ГОСТ Р 70289—2022
7 Использование структуры
7.1 Режимы использования структуры
Структуру обработки данных можно использовать:
- аналитически, чтобы понять, какие существующие правовые или организационные политики
должны применяться при обработке определенного типа данных;
- для разработки политики обработки данных для определенных типов данных.
Как правило, необходимо использовать оба режима: аналитический режим обеспечивает
условия, терминологию и ограничения для разработки политик обработки данных, которые должны
быть реализованы техническими или организационными средствами.
7.2 Использование структурных элементов
7.2.1 Категории данных
Если категории данных (см. 6.2.2) используются для структурирования определения политик, то
нет необходимости рассматривать все дерево категорий для всех приложений. Анализ или определе
ние политики должны быть сосредоточены на тех категориях, которые для этого полезны:
- следует сосредоточиться только на выбранных категориях: например, для представления по
литики в отношении данных поставщика облачной службы можно игнорировать другие три категории
верхнего уровня и все категории нижних уровней;
- если рассматриваемая политика может быть адекватно представлена в терминах категорий
высшего уровня, категории нижнего уровня можно игнорировать;
- при необходимости допускается добавлять новые категории нижнего уровня к четырем катего
риям верхнего уровня (см. [1]).
7.2.2 Квалификаторы идентификации данных
По мере необходимости в представлении политики можно использовать квалификаторы иденти
фикации данных, описанные в 6.2.3. Например, для информации, позволяющей установить личность, в
зависимости от уровня обезличивания ПДн могут применяться различные политики обработки данных.
7.2.3 Области и действия
В [1] представлена детально проработанная концепция уровней, на которых определенное дей
ствие использует следующие данные:
- область источника: источник рассматриваемых данных;
- область использования: приложения или службы, использующие данные;
- область результата: набор измененных элементов в результате использования данных.
Эти понятия различных областей можно использовать непосредственно в политиках для пред
ставления требований и ограничений для источника данных, приложений или служб, которые исполь
зуют эти данные, и результатов такой обработки данных. Перечень действий, описанный в 6.2.5, не
является исчерпывающим и может быть расширен за счет дополнительных действий.
7.3 Представление политик
Настоящий стандарт не налагает никаких ограничений на способы представления политик. В част
ности, использование квалификаторов (см. 7.2.2), а также областей и действий (см. 7.2.3) не является
обязательным. Эти элементы могут быть полезны для конкретных типов политик.
Самое простое представление политик может представлять собой единственную запись в табли
це (например, «локально», «регионально» или «глобально» для описания политик, выражающих тре
бования локализации для хранения и обработки данных). Но в то же время представление может быть
сложным описанием мер и целей обеспечения безопасности и конфиденциальности, предусмотренных
для определенного типа данных.
Структура спецификации использования данных (см. [1]), предоставляет средства для представ
ления стандартизированным способом политик использования данных. Следовательно, для политик,
которые ограничивают использование данных, или для политик определенной категории данных (с
учетом объема или использования данных, действий по обработке данных и степени обезличивания
данных, как описано в 6.2 и разделе 7), эта структура доступна как инструмент для представления и
распространения политик обработки данных.
11