През 2019 г. Международната организация по стандартизация публикува стандарт за обща система за управление на защитата на данните (DSMS). ISO/IEC 27701 описва DSMS, базирана на система за управление на сигурността на информацията в съответствие с ISO 27001. Тази специална форма на DSMS се нарича система за управление на личната информация (PIMS). Основите на тази PIMS са описани по-долу. В процеса на работа е разработено кои са петте основни предимства, които PIMS предлага на компаниите. В безплатните бели книги са дадени допълнителни насоки за практическото прилагане.
СЪДЪРЖАНИЕ
- Защита на данните и информационна сигурност
- Какво изобщо е система за управление?
- Структурата на високо ниво като проект за системи за управление
- Интегриране на GDPR в системата за управление
- Пет предимства на управлението на защитата на данните
- Защита на данните и информационна сигурност - заключение
- DQS: DQS: Simply leveraging Quality.
Защита на данните и информационна сигурност
Дори в контекста на информационната сигурност защитата на данните не е еднократен проект, който се започва, протича и приключва. Напротив - оперативната защита на данните представлява редица процеси за защита на данните, които трябва да са постоянно налични и изпълними в организациите или да могат да се задействат при необходимост. Важни примери за това са двата процеса за защита на данните "осигуряване на правата на субектите на данни" и "реагиране на инциденти, свързани със защитата на данните".
В света на защитата на данните използването на система за управление на защитата на данните (DSMS) се разглежда като голямото средство за решаване на проблемите на организациите със защитата на данните. Защо това е така? Отговорът е сравнително прост:
Системата за управление на защитата на данните е рамката и движещата сила на оперативната защита на данните, към която организациите трябва постоянно да се придържат.
От 25 май 2018 г. европейският Общ регламент за защита на данните (GDPR) просто предоставя правилата за СУЗД. В него са формулирани строги правни изисквания за това какво е разрешено или забранено (бизнес правила). От него произтичат санкциите на германския основен закон за защита на данните (DS-GVO). В него обаче не се посочва как да се прилагат законовите изисквания за защита на данните.
Защита на данните и информационна сигурност - какво изобщо представлява системата за управление?
Определението за система за управление е абстрактно и не може да бъде операционализирано ad hoc. В стандарта ISO/IEC 27000:2020 системата за управление се определя като система за управление, която представлява ...
"Съвкупност от взаимосвързани и взаимодействащи си елементи на организацията (3.50) за установяване на политики (3.53), цели (3.49) и процеси (3.54) за постигане на тези цели."
Едва когато елементите на системата за управление са дефинирани по-подробно, може да се направи изявление дали строгите правни и оперативни изисквания за защита на данните на ОРЗД са изпълнени с конкретно въведената система за управление. Твърдението, че е въведена система за управление на защитата на данните, не дава никаква представа за качеството на СУЗД или за състоянието на нейното прилагане.
Структурата на високо ниво като проект за системи за управление
Международната организация по стандартизация (ISO) е създала проект за системи за управление, наречен Структура на високо ниво (СВД). Тази основна структура съдържа всички елементи, които ISO счита за подходящи за една система за управление (допълнение 2 към приложение SL на директивите ISO/IEC, част 1). По тази причина основните механизми на стандартите за системи за управление са много сходни.
Поради това специфичната DSMS на ISO, Системата за управление на личната информация(PIMS), има идентична основа като системата за управление на качеството съгласно ISO 9001, системата за управление на околната среда съгласно ISO 14001 или системата за управление на информационната сигурност съгласно ISO 27001.
Защита на данните и информационна сигурност - интегриране на ОРЗД в системата за управление
Системата за управление на сигурността на данните (PIMS) в съответствие с международния стандарт ISO/IEC 27701 е универсална, а не само съобразена с европейския Общ регламент за защита на данните. Стандартът описва система за управление на защитата на данните, базирана на система за управление на информационната сигурност в съответствие с ISO 27001, което прави ISO 27701 подходящ за прилагане на всякаква оперативна защита на личните данни, включително калифорнийското или японското законодателство за защита на данните.
ISO/IEC 27701:2021-07- Техники за сигурност - Разширение на ISO/IEC 27001 и ISO/IEC 27002 за управление на информацията за неприкосновеност на личния живот - Изисквания и насоки (ISO/IEC 27701:2019).Стандартът е достъпен от Уебсайт на ISO.
НО: Тези, които са разработили и внедрили система за управление на личните данни в съответствие със стандарта за защита на данните - с други думи, тези, които систематично защитават и управляват личните си данни - лесно осигуряват и доказват съответствие със законовите изисквания за защита на данните. Това става чрез механизма на системата за управление за управление на изискванията. Управлението на изискванията е процес на идентифициране и оценка на вътрешните и външните изисквания и прилагане на мерки за справяне с рисковете.
Каква е разликата между защитата на данните и информационната сигурност?
Фундаменталната разлика между двете теми е проста: сигурността на информацията обхваща всички корпоративни активи, които трябва да бъдат съхранявани, и служи за защита на поверителната бизнес информация от злоупотреба от страна на трети лица. Това включва много повече от просто ИТ системи. Когато става въпрос за защита на данните, мерките са насочени към защита на личните данни. От май 2018 г. Общият регламент за защита на данните на ЕС трябва да се прилага задължително в цяла Европа - от всички дружества и публични органи, които обработват лични данни.
Пет предимства на управлението на защитата на данните
Във взаимодействието между информационната сигурност и защитата на данните един стандарт винаги трябва да се разбира като най-добра практика. Конкретното прилагане на изискванията и мерките за сигурност на данните трябва да се извърши от потребителя.
Общото предимство на СУЗД е световната стандартизация чрез стандарта за защита на данните и обширната литература за прилагането на стандарта. Трябва да се признае, че езикът на стандартите "изисква известно време за свикване".
Предимство № 1: Разпределение на отговорностите
Почти изглежда, че корпоративната култура сред малките и средните предприятия (МСП) е отговорностите да се разпределят неясно или изобщо да не се разпределят. Може да се забележи, че в много корпоративни политики отговорностите за определени дейности или активи не са ясно дефинирани и разгледани. Това е сериозен недостатък и води до пропуски и грешки в дейността.
НО: Защитата на данните е "отборен спорт". Само ако всички задачи са идентифицирани и възложени на отговорните лица и само ако тези лица също изпълняват задачите си, вашата компания може да работи по начин, съответстващ на изискванията за защита на данните.
Защитата на данните е "екипен спорт": Разпределянето на отговорността е добро. Поемането на отговорност е по-добро."
С въвеждането на PIMS в организацията трябва да се въведе принципът на собственост за обхвата на стандарта. Терминът "собственик" обаче не трябва да се разбира тук в смисъла му на гражданско право. По-скоро в немския език на стандарта собственикът се отнася до отговорността на дадено лице за даден актив или за изпълнението на дадено изискване или мярка.
Например: Поддържането на "Указател на дейностите по обработване (VVT)" често се делегира на длъжностното лице по защита на данните (ДЛЗД). Разбира се, това е пълна глупост и не може да работи, тъй като ДЛЗД често изобщо не участва в много дейности по обработване. При управлението на качеството собствениците на процеси извършват документирането на процесите. Висшето ръководство трябва да делегира това съответно и в областта на защитата на данните.
Сертификат съгласно ISO 27701
По отношение на сертифицирането ISO 27701 допълва добре познатия стандарт ISO 27001 - това ще бъде първият стандарт, който ще потвърждава защитата на данните чрез сертификат. Понастоящем DQS е в процес на акредитация от германския орган за акредитация (DAkkS).
Предимство № 2: Оперативната защита на данните е ориентирана към риска
В германския DS-GVO европейският законодател изисква ориентирано към риска прилагане на сигурността на данните, например в член 32, параграф 1 от DS-GVO. Тази ориентация към риска често не работи в компании, в които официално не е инсталирана система за управление. Прилагането на стандарта за защита на данните ISO 27701 неизбежно въвежда ориентация към риска. Тук методът за оценка на риска за сигурността на данните не е предписан и може - в определени граници - да бъде определен от потребителя.
Предимство № 3: Управлението на промените като компонент на успеха
Процесите за сигурност на данните могат да бъдат задействани от промяна в организацията. Например внедряване или адаптиране на бизнес процес, услуга или продукт. Компаниите без управление на промените имат големи проблеми със спазването на изискванията за защита на данните, тъй като промените редовно се обработват по случаен и неконтролиран начин. Това води до т.нар. регулаторна празнина.
"Компаниите и организациите се променят непрекъснато. Управлението на промените също играе важна роля в защитата на данните и информационната сигурност."
PIMS регистрира и контролира тези промени с помощта на управлението на промените и ги прилага. Например промяна в бизнес процес изисква проверка за допустимост (законосъобразност, икономичност на данните, права на субекта на данни, документиране във VVT и т.н.).
Например: Изискването за ранно включване на длъжностното лице по защита на данните в разработването на промените може да бъде постигнато съвсем просто чрез назначаването му в екипа по промените.
Предимство № 4: Оптимизация чрез процес на непрекъснато усъвършенстване
Дружествата се променят непрекъснато. Една система за управление на лични данни първоначално се планира, внедрява и експлоатира. Много е вероятно първият опит за въвеждане, прилагане и експлоатация на системата да не е оптимален поради липса на опит. Дори ако по време на внедряването се проведе консултация с опитен консултант, може да се очакват спънки.
"Предпоставка: Направете информационната сигурност и защитата на данните систематични и устойчиви."
Макар че всички ПИПСМР по принцип имат идентични механизми, те са проектирани по различен начин. Влияние върху прилагането на механизмите могат да окажат размерът на организацията, организационната култура или дори отрасловата насоченост.
Добър подмеханизъм за постоянно адаптиране на PIMS към променящите се нужди на организацията и заинтересованите страни е процесът на непрекъснато усъвършенстване (CIP).
Например: Общият регламент относно защитата на данните изисква информационен лист, който да информира клиентите или например гражданите в момента на събиране на данни за естеството и обхвата на обработката на лични данни и свързаните с това права. Тези информационни листове съгласно членове 13 и 14 от DS-GVO се публикуват в съответствие със закона, но въпреки това има много искания за тази информация от субектите на данни. С включването на тези предложения за подобрение дружеството признава, че може да спести ресурси и да увеличи удовлетвореността на клиентите, като оптимизира публикуването на информацията.
Предимство № 5: Подробен каталог на мерките
Както беше описано по-рано, ISO 27701 не е адаптиран към GDPR. Потребителят на стандарта е отговорен за добавянето на специфичните изисквания на GDPR към PIMS.
Въпреки това международният стандарт въвежда три подробни каталога от мерки за общо прилагане на оперативна защита на данните:
- Технически и организационни мерки,
- Организация на защитата на данните при администратора и
- Организация за защита на данните при обработващия лични данни.
Добрата новина за европейския потребител е, че авторите на новия стандарт са се фокусирали силно върху Общия регламент за защита на данните при разработването на каталозите от мерки. Това означава, че прилагането на общите каталози от мерки вече отразява много от изискванията на Общия регламент относно защитата на данните. След това липсващите изисквания се проследяват чрез управление на изискванията.
Мерките представляват най-добри практики за прилагане и са написани в стила на наръчник. За разлика от GDPR (бизнес правила), мерките обясняват на потребителя на стандарта как трябва да се осъществи прилагането. От гледна точка на автора това е много голямо предимство.
Заключение: Защита на данните и информационна сигурност
Всеки, който е разработил и внедрил система за управление на защитата на данните (СУЗД) в съответствие с ISO 27701 - с други думи, всеки, който систематично защитава и управлява личните си данни - лесно ще осигури и докаже спазването на законовите изисквания. Правилно прилаганият стандарт може да предотврати много грешки при въвеждането и функционирането на DSMS.
"С оглед на защитата на данните и информационната сигурност, ISO 27701 е дългоочакваният наръчник за прилагане на GDPR."
Въпреки това сертифицирането на ИСУН ще бъде възможно само ако има сертифицирана система за управление на информационната сигурност съгласно ISO 27001 ЗЗКИ, която също се управлява от дружеството.
DQS: Просто използване на качеството.
Стандартите за системи за управление осигуряват систематична и структурирана рамка за отчитане на законовите задължения и интегрирането им в бизнес процесите. Фирмите, които искат да играят на сигурно, могат да възложат на независим орган като DQS да одитира състоянието на тяхната информационна сигурност или внедряване в съответствие с DS-GVO.
Основните ни компетенции са свързани с извършването на сертификационни одити и оценки. Това ни превръща в един от водещите доставчици в световен мащаб с претенцията винаги да поставяме нови критерии за надеждност, качество и ориентация към клиента. В същото време сертифицираната система за управление на информационната сигурност и защитата на данните е доказателство за старанието и предвидливостта на вашата компания в случай на външни атаки срещу данни.
Доверие и опит
Нашите текстове и брошури са написани изключително от нашите експерти по стандартите или дългогодишни одитори. Ако имате въпроси относно съдържанието или услугите на нашия автор, моля, свържете се с нас. Ще се радваме да разговаряме с вас.
DQS Бюлетин
Stephan Rehfeld
Управляващ директор на "scope & focus Service-Gesellschaft mbH". Външен служител по защита на данните и дългогодишен одитор по защита на данните на DQS. Пълноправен член с право на глас на работната група "Технологии за управление на идентичността и защита на данните" на германския DIN, заместник-ръководител на кръга за обмяна на опит на Германската асоциация за защита и сигурност на данните (GDD) в Хановер.