RuNormy.RU
Untitled Page
RuNormy.RU
Untitled Page
"ГОСТ Р 53647.6-2012. Национальный стандарт Российской Федерации. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных"
Скачать текст бесплатно в формате MS Word
Поделитесь данным материалом с друзьями:

Скачать
Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 29 ноября 2012 г. N 1421-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

ТРЕБОВАНИЯ К СИСТЕМЕ МЕНЕДЖМЕНТА ПЕРСОНАЛЬНОЙ
ИНФОРМАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ДАННЫХ

Business continuity management.
Specification for a personal information
management system for data protection

ГОСТ Р 53647.6-2012

ОКС 03.100.01

Дата введения
1 декабря 2013 года

Предисловие

1. Подготовлен Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4.
2. Внесен Техническим комитетом по стандартизации ТК 10 "Менеджмент риска".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1421-ст.
4. Настоящий стандарт соответствует основным положениям национального стандарта Великобритании BS 10012:2009 "Защита данных. Требования к системе менеджмента персональной информации" (BS 10012:2009 "Data protection - Specification for a personal information management system").
Наименование настоящего стандарта изменено относительно наименования указанного национального стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
5. Введен впервые.

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).

Введение

0.1. Система менеджмента персональной информации
Применение настоящего стандарта может позволить организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.
Основным законом в этой сфере является Федеральный закон о защите персональных данных N 152 от 27.07.2006 [1]. Он реализует положения Конституции РФ и Европейской директивы 95/46/ЕС от 24 октября 1995 года [2] и применяется к "персональным данным", которые определены как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), такая как его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
В настоящем стандарте термин "персональная информация" используется в качестве синонима термину "персональные данные". В качестве синонимов термина "менеджмент персональной информации" часто используют термины "менеджмент персональных данных", "управление персональной информацией", "управление персональными данными". Выбор терминов зависит от потребностей организации и требований ее причастных сторон.
Закон о защите персональных данных регулируется и приводится в исполнение уполномоченным органом по защите прав субъектов персональных данных (далее уполномоченный орган), ответственным за содействие защите персональной информации. Уполномоченный орган распространяет передовой мировой опыт путем опубликования руководств, правил по правомерным претензиям, предоставляет необходимую информацию физическим лицам и организациям, а также принимает соответствующие меры в случае нарушения закона.
Уполномоченный орган обладает полномочиями по расследованию претензий, проведению оценки соответствия обработки информации требованиям [1], выпуску информационных сообщений и уведомлений о принудительном исполнении требований законодательства.
0.2. Принципы защиты персональной информации
В соответствии с мировой практикой операторы, работающие с персональными данными, должны соблюдать восемь принципов защиты персональной информации, согласно которым персональная информация должна:
1-ый принцип - быть обработана квалифицированно и с учетом законодательных и обязательных требований;
2-ой принцип - быть собрана только для определенных целей и обработана только в соответствии с этими целями;
3-ий принцип - быть адекватной, соответствующей целям и не избыточной;
4-ый принцип - быть достоверной и актуальной;
5-ый принцип - не должна храниться больше установленного срока;
6-ой принцип - быть обработана с соблюдением законных прав физических лиц, включая право на получение доступа к личной информации;
7-ой принцип - быть защищена;
8-ой принцип - не должна передаваться в страны, находящиеся за пределами РФ, без обеспечения надлежащей защиты.
Из данных принципов защиты данных могут быть сделаны исключения. Большая часть таких исключений составляет следующие категории:
- исключения из принципа неразглашения;
- исключения из положений о предоставлении информации субъекту персональных данных;
- исключения, относящиеся к обработке информации в исторических и (или) исследовательских целях;
- прочие исключения, например конфиденциальные ссылки и экзаменационные работы.
Дополнительная информация приведена в [1], инструкциях уполномоченного органа и в прочих руководствах и рекомендациях.
0.3. Уведомление
С целью обеспечения открытости в соответствии с [1] организация должна уведомлять уполномоченный орган об обработке персональной информации, за исключением случаев применения исключений в отношении уведомлений.

1. Область применения

Настоящий стандарт устанавливает требования к системе менеджмента персональной информации (СМПИ), направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.
Примечание. Ко всем процессам СМПИ применяется цикл PDCA (планирование-осуществление-проверка-действие) (см. Приложение А).

Настоящий стандарт применим к организациям разных размеров и форм собственности и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов СМПИ организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту.

2. Термины, определения и обозначения

2.1. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями.
2.1.1. Аудит (audit): систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.
[ГОСТ Р ИСО 9000-2008]
Примечание. Внутренние аудиты, иногда называемые аудиты первой стороной, проводятся обычно самой организацией или от ее имени для внутренних целей и могут служить основанием для декларации о соответствии.

2.1.2. Физическое лицо (individual): лицо, являющееся субъектом персональных данных.
2.1.3. Система менеджмента (management system): система для разработки политики и целей и достижения этих целей.
[ГОСТ Р ИСО 9000-2008]
2.1.4. Несоответствие (nonconformity): невыполнение требования.
[ГОСТ Р ИСО 9000-2008, ГОСТ Р ИСО 14001-2007]
2.1.5. Организация (organization): группа работников и необходимых средств с указанием распределения ответственности, полномочий и взаимоотношений.
Примеры - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие торговли, ассоциация, а также их подразделения или комбинации из них.
2.1.6. Персональная информация (personal information): информация, относящаяся к определенному физическому лицу, по которой его можно идентифицировать.
2.1.7. Политика менеджмента персональной информации (personal information management policy): официально оформленное и утвержденное высшим руководством заявление об общих намерениях и направлении развития организации в области защиты персональной информации, в том числе соответствии законодательным и обязательным требованиям и передовому опыту.
2.1.8. Система менеджмента персональной информации, СМПИ (personal information management system, PIMS): часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации.
2.1.9. Процедура (procedure): установленный способ осуществления деятельности или процесса, которые могут быть документированными и недокументированными.
2.1.10. Процесс (process): набор действий, направленных на достижение результата.
2.1.11. Обработка (processing): получение, запись, хранение и иные виды операций с персональной информацией.
Примечание. В понятие "обработка" входит сбор, организация, адаптация, изменение, раскрытие, обмен, распространение, согласование, объединение, блокирование, удаление и уничтожение персональной информации.

2.1.12. Персональная информация особой ответственности (sensitive personal information): персональная информация о:
a) национальности или отношении к этнической группе;
b) политических взглядах;
c) вероисповедании;
d) членстве в профсоюзе;
e) физическом или психическом здоровье или состоянии;
f) сексуальной ориентации;
g) правонарушениях, включая судебные разбирательства, прекращение судебного разбирательства, приговоры суда, вынесенные в ходе судебного разбирательства за правонарушение, совершенных или предполагаемых.
2.1.13. Система (system): совокупность взаимосвязанных и взаимодействующих элементов.
[ГОСТ Р ИСО 9000-2008]
2.1.14. Работники (workers): люди, работающие в организации и на нее.
Примечание. К работникам, работающим на организацию, могут быть отнесены постоянный и временный персонал организации, подрядчики, добровольцы и
Для просмотра документа целиком скачайте его >>>
Нормы из информационного банка "Строительство":
Пожарные нормы:
ГОСТы:
Счетчики:
Политика конфиденциальности
Copyright 2020 - 2022 гг. RuNormy.RU. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!