ДСТУ 7731:2015 Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя (ISO/IEC 29100:2011, MOD)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні
технології
МЕТОДИ ЗАХИСТУ
Основні положення щодо забезпечення
невтручання в особисте життя
(ISO/IEC 29100:2011,
MOD)
ДСТУ 7731:2015
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) та Інститут кібернетики імені В. М. Глушкова НАН України
РОЗРОБНИКИ: А. Кочубінський, канд. фіз.-мат. наук; О. Муригін; В. Синявський, канд. фіз.-мат. наук; О. Фаль, канд. фіз.-мат. наук (науковий керівник)
2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 22 червня 2015 р. № 61 з 2016-01-01
3 Національний стандарт відповідає ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework (Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя), крім пунктів 4.2, 4.5, 4.5.1
Ступінь відповідності — модифікований (MOD)
Переклад з англійської (en)
4 УВЕДЕНО ВПЕРШЕ
ЗМІСТ
Національний вступ
Вступ до ISO/IEC 29100:2011
1 Сфера застосування
2 Терміни та визначення понять
3 Познаки та скорочення
4 Основні елементи структури щодо забезпечення невтручання в особисте життя
4.1 Огляд структури забезпечення невтручання в особисте життя
4.2 Суб’єкти й ролі
4.2.1 Суб’єкти ПД
4.2.2 Володільці ПД
4.2.3 Розпорядники ПД
4.2.4 Треті особи
4.3 Взаємодії
4.4 Розпізнавання ПД
4.4.1 Ідентифікатори
4.4.2 Інші розпізнавальні характеристики
4.4.3 Інформація, пов’язана чи яка може бути пов'язана із суб’єктом ПД
4.4.4 Псевдонімічні дані
4.4.5 Метадані
4.4.6 Незатребувані ПД
4.4.7 Особливі категорії ПД
4.5 Вимоги ицодо забезпечення невтручання в особисте життя
4.5.1 Законодавчі та нормативні чинники
4.5.2 Договірні чинники
4.5.3 Ділові чинники
4.5.4 Інші чинники
4.6 Політики забезпечення невтручання в особисте життя
4.7 Заходи щодо забезпечення невтручання в особисте життя
5 Принципи забезпечення невтручання в особисте життя згідно з цим стандартом
5.1 Огляд принципів забезпечення невтручання в особисте життя
5.2 Згода та вибір
5.3 Законність цілей і специфікація
5.4 Обмеження на отримання даних
5.5 Мінімізація даних
5.6 Обмеження використання, збереження та поширення даних
5.7 Точність і якість
5.8 Відкритість, прозорість та сповіщення
5.9 Індивідуальна участь і доступ
5.10 Відповідальність
5.11 Інформаційна безпека
5.12 Сумісність із невтручанням в особисте життя
Додаток А Відповідність між поняттями ISO/IEC 29100 та ISO/IEC 27000
Бібліографія
Додаток НА Перелік технічних відхилів та їхні пояснення
Додаток НБТерміни, вжиті в цьому стандарті, визначення понять яких мають суттєві розбіжності з чинним законодавством України
НАЦІОНАЛЬНИЙ ВСТУП
Цей стандарт є переклад ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework (Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя) з окремими технічними змінами.
Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».
Стандарт містить вимоги, які відповідають чинному законодавству України.
До стандарту внесено окремі зміни, зумовлені вимогами законодавства України у сфері захисту персональних даних.
Технічні відхили та додаткову інформацію долучено безпосередньо до пунктів, яких вони стосуються, та позначено рамкою і заголовком «Національний відхил». Повний перелік змін разом з обгрунтованням наведено в додатку НА.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт» замінено словами «цей стандарт»;
— структурні елементи цього стандарту: «Титульний аркуш», «Передмова», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— до розділів 2, 4 та 5 долучено «Національні примітки», виділені в тексті рамкою;
— у порівняльній таблиці НБ1 додатка НБ наведено терміни, вжиті в цьому стандарті, визначення понять яких мають суттєві розбіжності з чинним законодавством України;
У цьому стандарті є посилання на ISO Guide 73:2009, прийнятий в Україні як ДСТУ ISO Guide 73:2013 Керування ризиком. Словник термінів (ISO Guide 73:2009, IDT) із набранням чинності з 01.07.2014.
Копії міжнародних нормативних документів, на які є посилання в цьому стандарті, можна замовити в Національному фонді нормативних документів.
ВСТУП до ISO/IEC 29100:2011
Цей стандарт визначає основні положення щодо захисту персональних даних (ПД) в інформаційно-телекомунікаційних системах. Він має загальний характер і визначає місце організаційних, технічних та процедурних заходів у загальній структурі забезпечення невтручання в особисте життя.
Основні положення щодо забезпечення невтручання, в особисте життя мають на меті допомогти організаціям визначити їхні вимоги до захисту персональних даних в інформаційно-телекомунікаційних системах через:
— надання загальної термінології у сфері забезпечення невтручання в особисте життя;
— визначення суб’єктів і їхніх ролей в обробці персональних даних;
— опис вимог до забезпечення невтручання в особисте життя;
— посилання на відомі принципи забезпечення невтручання в особисте життя.
У деяких юрисдикціях посилання цього стандарту на вимоги щодо захисту права на невтручання в особисте життя можна розуміти як додаткові до вимог законів, що стосуються забезпечення невтручання в особисте життя. З огляду на постійне вдосконалення інформаційно-комунікаційних технологій, що використовують персональні дані, важливо мати стандарти, які надають загальне розуміння захисту права на невтручання в особисте життя. Цей стандарт має на меті доповнити чинні стандарти у сфері захисту інформації через докладніший опис особливостей обробки персональних даних.
Удосконалення комерційного застосування персональних даних і збільшення їхньої ролі, обмін цими даними між різними відомствами, все більша складність інформаційно-телекомунікаційних систем створюють для організацій труднощі в забезпеченні невтручання в особисте життя та сумісності з чинним законодавством. Причетні до захисту персональної інформації особи можуть запобігти невизначеності та недовірі через відповідне поводження у сфері невтручання в особисте життя та уникнення зловживань персональними даними.
Використання цього стандарту:
— допоможе під час проектування, створювання, використання та обслуговування інформаційно-телекомунікаційних систем, що обробляють і захищають персональні дані;
— сприятиме розвиткові нових рішень, що поліпшують захист персональних даних в інформаційно-телекомунікаційних системах, і
— поліпшить організаційні заходи забезпечення невтручання в особисте життя через використання найкращих практик.
Основні положення щодо забезпечення невтручання в особисте життя, наведені в цьому стандарті, можуть слугувати основою для додаткових ініціатив щодо стандартизування у сфері особистого життя, зокрема:
— еталонної технічної архітектури;
— реалізації та використання специфічних технологій і всеосяжного керування невтручанням в особисте життя;
— заходів щодо забезпечення невтручання в особисте життя для аутсорсингової обробки даних;
— оцінювання ризиків порушення права на невтручання в особисте життя;
— конкретних специфікацій інжинірингу.
Деякі юрисдикції вимагають сумісності з одним або кількома документами, на які є посилання в ISO/IEC JTC1/SC27 WG 5 Standing document 2 (WG 5 SD2) — Official Privacy Documents References [3] або інші відповідні закони та регуляторні акти, але цей стандарт не передбачає бути глобальною модельною політикою чи бути юридичною основою.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ
ТЕХНОЛОГІЇ
МЕТОДИ
ЗАХИСТУ
Основні положення щодо забезпечення
невтручання
в особисте життя
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
Основные положения обеспечения
невмешательства
в частную жизнь
Information
technology
SECURITY TECHNIQUES
The
basic provisions to ensure non-interference with privacy
Чинний від 2016-01-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт визначає основні положення щодо забезпечення невтручання в особисте життя, які:
— унормовують загальну термінологію у сфері забезпечення невтручання в особисте життя;
— визначають суб’єктів і їхні ролі в обробці персональних даних (ПД);
— описують вимоги щодо забезпечення невтручання в особисте життя;
— посилаються на відомі принципи забезпечення невтручання в особисте життя в інформаційних технологіях.
Цей стандарт можуть застосовувати фізичні особи та організації, задіяні у створенні, постачанні, побудові архітектури, проектуванні, розробленні, тестуванні, обслуговуванні, керуванні та експлуатуванні інформаційно-телекомунікаційних систем або послуг (сервісів), які потребують заходів щодо забезпечення невтручання в особисте життя під час обробки персональних даних.
2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ
У цьому стандарті вжито такі терміни та визначення понять.
Примітка. Для зручності використання серії міжнародних стандартів ISO/IEC 27000 у специфічному контексті забезпечення невтручання в особисте життя та поєднання понять забезпечення невтручання в особисте життя з контекстом ISO/IEC 27000 у додатку А наведено таблицю, де наведено відповідність понять в ISO/IEC 27000 поняттям в ISO/IEC 29100, які використовують у цьому стандарті.
2.1 анонімність (anonymity)
Характеристика інформації, яка не дає змоги безпосередньо чи опосередковано ідентифікувати суб'єкта персональних даних
2.2 знеособлювання (anonymization)
Процес, що незворотно перетворює персональні дані на такі, з яких володілець ПД не може самостійно або у взаємодії з будь-якою іншою особою безпосередньо чи опосередковано ідентифікувати суб’єкти персональних даних
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».