Международная организация по стандартизации опубликовала стандарт для общей системы управления защитой данных (DSMS) в 2019 году. ISO/IEC 27701 описывает DSMS, основанную на системе управления информационной безопасностью в соответствии с ISO 27001. Эта особая форма DSMS называется системой управления персональной информацией (PIMS). Основы этой PIMS описаны ниже. В процессе работы выясняется, какие пять основных преимуществ предоставляет компаниям система PIMS. В бесплатных белых книгах содержатся дальнейшие рекомендации по практическому внедрению.
СОДЕРЖАНИЕ
Защита данных и информационная безопасность
Даже в контексте информационной безопасности защита данных не является одноразовым проектом, который запускается, выполняется и завершается. Все обстоит как раз наоборот. Оперативная защита данных - это ряд процессов защиты данных, которые должны быть постоянно доступны и реализуемы в организациях или запускаться по сигналу. Важными примерами этого являются два процесса защиты данных "обеспечение прав субъектов данных" и "реагирование на инциденты в области защиты данных".
В мире защиты данных использование системы управления защитой данных (DSMS) рассматривается как большая вещь для решения проблем защиты данных в организациях. Почему это так? Ответ относительно прост:
Система управления защитой данных - это основа и движущая сила оперативной защиты данных, которой организации должны постоянно придерживаться.
С 25 мая 2018 года европейский Общий регламент по защите данных (GDPR) просто задает правила для СУЗД. В нем сформулированы строгие юридические требования относительно того, что разрешено или запрещено (бизнес-правила). Из него вытекают немецкие штрафы DS-GVO (Основной закон Германии о защите данных). Однако в нем нет никаких указаний о том , как реализовать законодательные требования по защите данных.
Защита данных и информационная безопасность - что такое система управления?
Определение системы управления является абстрактным и не может быть операционализировано ad hoc. Стандарт ISO/IEC 27000:2020 определяет систему менеджмента как ...
"Набор взаимосвязанных и взаимодействующих элементов организации (3.50) для установления политики (3.53), целей (3.49) и процессов (3.54) для достижения этих целей".
Только после более детального определения элементов системы управления можно сделать заявление о том, удовлетворяются ли строгие юридические и операционные требования GDPR по защите данных при наличии конкретной системы управления. Заявление о том, что система управления защитой данных функционирует, не дает никакого представления о качестве СУЗД или о статусе ее внедрения.
Структура высокого уровня как образец для систем менеджмента
Международная организация по стандартизации (ISO) разработала план систем менеджмента, который называется "Структура высокого уровня" (HLS). Эта базовая структура содержит все элементы, которые ISO считает важными для системы менеджмента (Приложение 2 к Приложению SL Директивы ISO/IEC, Часть 1). По этой причине основные механизмы стандартов на системы менеджмента очень похожи.
Поэтому конкретная СУИБ ISO, система управления персональной информацией(PIMS), имеет ту же основу, что и система менеджмента качества по ISO 9001, система экологического менеджмента по ISO 14001 или система менеджмента информационной безопасности по ISO 27001.
Защита данных и информационная безопасность - интеграция GDPR в систему менеджмента
PIMS в соответствии с международным стандартом ISO/IEC 27701 является универсальной, а не только адаптированной к европейскому Общему регламенту о защите данных. Стандарт описывает систему управления защитой данных, основанную на системе управления информационной безопасностью в соответствии с ISO 27001, что делает ISO 27701 пригодным для внедрения любой оперативной защиты персональных данных, включая калифорнийское или японское законодательство о защите данных.
ISO/IEC 27701:2021-07- Методы обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 для управления информацией о конфиденциальности - Требования и руководящие принципы (ISO/IEC 27701:2019).Стандарт доступен на сайте Веб-сайт ISO.
НО: Те, кто разработал и внедрил PIMS в соответствии со стандартом защиты данных - другими словами, те, кто систематически защищает и управляет персональными данными - легко обеспечивают и демонстрируют соответствие законодательным требованиям по защите данных. Это делается с помощью механизма системы управления требованиями. Управление требованиями - это процесс выявления и оценки внутренних и внешних требований и реализации мер по устранению рисков.
В чем разница между защитой данных и информационной безопасностью?
Принципиальная разница между этими двумя темами проста: информационная безопасность охватывает все корпоративные активы, подлежащие сохранению, и служит для защиты конфиденциальной деловой информации от неправомерного использования третьими лицами. Это касается не только ИТ-систем. Когда речь идет о защите данных, меры направлены на защиту персональных данных. С мая 2018 года Общий регламент ЕС по защите данных должен быть внедрен на обязательной основе по всей Европе - всеми компаниями и государственными органами, которые обрабатывают персональные данные.
.
Пять преимуществ управления защитой данных
В отношениях между информационной безопасностью и защитой данных стандарт всегда следует понимать как лучшую практику. Конкретная реализация требований и мер по обеспечению безопасности данных должна осуществляться пользователем.
Общим преимуществом PIMS является всемирная стандартизация через стандарт защиты данных и обширная литература по внедрению стандарта. Следует признать, что к языку стандартов "нужно привыкнуть".
Преимущество №1: Распределение обязанностей
Похоже, что корпоративная культура малых и средних предприятий (МСП) состоит в том, что обязанности распределяются нечетко или вообще не распределяются. Можно заметить, что во многих корпоративных политиках ответственность за определенные виды деятельности или активы четко не определена и не прописана. Это является серьезным недостатком и приводит к пробелам и ошибкам в работе.
НО: Защита данных - это "командный спорт". Только если все задачи определены и закреплены за ответственными лицами, и только если эти лица выполняют свои задачи, ваша компания может работать в соответствии с требованиями защиты данных.
Защита данных - это "командный спорт": Распределение ответственности - это хорошо. Принятие ответственности - еще лучше".
Внедряя ПИМС, необходимо внедрить принцип собственности в организации для области применения стандарта. Однако термин собственник здесь не следует понимать в его гражданско-правовом значении. Напротив, в немецком языке стандарта под владельцем понимается ответственность лица за актив или выполнение требования или меры.
Например: Ведение "Справочника видов деятельности по обработке (VVT)" часто делегируется сотруднику по защите данных (DPO). Конечно, это полная чушь и не может работать, потому что DPO часто вообще не участвует во многих видах деятельности по обработке данных. В управлении качеством владельцы процессов выполняют документирование процессов. Высшее руководство должно делегировать эту функцию и в области защиты данных.
Сертификат в соответствии с ISO 27701
С точки зрения сертификации ISO 27701 дополняет известный стандарт ISO 27001 - это будет первый стандарт, подтверждающий защиту данных сертификатом. В настоящее время DQS находится в процессе аккредитации в немецком органе по аккредитации (DAkkS).
Преимущество №2: Защита оперативных данных ориентирована на риск
В немецком DS-GVO европейский законодатель требует, например, в статье 32 (1) DS-GVO, чтобы защита данных была ориентирована на риск. Такая ориентация на риск часто не работает в компаниях, где официально не установлена система управления. Применение стандарта защиты данных ISO 27701 неизбежно вводит ориентацию на риск. Здесь метод оценки рисков безопасности данных не предписан и может - в пределах допустимого - определяться пользователем.
Преимущество № 3: Управление изменениями как компонент успеха
Процессы обеспечения безопасности данных могут быть вызваны изменениями в организации. Например, внедрение или адаптация бизнес-процесса, услуги или продукта. Компании без управления изменениями испытывают большие проблемы с соблюдением требований по защите данных, поскольку изменения регулярно происходят случайным и неконтролируемым образом. Это приводит к так называемому пробелу в нормативно-правовом регулировании.
"Компании и организации постоянно меняются. Управление изменениями также играет важную роль в защите данных и информационной безопасности".
PIMS регистрирует и контролирует эти изменения с помощью управления изменениями и внедряет их. Например, изменение бизнес-процесса требует проверки на допустимость (законность, экономия данных, права субъектов данных, документация в VVT и т.д.).
Например: Требование о заблаговременном вовлечении ответственного за защиту данных в разработку изменений может быть достигнуто довольно простым назначением его в команду по изменениям.
Преимущество № 4: Оптимизация посредством непрерывного процесса совершенствования
Компании постоянно меняются. Система управления персональной информацией изначально планируется, внедряется и эксплуатируется. Вполне вероятно, что первая попытка внедрения, реализации и эксплуатации системы будет неоптимальной из-за отсутствия опыта. Даже если во время внедрения системы прибегнуть к помощи опытного консультанта, можно ожидать возникновения проблем.
"Предпосылка: сделать информационную безопасность и защиту данных систематической и устойчивой".
Хотя все ПИМС в принципе имеют одинаковые механизмы, они разработаны по-разному. На внедрение механизмов может влиять размер организации, организационная культура или даже отраслевая направленность.
Хорошим подмеханизмом для постоянной адаптации ПИМС к изменяющимся потребностям организации и заинтересованных сторон является процесс постоянного совершенствования (CIP).
Например: Общий регламент по защите данных требует наличия информационного листа, информирующего клиентов или, например, граждан в момент сбора данных о характере и объеме обработки персональных данных и связанных с этим правах. Эти информационные листы в соответствии со статьями 13 и 14 DS-GVO публикуются в соответствии с законом, однако от субъектов данных поступает много запросов на эту информацию. Включая эти предложения по улучшению, компания признает, что она может сэкономить ресурсы и повысить удовлетворенность клиентов, оптимизировав публикацию этой информации.
Преимущество №5: Подробный каталог мер
Как было описано ранее, стандарт ISO 27701 не адаптирован к GDPR. Пользователь стандарта несет ответственность за добавление специфических требований GDPR в PIMS.
Однако международный стандарт предлагает три обширных каталога мер для общей реализации оперативной защиты данных:
- Технические и организационные меры,
- Организация защиты данных у контроллера и
- Организация защиты данных в процессоре.
Хорошей новостью для европейского пользователя является то, что авторы нового стандарта при разработке каталогов мер уделили большое внимание Общему регламенту по защите данных. Это означает, что применение общих каталогов мер уже отображает многие требования GDPR. Недостающие требования затем отслеживаются с помощью управления требованиями.
Меры представляют собой лучшие практики реализации и написаны в стиле руководства. В отличие от GDPR (бизнес-правил), меры объясняют пользователю стандарта, как должно происходить внедрение. С точки зрения автора, это очень большое преимущество.
Заключение: Защита данных и информационная безопасность
Каждый, кто разработал и внедрил систему управления защитой данных (СУЗД) в соответствии с ISO 27701 - другими словами, каждый, кто систематически защищает и управляет своими персональными данными, - сможет легко обеспечить и доказать соответствие требованиям законодательства. Правильное применение стандарта позволяет избежать многих ошибок при внедрении и эксплуатации СУЗД.
"С учетом защиты данных и информационной безопасности ISO 27701 является долгожданным руководством по внедрению GDPR".
Однако сертификация ПИМС будет возможна только в том случае, если сертифицированная система управления информационной безопасностью в соответствии с ISO 27001 также функционирует в компании.
DQS: Простое использование качества.
Стандарты систем менеджмента обеспечивают систематизированную и структурированную основу для учета правовых обязательств и их интеграции в бизнес-процессы. Компании, желающие перестраховаться, могут провести аудит состояния своей системы информационной безопасности или внедрения стандарта DS-GVO независимым органом, таким как DQS.
Наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих мировых поставщиков услуг, претендующих на то, чтобы постоянно устанавливать новые стандарты надежности, качества и ориентации на клиента. В то же время сертифицированная система управления информационной безопасностью и защитой данных является доказательством внимательности и предусмотрительности вашей компании в случае внешних атак на данные.
Доверие и компетентность
Наши тексты и брошюры написаны исключительно нашими экспертами по стандартам или аудиторами с большим стажем работы. Если у вас возникли вопросы по содержанию или нашим услугам к автору, пожалуйста, свяжитесь с нами. Мы будем рады пообщаться с вами.
Рассылка DQS
Stephan Rehfeld
Managing Director of "scope & focus Service-Gesellschaft mbH". External data protection officer and long-standing DQS data protection auditor. Full voting member of the "Identity Management and Data Protection Technologies" working group of the German DIN, deputy head of the German Association for Data Protection and Data Security's (GDD) Experience Exchange Circle in Hannover.