На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в июльском 2021 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=7&year=2021 ) выложен межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных» объёмом 28 страниц, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564
Стандарт подготовлен Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), АО «Аладдин РД» и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык свободно распространяемого международного стандарта ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip ).
Пикантность ситуации в том, что сейчас в качестве межгосударственного ГОСТа стандарт ISO/IEC 29100:2011 адаптирован в России повторно. Уже много лет существует национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 – отменять который вроде бы не планируется!
«Сводные братья» ГОСТ Р ИСО/МЭК 29100-2013 (слева) и ГОСТ ISO/IEC 29100-2021 (справа)
Как отмечается во вводной части документа:
«Настоящий стандарт предоставляет высокоуровневые основы обеспечения безопасности персональных данных (ПДн) в информационных системах персональных данных. Стандарт является общим по своему характеру, определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения безопасности персональных данных.
Общие принципы обеспечения безопасности ПДн предназначены для содействия организациям в определении требований к мерам защиты ПДн в информационных системах персональных данных посредством:
Общие принципы обеспечения безопасности ПДн предназначены для содействия организациям в определении требований к мерам защиты ПДн в информационных системах персональных данных посредством:
- продвижения общей терминологии, связанной с обеспечением безопасности ПДн,
- определения субъектов и их ролей при обработке ПДн,
- описания требований к мерам обеспечения безопасности ПДн,
- использования ссылок на известные основы обеспечения безопасности ПДн.
... Использование настоящего стандарта призвано:
- содействовать проектированию, реализации, эксплуатации и поддержке систем, которые обрабатывают ПДн при условии обеспечения их защиты;
- стимулировать инновационные решения, позволяющие обеспечивать безопасность ПДн в информационных системах персональных данных;
- совершенствовать корпоративные программы обеспечения безопасности ПДн благодаря использованию лучших практических приемов.
Основы обеспечения безопасности ПДн, представленные в настоящем стандарте, могут служить базой для дополнительных инициатив по стандартизации безопасности ПДн, таких как:
- применение базовой технической архитектуры;
- реализация и использование конкретных технологий обеспечения безопасности ПДн и общего управления защитой ПДн;
- применение мер обеспечения безопасности ПДн для процессов обработки данных в рамках аутсорсинга;
- оценка рисков нарушения безопасности ПДн;
- использование определенных технических спецификаций.
...В настоящем стандарте представлены основы обеспечения безопасности персональных данных (ПДн). которые:
- устанавливают общую терминологию в области безопасности ПДн;
- определяют субъектов и их роли в обработке ПДн;
- описывают концепции безопасности ПДн;
- предоставляют ссылки на методы обеспечения безопасности ПДн.
Настоящий стандарт предназначен для физических лиц и организаций, вовлеченных в определение особенностей, приобретение, моделирование, проектирование, создание, тестирование, обслуживание, управление и функционирование систем ИКТ или услуг, для которых при обработке ПДн требуются меры обеспечения безопасности ПДн.»
У предыдущей русскоязычной инкарнации ISO/IEC 29100:2011 были серьёзные проблемы с терминологией, и мне, конечно, любопытно было посмотреть, научились ли чему-либо наши переводчики за 8 лет. Сразу скажу, что одна лишь замена «обеспечения приватности» на «защиту персональных данных» дорогого стоит, и за это большое спасибо – но, конечно, хотелось большего, и эти ожидание не оправдались. Мы видим «кривые» определения. Не стыкующиеся с законодательством РФ (то, что это Межгосударственный стандарт – не оправдание; нужно было биться за формулировки, не противоречащие здравому смыслу и отечественным законам). Вот несколько примеров:
1. Ключевой термин «персональные данные»
Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 02.07.2021) «О персональных данных», п.1 ст.3
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
ISO/IEC 29100:2011, п.2.9 (перевод мой), см. https://www.iso.org/obp/ui/#iso:std:iso-iec:29100:ed-1:v1:en
Персональные данные (personally identifiable information, ПДн):
(а) Любая информация, которая может быть использована для идентификации субъекта персональных данных, к которому эта информация относится; и/или
(b) информация, которая может быть прямо или косвенно связана с субъектом персональных данных.
(а) Любая информация, которая может быть использована для идентификации субъекта персональных данных, к которому эта информация относится; и/или
(b) информация, которая может быть прямо или косвенно связана с субъектом персональных данных.
Примечание: При установлении возможности идентифицировать субъекта ПДн, следует принять во внимание все разумные средства, которые могут быть использованы заинтересованным в ПДн лицом, имеющим эти данные, или любой иной стороной для идентификации этого физического лица.
ГОСТ ISO/IEC 29100-2021, п.2.9:
Персональные данные (personally identifiable information, ПДн):
(а) Любая информация, с помощью которой может быть установлена связь (!) между этой информацией и личностью (физическим лицом) того, к кому относится эта информация:
(b) информация, которая прямо или косвенно может быть отнесена к определяемому физическому лицу.
Примечание: Для того чтобы определить, является ли субъект ПДн идентифицируемым, следует учесть все средства, которые могут быть корректно (?!) использованы лицом, заинтересованным в обеспечении безопасности (!!) ПДн, владеющим данными, или любой другой стороной для идентификации этого физического лица.
Мой комментарий: Здесь пункт (a), похоже, написан лицом, не только не являющимся «носителем русского языка», но и не разбирающемся в национальном и мировом законодательстве по вопросам защиты персональных данных…
(а) Любая информация, с помощью которой может быть установлена связь (!) между этой информацией и личностью (физическим лицом) того, к кому относится эта информация:
(b) информация, которая прямо или косвенно может быть отнесена к определяемому физическому лицу.
Примечание: Для того чтобы определить, является ли субъект ПДн идентифицируемым, следует учесть все средства, которые могут быть корректно (?!) использованы лицом, заинтересованным в обеспечении безопасности (!!) ПДн, владеющим данными, или любой другой стороной для идентификации этого физического лица.
Мой комментарий: Здесь пункт (a), похоже, написан лицом, не только не являющимся «носителем русского языка», но и не разбирающемся в национальном и мировом законодательстве по вопросам защиты персональных данных…
ГОСТ Р ИСО/МЭК 29100-2013, п.2.9 – для сравнения:
Персональная идентификационная информация; ПИИ (personalty identifiable information, PH): Любая информация: (а) которая может использоваться для идентификации обладателя ПИИ, которому такая информация принадлежит; (b) которая прямо или косвенно уже связана или может быть связана с обладателем ПИИ.
Примечание: Для того чтобы определить, является ли обладатель ПИИ идентифицируемым, следует учесть все средства, которые могут быть корректно использованы лицом, заинтересованным в обеспечении приватности. владеющим данными, или любой другой стороной для идентификации этого физического лица.
Мой комментарий: Поразительно, но перевод в старом ГОСТ Р 8-летней давности гораздо ближе к правде, чем в новеньком ГОСТ ISO/IEC 29100-2021 :)
Примечание: Для того чтобы определить, является ли обладатель ПИИ идентифицируемым, следует учесть все средства, которые могут быть корректно использованы лицом, заинтересованным в обеспечении приватности. владеющим данными, или любой другой стороной для идентификации этого физического лица.
Мой комментарий: Поразительно, но перевод в старом ГОСТ Р 8-летней давности гораздо ближе к правде, чем в новеньком ГОСТ ISO/IEC 29100-2021 :)
2. Термин «оператор ПДн»
Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 02.07.2021) «О персональных данных», п.2 ст.3
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
ISO/IEC 29100:2011, п.2.10 (перевод мой):
Оператор ПДн (PII controller) – заинтересованное в ПДн лицо (или группа лиц), не являющиеся использующими данные для личных целей физическими лицами, которые определяют цели и способы обработки персональных данных.
Примечание: Оператор ПДн иногда даёт поручения другим сторонам (например, обработчикам ПДн) провести обработку ПДн от его имени, при этом ответственность за обработку по-прежнему несёт оператор ПДн.
Примечание: Оператор ПДн иногда даёт поручения другим сторонам (например, обработчикам ПДн) провести обработку ПДн от его имени, при этом ответственность за обработку по-прежнему несёт оператор ПДн.
ГОСТ ISO/IEC 29100-2021, п.2.10:
Оператор ПДн (PII controller): Государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, определяющие цели и состав подлежащих обработке ПДн, а также действия (операции), совершаемые с ПДн.
Примечание: Оператор ПДн может давать указания другим (например, третьей стороне) по обработке ПДн от своего лица, в то время как ответственность за обработку остается за оператором ПДн.
Мой комментарий: В данном случае видна попытка согласовать определение с законодательством – но почему-то авторы не стали точно цитировать закон №152-ФЗ, а также не потрудились дать примечание, сообщающее, что в международном стандарте дана иная формулировка.
Примечание: Оператор ПДн может давать указания другим (например, третьей стороне) по обработке ПДн от своего лица, в то время как ответственность за обработку остается за оператором ПДн.
Мой комментарий: В данном случае видна попытка согласовать определение с законодательством – но почему-то авторы не стали точно цитировать закон №152-ФЗ, а также не потрудились дать примечание, сообщающее, что в международном стандарте дана иная формулировка.
ГОСТ Р ИСО/МЭК 29100-2013, п.2.10 – для сравнения:
Оператор ПИИ (Pll controller): Лицо, заинтересованное в обеспечении приватности (или лица, заинтересованные в обеспечении приватности), которое определяет цели и способы обработки ПИИ, в отличие от физических лиц, использующих данные в личных целях.
Примечание: Оператор ПИИ может давать указания другим (например, третьей стороне) по обработке ПИИ от своего лица, в то время как ответственность за обработку остается на операторе ПИИ.
Мой комментарий: В старом ГОСТ Р дан достаточно точный буквальный перевод определения, имеющегося в международном стандарте.
Примечание: Оператор ПИИ может давать указания другим (например, третьей стороне) по обработке ПИИ от своего лица, в то время как ответственность за обработку остается на операторе ПИИ.
Мой комментарий: В старом ГОСТ Р дан достаточно точный буквальный перевод определения, имеющегося в международном стандарте.
3. Термин «обработчик ПДн»
В «Законе о персональных данных» термина «обработчик ПДн» нет, вместо него используется понятие «лицо, осуществляющее обработку персональных данных по поручению оператора». В п.5 ст.6, в частности, сказано:
«В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.»
ISO/IEC 29100:2011, п.2.10 (перевод мой):
Обработчик ПДн (PII processor) – Заинтересованное в ПДн лицо (privacy stakeholder – и в определении такого лица о защите ПДн не сказано ни слова! – Н.Х.), которое осуществляет обработку ПДн от имени и в соответствии с указаниями оператора ПДн.
ГОСТ ISO/IEC 29100-2021, п.2.12:
Обработчик ПДн (Pit processor): Лицо, заинтересованное в обеспечении защиты (!?) ПДн, которое обрабатывает ПДн от имени и в соответствии с инструкциями оператора ПДн
Мой комментарий: Бред какой-то.. Это лицо заинтересовано в самих ПДн, а не в их защите.
Мой комментарий: Бред какой-то.. Это лицо заинтересовано в самих ПДн, а не в их защите.
ГОСТ Р ИСО/МЭК 29100-2013, п.2.12 – для сравнения:
Обработчик ПИИ (PII processor): Лицо, заинтересованное в обеспечении приватности, которое обрабатывает ПИИ от имени и в соответствии с инструкциями оператора ПИИ.
4. Термин «специальные категории ПДн»
Закон РФ «О персональных данных» выделяет:
- В п.1 ст.10 - специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- В п.1 ст.11 - биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
ISO/IEC 29100:2011, п.2.26 (перевод мой):
Чувствительные ПДн (sensitive PII): категория персональных данных, которые являются чувствительными либо по своей природе (как, например, те, что относятся к наиболее интимной сфере субъекта ПДн), и/или которые могут повлечь для субъекта ПДн существенные последствия.
Примечание: В некоторых юрисдикциях или при специфических обстоятельствах чувствительные ПДн определяются в соответствии с их характером и могут включать ПДн, раскрывающих расовую принадлежность, политические убеждения, религиозные и иные верования; персональные данные о здоровье, сексуальной жизни или судимости, а также иные ПДн. которые могут быть определены как чувствительные.
Примечание: В некоторых юрисдикциях или при специфических обстоятельствах чувствительные ПДн определяются в соответствии с их характером и могут включать ПДн, раскрывающих расовую принадлежность, политические убеждения, религиозные и иные верования; персональные данные о здоровье, сексуальной жизни или судимости, а также иные ПДн. которые могут быть определены как чувствительные.
ГОСТ ISO/IEC 29100-2021, п.2.26:
Специальные категории ПДн (sensitive PII): Категория ПДн., которая либо является по своей природе чувствительной информацией, например затрагивает наиболее личную сферу субъекта ПДн, либо может оказывать нежелательное воздействие на персональные данные субъекта ПДн (!?).
Примечание: В некоторых странах или при определенных обстоятельствах специальные категории ПДн определяются относительно типа ПДн и могут состоять из ПДн. раскрывающих расовую принадлежность, политические убеждения или религиозные верования, персональные данные о здоровье, сексуальной жизни или преступлениях, и других ПДн. которые могут быть определены как чувствительная к разглашению информация.
Мой комментарий: Переводчики, похоже, даже не задумались над смыслом получившегося текста – на что всё-таки может оказать негативное влияние раскрытие чувствительных ПДн, на субъекта ПДн или на непонятно какие его персональные данные?
Примечание: В некоторых странах или при определенных обстоятельствах специальные категории ПДн определяются относительно типа ПДн и могут состоять из ПДн. раскрывающих расовую принадлежность, политические убеждения или религиозные верования, персональные данные о здоровье, сексуальной жизни или преступлениях, и других ПДн. которые могут быть определены как чувствительная к разглашению информация.
Мой комментарий: Переводчики, похоже, даже не задумались над смыслом получившегося текста – на что всё-таки может оказать негативное влияние раскрытие чувствительных ПДн, на субъекта ПДн или на непонятно какие его персональные данные?
ГОСТ Р ИСО/МЭК 29100-2013, п.2.26 – для сравнения:
Чувствительная ПИИ (sensitive PII): Категория ПИИ, которая либо является по своей природе чувствительной, например затрагивает наиболее личную сферу обладателя ПИИ либо может оказывать значительное влияние на обладателя (?) ПИИ.
Примечание: В некоторых странах или при определенных обстоятельствах чувствительная ПИИ определяется относительно типа ПИИ и может состоять из ПИИ, раскрывающей расовую принадлежность, политические убеждения или религиозные либо другие верования, персональные данные о здоровье, сексуальной жизни или преступлениях, и другой ПИИ. которая может быть определена как чувствительная.
Примечание: В некоторых странах или при определенных обстоятельствах чувствительная ПИИ определяется относительно типа ПИИ и может состоять из ПИИ, раскрывающей расовую принадлежность, политические убеждения или религиозные либо другие верования, персональные данные о здоровье, сексуальной жизни или преступлениях, и другой ПИИ. которая может быть определена как чувствительная.
В общем, по терминологии картина грустная …
Содержание документа следующее:
Введение
1. Область применения
2. Термины и определения
3. Сокращения
4. Основные элементы защиты персональных данных
5. Принципы защиты персональных данных
5.1. Общий обзор принципов защиты персональных данных
5.2. Согласие и выбор
5.3. Законность цели и ее описание
5.4. Ограничение на сбор
5.5. Минимизация данных
5.6. Ограничения в отношении использования, хранения и раскрытия
5.7. Точность и качество
5.8. Открытость, прозрачность и уведомление
5.9. Индивидуальное участие и доступ
5.10. Ответственность
5.11. Информационная безопасность
5.12. Соответствие обеспечения безопасности персональных данных
Приложение А (справочное) Соответствие между понятиями по ISO/IEC 29100 и понятиями no ISO/IEC 27000
Библиография
Источник: Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564
Комментариев нет:
Отправить комментарий