Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.8.11
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 10 п.п. 4 п.п.п. 2
7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:
- по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;
- выявления неправомерной обработки ПДн без согласия субъекта ПДн.
NIST Cybersecurity Framework (RU):
ID.GV-3
ID.GV-3: Управляются и доступны для понимания правовые и нормативные требования в отношении кибербезопасности, в том числе обязательства в отношении конфиденциальности и гражданских свобод
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.1.4
A.18.1.4 Конфиденциальность и защита персональных данных
Мера обеспечения информационной безопасности: Конфиденциальность и защита персональных данных должна обеспечиваться в соответствии с требованиями соответствующего законодательства и правилами там, где это применимо
Мера обеспечения информационной безопасности: Конфиденциальность и защита персональных данных должна обеспечиваться в соответствии с требованиями соответствующего законодательства и правилами там, где это применимо
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.11
А.8.11 Скрытие данных
Скрытие данных должно использоваться с учетом применимого законодательства в соответствии со специфической тематической политикой организации по контролю доступа, а также иными относящимися к этому вопросу тематическими политиками и бизнес-требованиями.
Скрытие данных должно использоваться с учетом применимого законодательства в соответствии со специфической тематической политикой организации по контролю доступа, а также иными относящимися к этому вопросу тематическими политиками и бизнес-требованиями.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 1 п. 6
1.6. В случае если защищаемая информация содержит персональные данные, должны применяться меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701).
Обеспечение защиты персональных данных осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года № 46487.
Обеспечение защиты персональных данных осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года № 46487.
Приказ Минцифры № 930 Приложение 1 от 10.09.2021 "Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных":
П. 16
16. Хранение параметров биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в соответствии с требованиями, установленными в соответствии со статьей 19 Федерального закона № 152-ФЗ и статьей 14.1 Федерального закона № 149-ФЗ, в течение не менее чем 50 лет со дня их размещения в указанной системе.
Хранение параметров биометрических персональных данных в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, собранных для проведения идентификации, не допускается.
Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также обрабатываемые в указанных информационных системах, используются в целях идентификации и (или) аутентификации не более 5 лет с даты сбора, а в случаях, установленных в соответствии с пунктом 12 Порядка размещения и обновления, – не более 3 лет с даты сбора.
По истечении срока, указанного в абзаце третьем настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в целях идентификации и (или) аутентификации не допускается.
Хранение параметров биометрических персональных данных в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, собранных для проведения идентификации, не допускается.
Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также обрабатываемые в указанных информационных системах, используются в целях идентификации и (или) аутентификации не более 5 лет с даты сбора, а в случаях, установленных в соответствии с пунктом 12 Порядка размещения и обновления, – не более 3 лет с даты сбора.
По истечении срока, указанного в абзаце третьем настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе или в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в целях идентификации и (или) аутентификации не допускается.
П. 1
1. Обработка, включая сбор и хранение, параметров биометрических персональных данных для идентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии со статьей 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2021, № 11, ст. 1708) (далее – Федеральный закон № 149-ФЗ), которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных.
NIST Cybersecurity Framework (EN):
ID.GV-3
ID.GV-3: Legal and regulatory requirements regarding cybersecurity, including privacy and civil liberties obligations, are understood and managed
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
18.1.4
18.1.4 Конфиденциальность и защита персональных данных
Мера обеспечения ИБ
Конфиденциальность и защита персональных данных должна обеспечиваться в соответствии с требованиями соответствующих законодательных и нормативных актов там, где это применимо.
Руководство по применению
Должна быть разработана и внедрена политика организации в отношении конфиденциальности и защиты персональных данных. Эта политика должна быть доведена до сведения всех лиц, участвующих в обработке персональных данных.
Соблюдение этой политики и всех соответствующих законодательных актов и требований регуляторов, касающихся защиты неприкосновенности частной жизни людей и защиты персональных данных, требует подходящей структуры управления и контроля. Зачастую это лучше всего достигается назначением ответственного лица, такого как работника, ответственного за конфиденциальность, который должен предоставлять указания менеджерам, пользователям и поставщикам услуг относительно их индивидуальных обязанностей и конкретных процедур, которые они должны соблюдать. Ответственность за обработку персональных данных и обеспечение осведомленности о принципах конфиденциальности должна рассматриваться в соответствии с применимым законодательством и требованиями регуляторов. Должны быть приняты подходящие технические и организационные меры для защиты персональных данных.
Дополнительная информация
ИСО/МЭК 29100 [25] предоставляет высокоуровневую основу для защиты персональных данных в информационно-коммуникационных системах. Ряд стран ввели законодательство, устанавливающее контроль над сбором, обработкой и передачей персональных данных (как правило, это информация о живых людях, при помощи которой они идентифицируются). В зависимости от соответствующего национального законодательства, меры обеспечения ИБ могут налагать обязанности на тех, кто собирает, обрабатывает и распространяет персональные данные, а также могут ограничивать возможность их передачи в другие страны.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.