Приложение А (справочное). Примеры значимых вопросов, связанных с защитой персональных данных. Национальный стандарт РФ ГОСТ Р 59407-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 415-ст)

Приложение А
(справочное)

Примеры
значимых вопросов, связанных с защитой персональных данных

А.1 Общая информация

В данном приложении приведены примеры связанных с ПДн вопросов, значимых для архитектуры защиты ИСПДн. Значимые вопросы связаны с компонентами архитектуры защиты ПДн, при этом каждый компонент соответствует одному или нескольким значимым вопросам. Разработчикам следует идентифицировать конкретные значимые вопросы для их приложения и обеспечивать уверенность в том, что проектирование архитектуры защиты ИСПДн включает в себя компоненты, касающиеся значимых вопросов.

В приведенном ниже примере значимые вопросы уровня разбиваются на ряд подвопросов. Описанные здесь подвопросы приводятся в качестве иллюстрации и не обязательно являются полными. Разработчики должны определять соответствующие значимые вопросы и подвопросы для своего приложения в процессе анализа.

А.2 Получение и сообщение согласия

Согласие субъекта ПДн на обработку своих ПДн является важным аспектом управления ПДн. Соответственно, архитектура защиты ИСПДн должна включать в себя элементы, позволяющие осуществлять управление этим согласием в дополнение к элементам, обеспечивающим соблюдение ограничений такого согласия.

Согласие является характерным для заявленных целей использования и должно быть добровольно получено от субъекта ПДн на основе предоставленной оператором ПДн информации об этих целях и всех объектах (оператор ПДн и обработчик(и) ПДн), обрабатывающих ПДн, включая имеющие отношение к ним правовые основания.

В некоторых случаях применимое законодательство может определять исключения, когда обработка ПДн может быть разрешена без согласия субъекта ПДн (например, в связи с расследованием на законном основании). Для определения всех таких исключений и соответствующих положений о согласии необходимо обратиться к соответствующему законодательству.

Согласие может также предоставляться законным представителем (например, родитель, опекун, поверенный), если субъект ПДн не является правомочным с юридической точки зрения (например, субъект ПДн является ребенком). Представитель предоставляет ПДн субъекта ПДн вместо самого субъекта ПДн, а также определяет и предоставляет соответствующую информацию о согласии и ограничениях в отношении использования и передачи ПДн другим сторонам от имени субъекта ПДн. ПДн и связанная с ними информация о согласии и использовании должна конфиденциально храниться представителем.

Представителями должны быть доверенные лица, действующие в интересах своих клиентов. В случае воспринимаемого нарушения доверия представителем правовые санкции могут быть довольно ограниченными, особенно в ситуации близких отношений представителя с субъектом ПДн (например, родитель или опекун). В тех случаях, когда представителями являются специалисты (например, поверенные), назначенные для осуществления действий от имени субъектов ПДн, возможно обращение к правовым и профессиональным санкциям для решения вопроса в отношении представителей, которые не выполняют свои связанные с доверием обязанности.

К числу связанных с согласием значимых вопросов относится:

- получение согласия от субъекта ПДн или его представителя;

- безопасная передача и фиксирование информации о согласии;

- разрешение на отзыв или изменение согласия;

- связывание информации о согласии с ПДн;

- фиксирование заявления о согласии;

- реагирование на отзыв и изменение ранее данного согласия.

В тех случаях, когда субъект ПДн не дает согласия на сбор и обработку своих ПДн, может возникнуть необходимость в осуществлении альтернативных механизмов, не задействующих ПДн. В тех случаях, когда альтернативные механизмы недоступны, может возникнуть необходимость запретить субъекту ПДн пользоваться услугой.

А.3 Доведение целей сбора персональных данных

Операторы ПДн осуществляют сбор ПДн для определенной цели. Информация об этих целях должна быть представлена субъекту ПДн во время взаимодействия, когда требуется его согласие.

Информация о цели обработки должна сообщаться операторам ПДн или обработчикам ПДн всякий раз при передаче ПДн (например, путем маркировки ПДн с указанием цели перед передачей). Таким образом, все операторы ПДн и обработчики ПДн знают цель и пределы разрешенной обработки ПДн.

Обработка ПДн в соответствии с установленными целями может быть обеспечена посредством организационных мер. Альтернативным образом для обеспечения соблюдения пределов обработки ПДн могут использоваться технологии, улучшающие обеспечение безопасности ПДн, такие как управление запросами.

Некоторые из связанных с этим значимых вопросов для ИСПДн, поддерживающей и сообщающей информацию о целях сбора ПДн, включают в себя следующее:

- ввод и обновление информации, описывающей цель(и) сбора, использования и передачи ПДн;

- передача и представление информации, описывающей цель(и) сбора ПДн в ИСПДн;

- связывание информации о цели(ях) сбора с соответствующими ПДн;

- обеспечение уверенности в том, чтобы вся дальнейшая обработка не выходит за рамки указанной цели.

А.4 Безопасная обработка персональных данных

Разработчики ИСПДн должны учитывать характер и масштаб авторизованного доступа к ПДн. Чем чаще осуществляется доступ к ПДн и чем больше людей имеет права доступа к ПДн, тем выше вероятность нарушений безопасности ПДн.

Еще одним фактором, который необходимо учитывать, является уровень прямого контроля оператора ПДн или обработчика ПДн над обрабатываемыми ПДн. Например, если осуществляется удаленный доступ к ПДн в системе оператора ПДн или обработчика ПДн, этот субъект должен присвоить ПДн более высокий уровень риска.

Значимые вопросы для процессов передачи и хранения ПДн должны охватывать, по крайней мере, следующее:

- сбор и модификацию ПДн;

- авторизацию передачи ПДн;

- аутентифицированную и конфиденциальную передачу ПДн;

- хранение ПДн;

- управление доступом к ПДн;

- обеспечение уверенности в точности ПДн;

- применение дополнительных мер защиты и технологий, улучшающих конфиденциальность ПДн, которые рекомендованы в рамках обеспечения безопасности ПДн.

А.5 Классификация и контроль персональных данных

Интегральным компонентом оценки риска нарушения обеспечения безопасности ПДн должна быть разработка моделей потоков обработки ПДн. Блок-схема обработки ПДн должна не только показывать сферы сбора, передачи, использования, хранения или уничтожения ПДн, но также показывать сферы, где осуществляется обработка специальных категорий ПДн, требующих реализации более строгих мер защиты.

Классификация данных с отнесением их к ПДн и к не являющимся ПДн представляет собой минимальное требование при обработке специальных категорий ПДн (например, персональные данные о здоровье, этнической принадлежности и т.д.). Такие данные должны подлежать более строгим мерам защиты согласно соответствующему законодательству.

Значимые вопросы классификации и контроля в ИСПДн должны включать в себя следующее:

- определение того, какие данные относятся к ПДн;

- классификацию ПДн;

- определение числа действующих субъектов ПДн;

- определение количества и чувствительности ПДн;

- контроль передачи и внутреннего копирования ПДн.

А.6 Учет и аудит операций с персональными данными

Учет транзакций с использованием ПДн должен вестись в базе данных транзакций ПДн. Учет должен включать в себя фиксирование всей обработки ПДн и любых возникших ошибок, которые могли привести к компрометации конфиденциальности или целостности ПДн. Учетные записи должны подвергаться периодическому независимому аудиту для проверки на предмет возможных нарушений конфиденциальности и целостности, несанкционированного доступа или другого несанкционированного поведения.

Значимые вопросы, связанные с возможностью проведения аудита операций с ПДн, включают в себя следующее:

- регистрацию предоставления, изменения и отзыва согласия;

- регистрацию хранения и передачи ПДн;

- регистрацию обработки чувствительных ПДн;

- регистрацию передачи ПДн.

А.7 Архивирование и уничтожение персональных данных

Когда ПДн больше не требуются, их следует уничтожать. Процедуры уничтожения должны обеспечивать уверенность в том, что восстановление ПДн с носителя, используемого для их хранения, невозможно.

Значимые вопросы, связанные с надлежащим архивированием и уничтожением ПДн, включают в себя следующее:

- безопасное резервное копирование ПДн;

- методы безопасного уничтожения ПДн.

В таблицах А.1, А.2 и A.3 приведены примеры взаимосвязей между значимыми вопросами и компонентами уровней базовой архитектуры, определенной в настоящем стандарте. Обозначение "X" в таблице указывает на взаимосвязь между компонентом данного уровня и значимым вопросом, однако указанная взаимосвязь между значимыми вопросами и компонентами приводится только в качестве примера.

Таблица А.1 - Примеры взаимосвязи между значимыми вопросами и компонентами на уровне установок

Компоненты	Значимые вопросы
	Получение и сообщение согласия	Поддержка информации о целях	Безопасное хранение и передача ПДн	Безопасная обработка ПДн	Классификация и контроль ПДн	Возможность проведения аудита операций с ПДн	Архивирование и уничтожение ПДн
Сообщение политики и целей	X	X	X	X	-	X	-
Классификация ПДн	-	-	X	X	X	X	X
Управление согласиями	X	-	-	-	X	X	-
Управление предпочтительными способами защиты	X	X	X	X	-	X	X

Таблица А.2 - Примеры взаимосвязи между значимыми вопросами и компонентами на уровне управления идентификационными данными и управления доступом

Компоненты	Значимые вопросы
	Получение и сообщение согласия	Поддержка информации о целях	Безопасное хранение и передача ПДн	Безопасная обработка ПДн	Классификация и контроль ПДн	Возможность проведения аудита операций с ПДн	Архивирование и уничтожение ПДн
Управление идентификационными данными	X	-	X	-	X	X	X
Обезличивание	-	-	X	-	-	-	-
Управление доступом	-	-	X	X	-	X	-
Аутентификация	-	-	X	X	-	X	-
Авторизация	-	-	X	X	-	X	-

Таблица A.3 - Примеры взаимосвязи между значимыми вопросами и компонентами на уровне персональных данных

Компоненты	Значимые вопросы
	Получение и сообщение согласия	Поддержка информации о целях	Безопасное хранение и передача ПДн	Безопасная обработка ПДн	Классификация и контроль ПДн	Возможность проведения аудита операций с ПДн	Архивирование и уничтожение ПДн
Управление ПДн	-	-	X	-	X	-	X
Передача ПДн	-	-	X	-	X	-	-
Проверка правильности ПДн	-	-	-	X	-	-	-
Обезличивание ПДн	-	-	X	-	-	X	-
Распределение секрета	-	-	X	-	-	-	-
Шифрование ПДн	-	-	X	-	-	-	X
Использование ПДн	-	-	-	X	-	-	-
Безопасные вычисления	-	-	-	X	-	-	-
Управление запросами	-	-	-	X	-	-	-
Инвентарная опись ПДн	-	-	-	-	X	X	X
Раскрытие ПДн	-	-	-	-	X	X	-
Архивирование и хранение ПДн	-	-	X	-	-	-	X
Протоколирование	-	-	-	-	X	X	X

А.8 Взаимосвязь с принципами обеспечения безопасности

В таблице А.4 приведен пример взаимосвязи между принципами обеспечения безопасности и значимыми вопросами, которые рассматриваются в данном приложении.

Таблица А.4 - Примеры взаимосвязи между принципами обеспечения безопасности и значимыми вопросами

Значимые вопросы	Принципы
	Согласие и выбор	Законность цели и ее спецификация	Ограничение на сбор	Минимизация данных	Ограничения в отношении использования, хранения и раскрытия	Точность и качество	Открытость, прозрачность и уведомление	Индивидуальное участие и доступ	Ответственность	Обеспечение безопасности информации	Соответствие
Получение и сообщение согласия	X	-	-	-	X	-	-	-	-	-	X
Сообщение целей сбора ПДн	-	X	-	-	-	-	X	-	-	-	X
Безопасная обработка ПДн	-	-	X	X	X	X	X	X	-	X	X
Классификация и контроль ПДн	-	-	-	-	-	-	-	-	X	X	X
Возможность проведения аудита операций с ПДн	-	-	-	-	-	-	-	-	X	X	X
Архивирование и уничтожение ПДн	-	-	-	-	X	-	-	-		X	X