу точность алгоритмов "добычи данных". Процесс управления запросами следует использовать для обеспечения уверенности в обработке только достаточного количества ПДн для задействованных процессов.
Методы управления запросами включают в себя ограничение объема результатов запроса, контроль за перекрытием последовательных запросов, ведение контрольных журналов всех запросов, на которые даны ответы, и постоянную проверку на предмет возможной компрометации, отбрасывания ячеек ПДн малого размера и кластеризации объектов во взаимоисключающие элементарные совокупности.
7.2.4.10 Инвентарная опись персональных данных
Общее описание
Компонент инвентарной описи ПДн предоставляет обзор ПДн, хранящихся в ИСПДн. Информация из системы классификации ПДн должна использоваться для классификации хранящихся в системе значений ПДн. Для определения субъекта ПДн, связанного с конкретным элементом ПДн, должна использоваться система управления идентификационными данными. Компонент инвентарной описи ПДн должен предоставлять заинтересованной в обеспечении безопасности ПДн стороне, использующей систему, по крайней мере, следующую метрику:
- количество ПДн в системе (количество записей);
- количество субъектов ПДн, предоставивших информацию.
В зависимости от требований защиты ПДн этот компонент может предоставлять дополнительную информацию, такую как список субъектов ПДн.
Компонент инвентарной описи ПДн выполняет сходную функцию у всех действующих субъектов - предоставляет обзор того, сколько ПДн хранится в определенном месте и кто является соответствующими субъектами ПДн. ИСПДн оператора должна расширять эти функциональные возможности путем ведения учета обработки ПДн, выполненной системами обработчиков ПДн. Это должно осуществляться во взаимодействии с соответствующими компонентами управления ПДн и архивирования ПДн в ИСПДн обработчика.
7.2.4.11 Раскрытие персональных данных
Оператор ПДн
Компонент раскрытия ПДн отвечает за управление любым раскрытием ПДн оператором. Это может включать подготовку ПДн перед тем, как они покинут ИСПДн оператора. Например, оператор ПДн может обезличивать ПДн, используя соответствующий компонент, перед отправкой их обработчику ПДн. Раскрытие ПДн часто требует использования компонента передачи ПДн.
Если при раскрытии ПДн используется обезличивание, журнал регистрации должен содержать описание функции обезличивания, используемой для раскрытия ПДн. В такой ситуации в случаях раскрытия следует использовать разные функции обезличивания, поскольку это уменьшает возможность связывания раскрытых баз данных друг с другом, так как один и тот же идентификатор не преобразуется в один и тот же псевдоним.
Обработчик ПДн
ПДн могут быть раскрыты системой персональных данных обработчика ПДн таким же образом, как и системой оператора ПДн. Любое такое раскрытие должно быть осуществлено в соответствии с указаниями оператора ПДн.
7.2.4.12 Архивирование и хранение персональных данных
Общее описание
Если ПДн не находятся в активном использовании и планируется архивирование, их следует подготовить к архивированию. Компонент архивирования и хранения должен обеспечивать уверенность в том, что архив имеет достаточную защиту и что соблюдаются процедуры архивирования и хранения. Шифрование, распределение секрета и обезличивание могут использоваться для обеспечения защиты архивированных ПДн от несанкционированного доступа. При этом необходимо обеспечить сохранение и защиту параметров данных методов, например ключей шифрования, схемы распределения секрета или параметров обезличивания, чтобы осуществить последующее восстановление ПДн.
Если срок хранения ПДн истекает, этот компонент должен запланировать обезличивание или безопасное удаление ПДн из системы.
7.2.4.13 Протоколирование
Компонент протоколирования должен фиксировать каждую транзакцию, осуществляемую с ПДн. Этот компонент должен быть интегрирован с каждым другим компонентом, чтобы он мог фиксировать все соответствующие действия.
Идентификационные данные действующего субъекта или субъектов, которые получают доступ к ПДн, инициируют транзакции с ПДн или получают ПДн в результате транзакций с ПДн, должны быть зафиксированы в журнале регистрации транзакций. Это предполагает интеграцию протоколирования с аутентификацией, авторизацией и модулями уровня ПДн. Для предотвращения вмешательства в записи журнала регистрации следует использовать методы безопасного протоколирования.
7.2.4.14 Взаимосвязь между принципами обеспечения безопасности и компонентами на уровне персональных данных
Пример взаимосвязи между принципами обеспечения безопасности и компонентами на уровне персональных данных приведен в таблице 3. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и принципом, однако указанная взаимосвязь приводится только в качестве примера.
Таблица 3 - Пример взаимосвязи между принципами обеспечения безопасности и компонентами на уровне персональных данных
Компоненты |
Принципы |
||||||||||
Согласие и выбор |
Законность цели и ее спецификация |
Ограничение на сбор информации |
Минимизация данных |
Ограничения в отношении использования, хранения и раскрытия |
Точность и качество |
Открытость, прозрачность и уведомление |
Индивидуальное участие и доступ |
Ответственность |
Обеспечение безопасности информации |
Соответствие |
|
Управление ПДн |
X |
X |
X |
X |
X |
- |
X |
X |
- |
- |
- |
Передача ПДн |
X |
X |
- |
X |
X |
- |
X |
X |
- |
- |
- |
Проверка правильности ПДн |
- |
- |
- |
- |
- |
X |
- |
- |
- |
- |
- |
Обезличивание ПДн |
- |
- |
- |
X |
- |
- |
- |
- |
- |
X |
- |
Распределение секрета |
- |
- |
- |
X |
- |
- |
- |
- |
- |
X |
- |
Шифрование ПДн |
- |
- |
- |
X |
- |
- |
- |
- |
- |
X |
- |
Использование ПДн |
X |
X |
- |
X |
X |
X |
X |
- |
- |
- |
- |
Безопасные вычисления |
- |
- |
- |
X |
- |
- |
- |
- |
- |
X |
- |
Управление запросами |
- |
- |
- |
X |
X |
- |
- |
- |
- |
X |
- |
Инвентарная опись ПДн |
- |
- |
- |
X |
X |
- |
X |
- |
X |
- |
- |
Раскрытие ПДн |
X |
X |
- |
X |
X |
- |
X |
- |
- |
- |
- |
Архивирование и хранение ПДн |
X |
X |
- |
X |
X |
- |
X |
- |
- |
- |
- |
Протоколирование |
- |
- |
- |
- |
- |
- |
- |
- |
X |
X |
- |
7.3 Представление с точки зрения действующих субъектов (сторон)
7.3.1 Общие положения
Представление с точки зрения действующих субъектов (сторон) иллюстрирует, как компоненты базовой архитектуры реализуются в системах ПДн конкретной стороны, заинтересованной в обеспечении безопасности ПДн. Для каждого действующего субъекта представление определяет подмножество компонентов, пригодных для реализации в ИСПДн действующего субъекта. Разработчик использует это представление для принятия решения о том, какие компоненты должны быть включены в архитектуру ИСПДн стороны, заинтересованной в обеспечении безопасности ПДн.
Это представление не определяет ни один из компонентов ИСПДн конкретной стороны как обязательный.
7.3.2 Система субъекта персональных данных
ИСПДн субъекта ПДн сосредоточивается (но не ограничивается) на вопросах доведения политики обеспечения безопасности ПДн, управления согласиями и сбора ПДн.
Поскольку субъект ПДн является стороной, предоставляющей ПДн всем системам, то используемая субъектом ИСПДн должна содержать компоненты для обеспечения безопасности ПДн во время сбора. Эти методы могут включать (но не ограничиваться) обезличивание, шифрование и распределение секрета.
Архитектура ИСПДн субъекта представлена на рисунке 2.
Рисунок 2 - Архитектура информационной системы персональных данных субъекта персональных данных
7.3.3 Система оператора персональных данных
ИСПДн оператора должна доводить политику защиты персональных данных всем остальным участникам. Кроме того, оператор ПДн должен управлять сбором и обработкой всех ПДн. ИСПДн оператора должна обрабатывать ПДн на основе актуальной политики, требований защиты ПДн и любых предпочтительных способов защиты, которые были получены от субъекта ПДн. Оператор ПДн должен убеждаться в том, что компоненты установок Обеспечение безопасности ПДн все время содержат актуальную информацию о политике и целях.
Кроме того, оператор управляет обработкой ПДн обработчиками ПДн. Это включает надзор и ответственность за обеспечение соблюдения применимых политик обеспечения безопасности ПДн, а также любых ограничений, связанных с согласием и основными способами защиты, которые были получены от субъекта ПДн. Это требует от оператора ПДн передачи этой информации обработчикам ПДн, контроля проводимых ими мероприятий и принятия корректирующих мер, если ограничения не соблюдаются.
Кроме того, оператор ПДн может применять технологии, улучшающие (обеспечивающие) конфиденциальность персональных данных, такие как обезличивание или распределение секрета с целью дополнительного уменьшения вероятности того, что ИСПДн обработчика может определить субъекта ПДн. Архитектура ИСПДн оператора ПДн приведена на рисунке 3.
Рисунок 3 - Архитектура информационной системы персональных данных оператора персональных данных
7.3.4 Система обработчика персональных данных
Обработчик ПДн использует свою ИСПДн для обработки ПДн в соответствии со своим соглашением с оператором ПДн. Система оператора ПДн передает информацию о политике и предпочтительных способах защиты, связанных с ПДн и необходимых для их обработки. Кроме того, система обработчика ПДн должна быть способна поддерживать ПДн, преобразованные с помощью технологий, улучшающих (обеспечивающих) конфиденциальность ПДн.
Если для обеспечения защиты ПДн используются технологии, улучшающие обеспечение безопасности ПДн, которые не меняют представление ПДн (например, обезличивание), то ИСПДн обработчика не должна содержать специальных технологий обработки. Однако, если используются криптографические методы, такие как распределение секрета или шифрование ПДн, система обработчика ПДн должна использовать безопасные многосторонние вычисления или процедуру расшифрования ПДн. Безопасные многосторонние вычисления могут предлагать возможность снижения риска нарушения безопасности ПДн во время обработки. Архитектура ИСПДн обработчика ПДн приведена на рисунке 4.
Рисунок 4 - Архитектура информационной системы персональных данных обработчика персональных данных
7.4 Представление с точки зрения взаимодействия
7.4.1 Общая информация
Представление с точки зрения взаимодействия описывает, как взаимодействуют компоненты, реализованные в ИСПДн различных сторон, заинтересованных в обеспечении безопасности ПДн. Большинство компонентов, представленных в данной базовой архитектуре, требует обмена информацией или взаимодействия между действующими субъектами. В данном подразделе приведены описания компонентов, которые могут принимать участие в обмене ПДн между действующими субъектами. Разработчик системы может использовать это представление для проектирования взаимодействия между ИСПДн отдельных действующих субъектов.
Для каждого уровня компонентов архитектуры представлен рисунок. На рисунке показано распределение компонентов среди действующих субъектов (см. рисунки 5, 6 и 7). Если один компонент охватывает несколько действующих субъектов, то данные или программный код этого компонента должны совместно использоваться соответствующими действующими субъектами. Следует обратить внимание на то, что это не означает, что все ПДн должны быть совместно используемыми. Информация должна распространяться только по принципу наименьшего уровня привилегий - если действующему субъекту не требуется определенная информация для выполнения его обязанностей, он не должен получать доступ к этой информации. Например, даже если ИСПДн обработчика требует доступа к основным способам обеспечения безопасности ПДн субъекта, чтобы соблюдать их, она должна иметь доступ только к предпочтительным способам защиты тех субъектов ПДн, для которых ей предоставляли ПДн. Оператор может получать ПДн от многих субъектов, но, если оператор не делегирует обработку от имени конкретного субъекта ПДн обработчику, он не должен передавать соответствующие предпочтительные способы защиты. С другой стороны, если ПДн передаются от оператора обработчику, предпочтительные способы защиты соответствующих субъектов ПДн должны предоставляться ИСПДн обработчика.
7.4.2 Уровень установок
Уровень установок содержит сервисы и информацию, регулирующую все аспекты обработки ПДн. Соответственно, он должен участвовать во всей обработке ПДн. Распределение компонентов на уровне установок среди действующих субъектов приведено на рисунке 5.
Рисунок 5 - Распределение компонентов на уровне установок
7.4.3 Уровень управления идентификационными данными и управления доступом
Некоторые сервисы управления идентификационными данными являются общими и используются всеми действующими субъектами. Однако это не означает, что все действующие субъекты должны совместно использовать всю идентификационную информацию. Должен соблюдаться принцип наименьшего уровня привилегий, и каждая система персональных данных должна иметь доступ только к необходимой ей идентификационной информации. Распределение компонентов на уровне управления идентификационными данными и управления доступом приведено на рисунке 6.
Рисунок 6 - Распределение компонентов на уровне управления идентификационными данными и управления доступом
7.4.4 Уровень персональных данных
Уровень ПДн содержит общие используемые сервисы, такие как общее управление ПДн и инвентарная опись ПДн. Однако следует отметить, что на этом уровне имеются сервисы, которые могут быть реализованы для любого действующего субъекта, но в зависимости от проектирования системы их, может быть, целесообразно реализовывать только для некоторых действующих субъектов. Например, распределение секрета дает наибольший эффект при использовании непосредственно в системе персональных данных субъекта ПДн. Однако оно может также выполняться системой оператора ПДн перед передачей ПДн в систему обработчика ПДн. Возможный способ распределения компонентов на уровне ПДн приведен на рисунке 7.
Рисунок 7 - Распределение компонентов на уровне персональных данных
Библиография
[1] |
Федеральный закон от 27 июля 2006 г. N 152-ФЗ (в редакции от 30 декабря 2020) "О персональных данных" |
|
[2] |
ИСО/МЭК 29115:2013 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к аутентификации сущности (Information technology - Security techniques - Entity authentication assurance framework) |
[3] |
ABC4Trust "D2.1 Architecture for Attribute-based Credentials" |
Ключевые слова: архитектура защиты, персональные данные, субъект персональных данных, оператор персональных данных, обработчик персональных данных.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 59407-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 415-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2021 г.
Дата введения - 30 ноября 2021 г.