RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



ГОСТ Р 53647.6 -2012 Требования к системе менеджмента персональной информации для обеспечения защиты данных

ГОСТ Р 53647.6 -2012 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА "Требования к системе менеджмента персональной информации для обеспечения защиты данных" 

Дата введения - 2013 -12-01     

1. Область применения

Настоящий стандарт устанавливает требования к системе менеджмента персональной информации (СМПИ), направленные ка обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области

Примечание – Ко всем процессам СМПИ применяется цикл (планирование-осуществление- проверка-действие) (см приложение А).

Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов СМПИ организации.

Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту.

2  Термины, определения и обозначения

2.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями

2.1.1 аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.[ГОСТ Р ИСО 9000-2008]

Примечание - Внутренне аудиты, иногда называемые аудиты первой стороной, проводятся обычно самой организацией или от ее имени для внутренних целей и могут служить основанием для декларации о соответствии

2.1.2 физическое лицо (individual): Лицо, являющееся субъектом персональных данных

2.1.3 система менеджмента (managementsystem): Система для разработки политики и целей и достижения этих целей.

2.1.4 несоответствие (nonconformity): Невыполнение требования [ГОСТ Р ИСО 9000-2008, ГОСТ Р ИСО 14001-2007]

2.1.5 организация (organization): Группа работников и необходимых средств с указанием распределения ответственности, полномочий и взаимоотношений

Примеры - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие торговли, ассоциация, а также их подразделения или комбинации из них.

2.1.6  персональная информация (personalinformation): Информация, относящаяся к определенному физическому лицу, по которой его можно идентифицировать

2.1.7 политика менеджмента персональной информации (personalinformationmanagementpolicy): Официально оформленное и утвержденное высшим руководством заявление об общих намерениях и направлении развития организации в области защиты персональной информации, в том числе соответствии законодательным и обязательным требованиями передовому опыту.

2.1.8  система менеджмента персональной информации, СМПИ (personalinformationmanagementsystem, PIMS): Часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации

2.1.9  процедура (procedure): Установленный способ осуществления деятельности или процесса, которые могут быть документированными и недокументированными

2.1.10 процесс (process): Набор действий, направленных на достижение результата

2.1.11 обработка (processing) Получение, запись, хранение и иные виды операций с персональной информацией

Примечание - В понятие «обработка» входит сбор, организация, адаптация, изменение, раскрытие, обмен, распространение, согласование, объединение, блокирование, удаление и уничтожение персональной информации

2.1.12    персональная информация особой ответственности (sensitivepersonalinformation): Персональная информация о:

a)национальности или отношении к этнической группе;

b)политических взглядах;

c)вероисповедании,

d)членстве в профсоюзе;

e)физическом ил и психическом здоровье или состоянии,

f)сексуальной ориентации,

g)правонарушениях, включая судебные разбирательства, прекращение судебного разбирательства, приговоры суда, вынесенные в ходе судебного разбирательства за правонарушение, совершенных или предполагаемых

2.1.13 система (system): Совокупность взаимосвязанных и взаимодействующих элементов.

[ГОСТ Р ИСО 9000-2008]

2.1.14 работники (workers): Люди, работающие в организации и на нее.

Примечание - К работникам, работающим ка организацию, могут быть отнесены постоянный и временный персонал организации, подрядчики, добровольцы и консультанты

2.2 Сокращения

1) PDCA (Plan-Do-Check-Act) Планирование, осуществление, проверка, действие.

2) PIS (Personal Information Management System) Система менеджмента персональной информации (СМПИ).

3  Планирование СМПИ

Цель: Планирование внедрения системы менеджмента персональной информации, определяющей направления развития системы, и обеспечивающее соответствие передовому опыту в области защиты персональных данных и соблюдение законодательных и обязательных требований

3.1 Создание и управление СМПИ

Организация должна разработать, задокументировать, внедрить, поддерживать в рабочем состоянии и постоянно улучшать СМПИ в требованиями настоящего стандарта

3.2 Область применения и цели СМПИ

Организация должна определить область применения и цели СМПИ с учетом:

a)требований к менеджменту персональной информации;

b)целей и обязательств высшего руководства организации,

c)уровня приемлемого риска организации,

d)законодательных, обязательных, договорных и/или профессиональных требований;

e)интересов физических лиц и ключевых заинтересованных сторон

f)Политика в области персональной информации

Высшее руководство организации должно официально сформулировать и нести ответственность за разработку и актуализацию политику организации в области персональной информации, обеспечить основу для соблюдения законодательных и обязательных требований и соответствие передовому опыту в области защиты данных

Примечание - Высшее руководство обычно включает в себя совет директоров, генерального директора и руководителей высшею звена организации и/или владельца индивидуального предприятия.

В политике должна быть определена область применения СМПИ:

a)ко всей организации;

b)к соответствующим подразделениям и уровням организации.

Политика менеджмента персональной информации должна быть доведена до сведения всего персонала организации.

3.4 Содержание политики

В политике должны быть определены обязательства высшего руководства организации по соблюдению законодательных и обязательных требований и соответствию передовому опыту в области защиты персональных данных, включая:

a)обработку персональной информации только в случаях, когда это необходимо для достижения целей организации;

b)отказ от обработки излишней персональной информации,

c)предоставление физическим лицам достоверной информации о том, как их персональная информация будет использована и кем;

d)обработку только  необходимой и адекватной персональной информации,

e)добросовестную и законную обработку персональной информации (см п. 4.7);

f)ведение реестра категорий персональной информации, обрабатываемой организацией (см. п. 4.2);

g)обеспечение достоверности и, при необходимости, актуальности персональной информации,

h)хранение персональной информации в течение срока, установленного в соответствии с законодательными и обязательными требованиями для достижения установленных целей организации,

i)соблюдение прав лиц в отношении их персональной информации, включая их право на доступ к личным данным,

j)обеспечение защиты в сей персональной информации,

k)трансграничную передачу персональной информации только при условии, что эта информация мажет быть должным образом защищена,

l)применение различных исключений, допустимых в соответствии с законодательством о защите персональных данных,

m)разработку и внедрение СМПИ с целью реализации политики,

n)если целесообразно, определение внутренних и внешних заинтересованных лиц и степени их участия в управлении СМПИ организации,

o)определение персональной ответственности уполномоченного персонала за менеджмент персональной информации организации (см п. 3.5).

3.5 Ответственность и подотчетность

Из числа высшего руководства должен быть назначен представитель, ответственный за менеджмент персональной информации в организации, который должен быть способен продемонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных (см п. 4.1.1). Ответственный представитель должен нести ответственность за:

a)утверждение высшим руководством политики менеджмента персональной информации,

b)разработку и внедрение СМПИ в соответствие с политикой менеджмента персональной информации,

c)менеджмент безопасности и риска, направленный ка выполнение политику менеджмента персональной информации (см п. 4.13.1).

Должны быть назначены лицо или группа лиц из числа персонала, обладающих соответствующей квалификацией и опытом, ответственными за каждодневное выполнение политики менеджмента персональной информации в организации (см. п. 4.1.2).

В  реализации политики менеджмента персональной информации должен участвовать весь персонал организации, выполняя процессы и процедуры организации Это может быть достигнуто путем повышения квалификации работников, внедрением процедур по устранению несоответствий и применения соответствующих санкций

3.6 Выделение ресурсов

Организация должна обеспечить необходимые ресурсы для создания, внедрения, функционирования и поддержания в рабочем состоянии СМПИ.

3.7 Внедрение СМПИ в организации

Для того, чтобы менеджмент персональной информации стал частью основных ценностей, активов и менеджмента, организация должна

a)повышать и поддерживать осведомленность персонала о СМПИ путем организации постоянного обучения и выполнения программ повышения осведомленности персонала,

b)установить процесс оценки результативности в области повышения осведомленности о СМПИ;

c)информировать персонал о важности:

1)выполнения целей СМПИ,

2)соблюдения политиш в области персональной информации;

3)постоянного улучшения политики в области персональной информации;

d)информировать персонал о его вкладе в достижение целей СМПИ организации и последствиях несоблюдения политики СМПИ.

4  Внедрение и функционирование СМПИ

4.1 Распределение ответственности к полномочии

Цель: Распределение ответственности и полномочий персонала в соответствии с политикой организации в области персональной информации

4.1.1  Высшее руководство

Должен быть назначен представитель высшего руководства ответственный за менеджмент персональной информации в организации, который должен осуществляться таким образом, чтобы можно было продемонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных

Примечание - В небольших организацию представитель высшего руководства и работник ответственный за соблюдение политики (см п. 4.1.2) может быть одним и тем же лицом

4.1.2  Ответственность за соблюдение политики

Один или несколько работников, обладающих соответствующей квалификацией и опытом работы, должны быть назначены ответственными за соблюдение политики менеджмента персональной информации организации. Возложенные обязанности могут выполняться ка основе полкой или частичной занятости в зависимости от размера организации и характера обработан персональной информации

Назначенный персонал должен нести ответственность за:

a)соблюдение политики менеджмента персональной информации,

b)разработку и пересмотр политики менеджмента  персональной информации,

c)обеспечение внедрения политики в области персональной информации,

d)анализ политики в области персональной информации со стороны высшего руководства (см п 5.2);

e)обучение и постоянное повышение осведомленности персонала организации в соответствии с политикой в области персональной информации (см. п. 4.3);

f)утверждение процедур, предусматривающих обработку персональной информации, таких, как:

1)управление уведомлениями о конфиденциальности и обмен информацией о них

2)(см п. 4.7.1);

3)работу с запросами физических лиц (см п. 4.12.1);

4)сбор и обработку персональной информации (см п. 4.7.1);

5)работу с претензиями (см. п. 4.12.2);

6)устранение инцидентов в области безопасности (см п. 4.13.6);

7)аутсорсинг и передачу персональных данных в другие организации (см п. 4.14).

g)связь с лицами, ответственными за менеджмент риска и безопасности в организации (см. п. 4.13);

h)предоставление консультаций и рекомендаций экспертов по вопросам защиты персональных данных ,

i)интерпретацию и применение различньк исключений при обработке персональной информации (см введение и п. 4.8 .1);

j)предоставление рекомендаций по проектам, связанным с обменом данными (включая вопросы без опасности в ситуации, когда данные находятся вне зоны контроля) (см. п. 4.8.3);

k)обеспечение доступа организации к актуализированным законодательным требованиями рекомендациям о защите персональных данных (см. п. 4.5);

l)мониторинг изменений в законодательстве, методах  и технологиях в области защиты информации в СМПИ (см п. 4.5);

m)оформление, передачу и управление уведомлениями в адрес уполномоченного органа по защите прав субъектов персональных данных (далее уполномоченный орган), если это требуется согласно закону о защите персональных данных (см п. 4.6);

n)внедрение методов, связанных с обработкой персональной информации, установленных в стандартах и/или рекомендациях

4.1.3  Уполномоченные представители по защите данных

Если в организации существуют несколько подразделений, занимающихся обработкой персональной информации, или систем по обработке информации, то организация должна создать сеть уполномоченных представителей по защите персональных данных, которые:

a) представляют подразделения или системы с высоким уровнем риска в отношении менеджмента персональной информации (в п. 4.2.2 см примеры персональной информации, входящие в категории высокого уровня риска);

b) помогают персоналу, ответственному за выполнение политики

4.2 Идентификация и регистрация используемых персональных данных. Цель Обеспечение понимания персоналом организации категорий обрабатываемой персональной информации и уровня риска, возникающего при ее обработке.

4.2.1  Общие положения

Организация должна вести реестр категорий обрабатываемой персональной информации 5 реестре должны быть указаны цели использования каждой категории персональной информации

Примечание - Реестр должен обеспечивать все необходимые данные для уведомления уполномоченного органа об обработке персональных данных

Организация должна отслеживать и документально оформлять прохождение персональной информации в рамках действующих процессов организации

4.2.2 Персональная информация с высоким уровнем риска

Порядок ведения реестра (см. п.4.2.1) должен обеспечивать идентификацию и регистрацию категории обрабатываемой персональной информации с высоким уровнем риска. Категории персональной информации с высоким уровнем риска могут включать в себя:

a) персональную информацию особой ответственности;

b) информацию о лицевых банковских счетах и другую финансовую информацию,

c) идентификаторы национальных систем, такие как номер страхового пенсионного полиса,

d) Персональную информацию, касающуюся социально уязвимых взрослых и детей;

e) подробные профили данных физических лиц;

f) Данные конфиденциальных переговоров, которые могут неблагоприятно повлиять на состояние и положение физического лица

Примечание - Уровень риска может повышаться прк обработке больших объемов персональной информации

4.3 Обучение к осведомленность

Цель: Обеспечение осведомленности всего персонала организации о своих обязанностях, связанных с обработкой персональной информации

Организация должка обеспечить, чтобы персонал, ответственный за соблюдение законодательных и обязательные требований и соответствие организации передовой опыту в области защиты персональных данных  (см п. 4 1.2), был способен продемонстрировать свою компетентность в данной области, в том числе понимание требований и реализации СМПИ в организации Организация также должна обеспечить осведомленность каждого работника в вопросах, связанных с менеджментом персональной информации, например, путем проведения обучения или обеспечения соответствующей информацией.

Организация должна быть в состоянии продемонстрировать понимание всем персоналом своей ответственности за защиту и обработку персональной информации в соответствии с установленными процедурами и требованиями безопасности.

Весь персонал организации должен пройти обучение методам обработки персональной информации в соответствии с установленными документированными процедурами организации Обучение должно соответствовать функциям, обязанностям и полномочиям работника в организации

4.4 Оценка риска

Цель: Обеспечение осведомленности организации обо всех видах риска, связанные с обработкой конкретных видов персональной информации

Организация должна внедрить процесс оценки риска для физических лиц, связанного с обработкой их персональной информации. Такая оценка также должна включать обработку персональных данных, осуществляемую другими организациями. Организация должна управлять риском выявленным в процессе его оценки риска для снижения вероятности несоблюдения политики в области защиты персональной информации.

Процесс оценки риска должен включать в себя процедуры, в соответствие с которыми риск нанесения ущерба и/или причинения вреда физическим лицам при обработке персональной информации должен быть передан для анализа ответственным за защиту информации лицам и учтен (см. п.З.5) в системе менеджмента персональной информации.

Примечание - Организация может использовать различные методы  оценки риска, например установленные ГОСТ Р ИСО/МЭК 31010. Кроме того, могут быть использованы иные нормативные документы, связанные с оценкой воздействия нарушения  личной тайны

4.5 Поддержка СМПИ

Цель: Оценка соответствия СМПИ для поддержки и постоянного улучшения соблюдения законодательных и обязательных требований и соответствия передовой опыту в области защиты персональных данных.

Персонал, ответственный за выполнение политики (см п 4.1.2), должен постоянно оценивать способность СМПИ демонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных.

Данная оценка должка включать в себя пересмотр СМПИ при изменении требований и/или методов работы организации

4.6 Уведомление

Цель: Обеспечение необходимой отчетности организацией об обработке персональной информации перед уполномоченным органом в соответствии с требованиями [1].

СМПИ должна включать в себя процедуры уведомления уполномоченного органа (если организация не освобождена от требования подавать уведомления согласно [1]), а также должна обеспечивать точность и актуальность таких уведомлений

4.7 Добросовестная и законная обработка информации

Цель Обеспечение квалифицированной обработки персональной информации и установления законных оснований для обработки персональной информации до начала ее обработки.

ГОСТ Р 53647.6 -2012

4.7.1 Сбор и обработка персональной информации

СМПИ должна включать в себя процедуры, обеспечивающие:

a)квалифицированную и законную обработку персональной информации организацией;

b)обработку организацией персональной информации особой ответственности только в соответствии с требованиями [1];

c)обработку организацией персональной информации особой ответственности только для достижения установленных целей организации и в соответствии с требованиями [1];

d)выдачу лицу, передающему организации свою персональную информацию, «уведомления о конфиденциальности» или заявления о конфиденциальности в режиме он-лайн, полностью или частично со ссыпкой на полный текст уведомления с указанием следующей информации:

1)сведений об организации,

2)цели обработки персональной информации,

3)условиях раскрытия персональных данных третьим лицам;

4)правах доступа субъекта к своим персональным данным,

5)условиях передачи персональной информации в страны, не обеспечивающие ее адекватной защиты,

6)способах обращения с запросом об обработке персональной информации в организации,

7)методах и технологиях, таких как файлы cookie, используемых на веб-сайте для сбора персональной информации о физических лицах,

8)прочих способах обеспечения квалифицированной обработки персональных данных.

Если сбор или использование персональной информации осуществляется для целей маркетинга, СМПИ должна включать в себя процедуры, обеспечивающие способы отказа субъекта персональных данных от подобного маркетинга, которые должны быть однозначно ему разъяснены.

СМПИ должна включать в себя процедуры, обеспечивающие порядок работы в ситуации, когда обработка персональных данных была основана на согласии субъекта персональной информации, которое позднее было им отозвано, т е. процедуры прекращения обработки

Если в соответствие с законодательными или обязательными требованиями необходимо согласие для осуществления маркетинга, СМПИ должна включать в себя процедуры получения такого согласия.

Если персональную информацию особой ответственности получают для определенных целей, СМПИ должна включать в себя процедуры, обеспечивающие точное указание в уведомлениях о конфиденциальности целей использования такой персональной информации.

СМПИ должна включать в себя процедуры, обеспечивающие верификацию и валидацию новых методов сбора информации персоналом обладающим соответствующей квалификацией и опытам работы (см. п 4.1.2), и соответствие таких методов законодательным и обязательным требованиям и передовому опыту в области защиты персональных данных.

4.7.2 Записи об уведомлениях к заявлениях о конфиденциальности СМПИ должна включать в себя процедуры регистрации уведомлений и он-лайн заявлений о конфиденциальности. Такие записи должны храниться не менее установленного срока хранения соответствующей персональной информации

4.7.3  Срок предоставления уведомлении к заявлении о конфиденциальности СМПИ должна включать в себя процедуры, обеспечивающие порядок действий в ситуации, когда организация получает персональную информацию непосредственно от физического лица, при этом уведомление или он-лайн заявление о конфиденциальности должно быть предоставлено или доступно этому лицу до получения от него какой-либо персональной информации

4.7.4  Доступность уведомлений и заявлений о конфиденциальности

СМПИ должна включать в себя процедура обеспечивающие понятность и доступность содержания всех уведомлений и/или он-лайн заявлений о конфиденциальности

Примечание - Уведомления о конфиденциальности, используемые при сборе персональной информации у социальными уязвимых взрослых лиц и детей, а также лиц, испытывающих затруднения в обучении, должны быть представлены на языке и в формате понятном  и доступном для них

4.7.5  Третьи стороны

СМПИ должка включать в себя процедуры, обеспечивающие добросовестность и законность получения персональной информации от третьих сторон. СМПИ должна включать в себя процедуры, обеспечивающие, при необходимости, предоставление субъектам персональной информации уведомлений о конфиденциальности и/ он-лайн заявление о конфиденциальности (см. п. 4.7.1), за исключением случаев, когда такие меры являются чрезмерными.

Примечание - Предоставление уведомления или он-лайн заявления о конфиденциальности могут быть признаны «чрезмерной мерой», если для этого организации требуются «значительные усилия» или если обработка информации может с  большой вероятностью нанести ущерб субъекту.

4.8 Обработка персональных данных в заявленных целях

Цель: Обеспечение сбора и обработки персональной информации только для достижения установленных и заявленных целей.

4.8.1  Основания для обработки персональной информации

СМПИ должна включать процедуры, обеспечивающие при обработке персональной информации соблюдение законодательных требовании, нормативных актов или контрактных обязательств.

СМПИ должна включать процедуры, не допускающие использование собранной для конкретных целей персональной информации в иных целей, за исключением случаев, когда:

a)применимо соответствующее исключение из закона;

b)имеется дополнительное согласие лиц на обработку их персональной информации в иных целях.

СМПИ должна включать в себя процедуры, обеспечивающие получение согласия лица на обработку его персональной информации особой ответственности для новых целей до начала этой обработки, кроме ситуаций, когда применимо соответствующее исключение из законодательных требований

4.8.2  Согласие ка обработку персональной информации для новых целях

СМПИ должна включать в себя процедуры, обеспечивающие получение добровольного и осознанного согласия ка обработку персональной информации для новых целей

СМПИ должна включать в себя процедуры, обеспечивающие:

a)получение однозначного подтверждения согласия лица ка использование его персональной информации для новых целей,

b)регистрацию полученных согласий ка обработку персональной информации для новых целей.

4.8.3  Обмен данными

СМПИ должна включать в себя процедуры, обеспечивающие формальное установление ответственности относительно персональной информации в письменном соглашении или договорах в ситуации, когда организация передает персональную информацию другой организации.

СМПИ должка включать в себя процедуры, устанавливающие требования к использованию персональной информации другими организациями в своих целях. Для этого:

a)письменное соглашение или договор должны установить цели использования информации и ограничения ка дальнейшее использование персональной информации в иных целях;

b)другая организация должка предоставить заявление или иное доказательство взятого ка себя обязательства обрабатывать информацию в соответствии с требованиями [1].

СМПИ должна включать в себя процедуры, устанавливающие требования к новым видам обработки персональной информации, включая обмен данными с третьими лицами только при уведомлении организации (см п. 4 6) и в соответствии с условиями уведомления о конфиденциальности или он-лайн заявления о конфиденциальности [см. п.4.7.1 d)], предоставленного субъекту персональных данных. В противном случае организация должна обеспечивать наличие

1) законных оснований для обмена данными,

2) согласие лица ка обмен данными, при необходимости.

Если обмен данными с третьими лицами разрешен без согласия субъекта персональных данных, СМПИ должна включать в себя процедуры, обеспечивающие ведение и регулярный анализ протоколов обмена данными и наличие документированных процедур и методов контроля обмена данными

Если требуется обмен данными с третьими лицами, например, в соответствие с законодательными требованиями, СМПИ должна включать в себя процедуры, обеспечивающие наличие протоколов и методов контроля обмена данными

4.8.4 Объединение данных

Если персональная информация объединяется с другой персональной информацией для создания, например, расширенного профиля идентифицируемого субъекта персональных данных, СМПИ должна включать в себя процедуры, обеспечивающие использование объединенной персональной информация исключительно для достижения заявленных и совместимых с ними целей, в соответствии с полученным согласием субъекта и законодательными требованиями

4.9 Адекватность, соответствие целям к достаточность

Цель: Организация должна обеспечить адекватность, соответствие целям обработки и достаточность персональной информации

4.9.1  Адекватность

СМПИ должна включать в себя процедуры, обеспечивающие сбор персональной информации, адекватной целям организации

СМПИ должна включать в себя процедуры актуализации методов и процессов обработки персональной информации, обеспечивающих адекватность персональной информации этим целям

4.9.2 Соответствие целям и избыточность

СМПИ должна включать процедуры, обеспечивающие следующее:

a)организация должна обрабатывать минимальное количество персональной информации, необходимой для достижения ее целей;

b)организация не должна обрабатывать дополнительную персональную информацию, которая является несоответствующей или излишней для целей организации, за исключением случаев, когда предоставление такой информации не является обязательным, и она обрабатывается с согласия субъекта персональной информации,

c)новые системы и процессы, включающие обработку персональной информации, следует анализировать для обеспечения соответствия обрабатываемой информации целям ее обработки и достаточности.

Если для достижения целей организации кет необходимости или нецелесообразно обрабатывать персональную информацию, СМПИ должна регламентировать условия, при которых обработка персональной информации не производится

4.10 Достоверность

Цель: Обеспечение достоверности персональной информации и, при необходимости, ее актуализация.

СМПИ должка включать в себя процедуры, обеспечивающие целостность и достоверность обрабатываемой персональной информации.

СМПИ должна включать в себя процедуры, позволяющие физическим лицам оспаривать достоверность их персональной информации и, при необходимости, вносить в нее исправления. Если персональная информация является недостоверной и не подлежит исправлению, например, в отношении исторических данных, СМПИ должна включать процедуры регистрации обнаруженных недостоверных данных и, если это правомерно, соответствующей достоверной персональной информации

СМПИ должна включать в себя процедуры проверки выявленных случаев недостоверности данных

СМПИ должна включать в себя процедуры, обеспечивающие информирование персонала о важности точкой записи персональной информации и об использовании только актуальной персональной информации при принятии валовое решений в отношении физических лиц.

СМПИ должна включать в себя процедуры

a) информирования третьих сторон, которым организация передала недостоверную или устаревшую персональную информацию, о том, что информация является недостоверной и (или) устаревшей и не должна использоваться при принятии решений в отношении субъектов персональной информации,

b) передачи исправленной персональной информации третьим сторонам, при необходимости.

СМПИ должна включать в себя процедуры проверки новьк систем и процессов, включающих обработку персональной информации и обеспечивающих:

1) подтверждение, что новые системы или процессы способны предупредить запись недостоверной или устаревшей персональной информации,

2) внесение изменений в недостоверную или устаревшую персональную информацию

4.11 Хранение к уничтожение

Цель: Обеспечение хранения персональной информации в течение установленного

срока.

В СМПИ должен быть установлен порядок хранения персональной информации, включая:

a)минимальные сроки хранения, установленные в соответствие с законодательными и/или обязательными требованиями,

b)определения и обоснования основных принципов назначения сроков хранения персональной информации,

c)обоснование хранения персональной информации в течение срока, превышающего установленный период хранения, например, для статистических и (или) исследовательских целей.

СМПИ должна включать в себя процедуры внедрения порядка (план-графика) хранения и доведения его до сведения исполнителей.

СМПИ должна включать в себя процедуры уничтожение персональной информации, которая больше не требуется организации

СМПИ должна включать в себя процедуры уничтожения или ссылку на них, включая:

1)использование утвержденных процедур,

2)обеспечение уровня безопасности, соответствующего важности и чувствительности персональной информации,

3)управление персональной информацией в соответствии с оценкой риска информационной безопасности организации

Примечание - Иногда целесообразно передать персональную информацию на постоянное хранение в архив

4.12 Права субъектов персональных данных

Цель Обеспечение в существующих процедурах соблюдения прав субъектов персональных данных

4.12.1 Соблюдение прав субъектов персональных данных

СМПИ должна включать процедуры, обеспечивающие соблюдение прав физических лиц в отношении их персональной информации и обработку в короткие сроки, установленные законом, запросов ка использование таких прав

Примечание - Эти права включают в себя доступ к информации, возможность отказа от ее обработки и проверку автоматизированной обработки

4.12.2 Претензии и апелляции

СМПИ должка включать в себя процедуру работы с претензиями к обработке персональной информации Должны быть также установлены процедуры рассмотрения апелляции физических лиц в отношении работы с их претензиями

4.13 Обеспечение безопасности

Цель: Обеспечить защиту персональной информации от потери или повреждения и несанкционированной или незаконной обработки путем реализации соответствующих технические и организационные мер по обеспечению безопасности

4.13.1 Способы обеспечения безопасности

СМПИ должна определить необходимые способы обеспечения безопасности, соответствующие:

a)категории обрабатываемой персональной информации,

b)риску причинения ущерба или моральных потерь лицам в случае появления компрометирующей информации (см п. 4.4).

Примечание 1 - Оценка риска (4.4) должна установить соответствующий уровень контроля и управление безопасностью. Чрезмерные требования безопасности могут быть не менее опасными, чем недостаточные требования. При обработке персональной информации с высоким уровнем риска (см п. 4.2.2) СМПИ должна обеспечивать постоянное соответствие установленных и используемых мер безопасности уровню риска

Примечание 2 - Часто для обеспечения соответствия требованием безопасности целесообразно применение стандарта ГОСТ Р ПСО/МЭК 27001, возможна также оценка соответствия требованиям этого стандарта внешним органом по оценке соответствия

4.13.2 Хранение и обработка СМПИ должна включать в себя процедуры, обеспечивающие безопасное хранение и обработку персональной информации в соответствии с уровнем ее конфиденциальности и особой ответственности.

Примечание - Особое внимание следует обратить ка хранение персональной информации на носителях и портативных устройствах, таких как ленточные накопители для резервного копирования, переносные накопители USB, съемные жесткие диски, ноутбуки и другие устройства

4.13.3 Передача

СМПИ должна включать в себя процедуры, обеспечивающие передачу персональной информации в электронном виде и/или вручную внутри организации, и/или в другие организации, ее защиту средствами, установленными организацией для защиты информации при передаче

4.13.4 Методы управления доступом

СМПИ должна включать в себя процедуры, обеспечивающие доступ к персональной информации только сотрудникам, которым это необходимо дня выполнения их должностных обязанностей.

СМПИ должна включать в себя процедуры, обеспечивающие при предоставлении законного доступа к персональной информации понимание персоналом того, что доступ предоставляется исключительно в служебных целях и должен осуществляться исключительно в законных основаниях.

При обработке персональной информации с высоким уровнем риска (см п. 4.2.2) СМПИ должна включать в себя процедуры, обеспечивающие способы управления и контроля доступа, которые должны быть взаимосвязаны с уровнем важности и чувствительности персональной информации

СМПИ должна включать в себя процедуры, обеспечивающие контроль всех случаев доступа к персональной информации и их оценку в соответствии с процедурой оценки риска информационной безопасности организации

4.13.5 Оценка безопасности

СМПИ должна включать в себя процедуры, обеспечивающие регулярное проведение оценки безопасности.

В результате оценки должны быть оценены адекватность существующих методов и способов обеспечения безопасности и, при необходимости, даны рекомендации по их улучшению

При проведении оценки необходимо учитывать риск причинения вреда, ущерба и (или) моральных потерь лицам в случае возникновения инцидента, связанного с безопасностью.

4.13.6 Управление инцидентами, связанными с безопасностью

СМПИ должна включать в себя процедуры

a)оценки и управления инцидентами, связанными с безопасностью персональной информации, включая процедуры смягчения ущерба, причиненного этими инцидентами;

b)документирования каждого инцидента, связанного с безопасностью, включая оценку того, как он произошел, какие корректирующие действия были предприняты и какие выводы были сделаны,

c)принятия решений о необходимости направления сообщения об инциденте, связанном с безопасностью, соответствующему регулирующему органу или оповещения субъектов персональных данных,

d)регистрации такие сообщении и выданных оповещений

4.14 Трансграничная передача персональных данных за пределы РФ

Цель: Обеспечить соответствующий уровень защиты при передаче или обработке пер с анальной информации за пределами страны

СМПИ должна включать в себя процедуры, обеспечивающие защиту прав физических лиц, если организация передает персональную информацию за пределы РФ, в том числе:

a)необходимо включить в договора условия, обеспечивающие защиту информации и процесса ее обработки, например, использование типовых договоров и/или установление внутренних обязательных требований к работе с персональной информацией для организаций, получающих информацию,

b)при передаче персональной информации в организации, находящиеся в других странах, следует установить соответствие этой организации международным требованиям обеспечения без опасности персональной информации;

c)установление страны местонахождения организации, которой передается персональная информация, и оценка этой Страны ка предмет обеспечения адекватной защиты этой информации;

d)если организация, получающая информацию, привлекает другие организации (субподрядчиков) к обработке персональной информации, следует провести проверку таких организаций

СМПИ должна включать в себя процедуры, обеспечивающие анализ и проверку персоналок ответственным за соблюдение законодательных и обязательных требований и соответствие передового мировому опыту в области защиты персональных данных (см. п. 4.1.2), всех новых предложений, включающих передачу персональной информации за пределы РФ В результате такого анализа и проверки должны быть установлены возможности обеспечения адекватной защиты персональной информации при такой передаче.

СМПИ должна включать в себя процедуры, обеспечивающие наличие типовые договоров с субподрядчиками, которые обрабатывают персональную информацию от имени организации и расположены за пределами РФ. Такие типовые договора, необходимы для обеспечения надлежащей защиты персональной информации, если не согласованы иные адекватные процедуры защиты информации

 

4.15 Раскрытие информации третьим сторонам

Цель Организация должна обеспечить управление раскрытием информации третьим сторонам в соответствии с законодательными и обязательными требованиями и передовым опытом в области защиты данных.

СМПИ должна включать в себя процедуры, обеспечивающие предоставление третьими сторонами объективных свидетельств:

a)их права на доступ к персональной информации,

b)их подлинности, при необходимости.

СМПИ должна включать в себя процедуры, обеспечивающие проведение проверки наличия законных оснований для раскрытия информации третьим сторонам.

Третьим сторонам должен раскрываться только минимально необходимый объем персональной информации

СМПИ должна включать в себя процедуры регистрации записей о фактах раскрытия персональной информации Записи должны стать объективным свидетельствам того, что раскрытие было законным и позволить организации контролировать раскрытие персональной информации

Примечание - Если доступ к персональной информации предоставляется третьим сторонам на основании закона, то проверку подлинности и минимизации объема раскрываемой информации можно не проводить

 

4.16 Передача обработки информации при привлечении субподрядчиков

Цель: Организация должна обеспечить, чтобы обработка персональной информации, обрабатываемой подрядчиком от имени организации, осуществлялась в соответствии с законодательными и обязательными требованиями и передовым опытом в области защиты данных.

Если обработка персональной информации от имени организации проводится подрядчиком, СМПИ должна включать в себя процедуры, обеспечивающие:

a)выбор организацией подрядчиков, способных обеспечить техническую, физическую и организационную безопасность в соответствии с требованиями организации в отношении персональной информации,

b)проведение организацией тщательной проверки выбранного подрядчика, оценки соответствующих мер безопасности в области защиты данных и, при необходимости, проверки мер безопасности, применяемых подрядчиком до заключения договора в зависимости от характера обрабатываемой персональной информации или обстоятельств, сопутствующих ее обработке;

c)составление договора об оказании услуг в письменной форме, требующего от выбранного подрядчика обеспечения надлежащего уровня безопасности обрабатываемой персональной информации,

d)проведение регулярных проверок мер безопасности у подрядчика в течение всего срока его доступа к персональной информации,

e)выполнение подрядчиком обязательств по получению от организации разрешения ка использование услуг субподрядчиков для обработки персональной информации в соответствии с договором,

f)включение в договор субподряда требования к субподрядчику (и это требование распространяется далее и на его субподрядчиков) о соблюдении, как минимум таких же требований по безопасности и других положений, которые применимы к подрядчику,

g)установления в договорах подряда (которые передаются и субподрядчикам) требования уничтожения соответствующей персональной информации либо передаче ее организации или подрядчику (по указанию организации) при прекращении действия договора

 

4.17 Поддержка

СМПИ должна включать в себя процедуры, обеспечивающие актуализацию процедур и элементов обработки информации для поддержания их корректного и надлежащего функционирования. Такие процедуры должны обеспечивать регулярное планирование и проведение мероприятий по поддержке СМПИ.

 

5  Мониторинг и анализ СМПИ

Цель: Обеспечение мониторинга и анализ результативности и эффективности СМПИ.

5.1 Внутренний аудит

5.1.1  Планирование аудита

Планирование, установление и поддержка программы аудита по мониторингу и анализу результативности и эффективности обработки организацией персональной информации должны проводиться с учетом политики в области персональной информации

Программа аудита должна включать в себя проверку всех элементов обработки персональной информации, а также информации с высоким уровнем риска (см п. 4.2.2) и обработки персональной информации подрядчиками (см п. 4.16).

5.1.2  Выбор аудиторов

Объективность и независимость аудита должны быть основаны ка правильном выборе аудиторов и управлении программами аудита.

Примечание - Для крупных организаций и организаций, обрабатывающих персональную информацию с высоким  уровнем риска (см пункт 4.2.2) следует рассмотреть варианты проведения регулярного внешнего аудита

5.1.3  Требования к аудиту

Аудит должен проводиться через запланированные интервалы времени и предусматривать проверку:

a)функционирования СМПИ в соответствии с политикой и установленными процедурами;

b)внедрения и функционирования СМПИ в соответствии с технологическими требованиями

Отчеты об аудите должны быть представлены руководству организации, в котором должны быть указаны все значимые отклонения от политики и (или) установленных процедур.

В отчетах об аудите должны быть идентифицированы вопросы, связанные с методами или процессами, которые могут повлиять ка соблюдение политики в области персональной информации

 

5.2 Анализ со стороны руководства

Анализ СМПИ со стороны руководств а должен проводиться регулярно, а также в случае существенных изменений для обеспечения устойчивого развития, адекватности и эффективности системы.

Анализ со стороны руководств а должен включать следующую информацию

a)обратную связь, полученную от потребителей СМПИ;

b)идентификации персоналом опасных событий и их эскалации,

c)результатах аудита;

d)записях анализа процедур,

e)результатах модернизации и (или) замены технологий;

f)формальных запросах об оценке регулирующими органами;

g)обработке претензий,

h)случаях нарушений/инцидентов безопасности.

Анализ со стороны руководства должен представлять подробную информацию в отношении возможных изменений СМПИ, например, путем идентификации изменений в политике, процедурах и (или) методах, которые могут повлиять на обеспечение соответствия.

После внесения существенных изменений в СМПИ аудит должен проводиться в кратчайшие сроки

6  Улучшение СМПИ

Цель: Организация должка улучшать результативность и эффективность СМПИ путем выполнения корректирующих и предупреждающих действий

6.1 Предупреждающие и корректирующие действия

6.1.1  Общие положения

Организация должна постоянно улучшать СМПИ путем реализации предупреждающих и корректирующих действий.

Все предлагаемые изменения и/или улучшения должны быть оценены до начала га внедрения, чтобы обеспечить выполнение требований политики менеджмента персональной информации

Изменения, которые могут негативно повлиять на возможность демонстрировать соблюдение законодательное и обязательных требований и передового опыта в области защиты данных (например, перевод персональной информации в новый формат хранения файлов), необходимо анализировать с целью определения их влияния на обеспечение соответствия.

Изменения, возникающие в результате реализации предупреждающих и корректирующие действий, следует документировать и обеспечить хранение данных в соответствии с их правилами хранения

6.12 Предупреждающие действия

Организация должна принимать меры для защиты от потенциальных несоответствий для предотвращения их повторного появления. Должны быть установлены процедуры

a)выявления несоответствий них причин,

b)определения и реализация необходимых предупреждающих действий,

c)регистрации результатов анализа предпринятого действия;

d)идентификации изменившегося риска,

e)обеспечения информирования всех заинтересованных сторон о потенциальном несоответствии и предпринятом предупреждающем действии.

6.1.3  Корректирующие действия

В СМПИ должна быть установлена процедура анализа каждого несоответствия и, на основе оценки риска, выполнения следующих действий:

a)устранения причины несоответствия;

b)уменьшения степени несоответствия;

c)если в результате оценки риска установлено, что уменьшение степени несоответствия невозможно или требует неадекватных затрат, эти выводы и их обоснование должны быть документированы

Оценку риска следует проводить регулярно с целью выявления изменений существующего положения и необходимости устранения несоответствий (см п. 4.4).

Организация должна обеспечить оценку всех вновь выявленных видов риска для персональной информации (внутри организации или в более широкой сфере) с использованием проактивных процедур, такие как оценка влияния нарушений конфиденциальности персональной информации.

6.2 Постоянное улучшение

Организация должна постоянно повышать результативность СМПИ, используя результаты аудита, предупреждающие и корректирующие действия и анализ со стороны руководства.

Претензии, инциденты безопасности, запросы на доступ к информации и прочие материалы следует использовать для улучшения эффективности СМПИ.

 

Приложение А (справочное)

Цикл РОСА «Планирование - Осуществление -Проверка - Действие»

В настоящем стандарте применен цикл PDCA «Планирование-0 существление-Проверка- Действие» для установления, внедрения, функционирования, мониторинга, использования, поддержания в рабочем состоянии и повышения эффективности СМПИ организации. Он обеспечивает надлежащую степень соответствия другим стандартам системы менеджмента, таким образ он поддерживая последовательное и интегрированное внедрение и совместное функционирование с соответствующими системами менеджмента.

Другие стандарты систем менеджмента:

ГОСТ Р ИСО 9001 (Системы менеджмента качества);

ГОСТ Р ИСО 14001 (Системы экологического менеджмента);

ГОСТ Р ИСО / МЭК 27001 (Системы управления информационной безопасностью);

ГОСТ Р ИСО / МЭК 20000 (Управление ИТ-сервисами).

На рисунке А.1 показано функционирование СМПИ на основе требований настоящего стандарта.

 Требования к системе менеджмента персональной информации для обеспечения защиты данных

Планирование

Планирование внедрения СМПИ

Раздел 3

Осуществление

Внедрение и функционирование СМПИ

Раздел 4

Проверка

Мониторинг и анализ СМПИ

Раздел 5

Действие

Улучшение СМПИ

Раздел 6

 

 

Библиография

[1] Федеральный Закон «О защите персонал ьньк данньк»№ 152 от 27.07.2006 г.

[2] PARLIAMENT AND COUNCIL OF THE EUROPEAN COMMUNITY. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 oil the protection of individuals with regard to the processing of personal data and on the free movement of such data ОJL 281, 23.11.1995, p. 31 -50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)

[3] ГОСТ P ИСО 9000-2008 Системы менеджмента качества. Основные положения и словарь

[4] ГОСТР ИСО 9001-2008 Системы менеджмента качеств а. Требования

[5] ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению

[6] ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

[7] ГОСТ Р ИСО/МЭК 20000-2-2010 Информационная технология. Менеджмент услуг. Часть 2. Кодекс практической деятельности

 

Сведения о стандарте

0.1 Система менеджмента персональной информации

Применение настоящего стандарта может позволить организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.

Основным законом в этой сфере является Федеральный Закон о защите персональных данных № 152 от 27.07.2006 г [1]. Он реализует положения Конституции РФ и Европейской директивы 95/46/ЕС от 24 октября 1995 года [2] и применяется к «персональным данным», которые определены как любая информация, относящаяся к определенному или определяемому ка основании такой информации физическому лицу (субъекту персональных данных), такая как его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация

В настоящем стандарте термин «персональная информация» используется в качестве синонима термину «персональные данные». В качестве синонимов термина «менеджмент персональной информации» часто используют термины «менеджмент персональных данных», «управление персональной информацией», «управление персональными данными». Выбор терминов зависит от потребностей организации и требований ее причастных сторон.

Закон о защите персональных данных регулируется и приводится в исполнение уполномоченным органам по защите прав субъектов персональных данных (далее уполномоченный орган), ответственным за содействие защите персональной информации Уполномоченный орган распространяет передовой мировой опыт путем опубликования руководств, правил по правомерным претензиям предоставляет необходимую информацию физическим лицам и организациям, а также принимает соответствующие меры в случае нарушения закона.

Уполномоченный орган обладает полномочиями по расследованию претензий, проведению оценки соответствия обработки информации требованиям [1], выпуску информационных сообщений и уведомлений о принудительном исполнении требований законодательства.

0.2 Принципы защиты персональной информации.

В соответствии с мировой практикой операторы, работающие с персональными данными, должны соблюдать восемь принципов защиты персональной информации, согласно которым персональная информация должна:

ГОСТ Р 53647.6-2012

  • 1-ый принцип - быть обработана квалифицировано и с учетом законодательных и обязательных требований,
  • 2-ой принцип - быть собрана только для определенных целей и обработана только в соответствии с этими целями,
  • 3-ий принцип - быть адекватной, соответствующей целями не избыточной;
  • 4-ый принцип - быть достоверной и актуальной;
  • 5-ый принцип - не должна храниться больше установленного срока;
  • 6-ой принцип - быть обработана с соблюдением законных прав физических лиц, включая право на получение доступа к личной информации,
  • 7-ой принцип - быть защищена;
  • 8-ой принцип - не должна передаваться в страны, находящиеся за пределами РФ, без обеспечения надлежащей защиты

Из данных принципов защиты данных могут быть сделаны исключения. Большая часть таких исключений составляет следующие категории:

  • исключения из принципа неразглашения,
  • исключения из положений о предоставлении информации субъекту персональных данных,
  • исключения, относящиеся к обработке информации в исторических и (или) исследовательских целях;
  • прочие исключения, например, конфиденциальные ссылки и экзаменационные работы.

Дополнительная информация приведена в [1], инструкцию; уполномоченного органа и в прочих руководствах и рекомендациях

0.3 Уведомление

С целью обеспечения открытости в соответствие с [1] организация должна уведомлять уполномоченный орган об обработке персональной информации, за исключением случаев применения исключений в отношении уведомлении

Оставьте свой отзыв:

Похожие статьи:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы