.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Zaštita podataka i bezbednost informacija - sa ISO 27001 i ISO 27701

Stean Rihfeld

DQS auditor i ekspert u oblasti zaštite podataka
јан 25 , 2022
# Bezbednost informacija i zaštita podataka

Međunarodna organizacija za standardizaciju objavila je standard za opšti sistem menadžmenta zaštitom podataka (DSMS) u 2019. ISO/IEC 27701 opisuje DSMS zasnovan na sistemu menadžmenta bezbednošću informacija u skladu sa ISO 27001. Ovaj poseban oblik DSMS-a naziva se sistem za upravljanje ličnim informacijama (PIMS). Osnove za ovaj PIMS su opisane u nastavku. U tom procesu razrađeno je pet glavnih prednosti PIMS za kompanije. Besplatni dokumenti daju dodatne smernice o praktičnoj implementaciji.

SADRŽAJ

Zaštita podataka i bezbednost informacija

Čak i u kontekstu bezbednosti informacija, zaštita podataka nije jednokratni projekat koji se pokreće, sprovodi i završava. Upravo suprotno je slučaj. Operativna zaštita podataka je niz procesa zaštite podataka koji moraju biti trajno dostupni i implementirani u organizacijama, ili mogu biti pokrenuti incidentom. Važni primeri za to su dva procesa zaštite podataka „osigurati prava subjekta podataka“ i „reagovati na incidente zaštite podataka“.

U svetu zaštite podataka, upotreba sistema za upravljanje zaštitom podataka (DSMS) se vidi kao velika stvar za rešavanje problema zaštite podataka organizacija. Zašto je to tako? Odgovor je relativno jednostavan:

Sistem upravljanja zaštitom podataka je okvir i pokretač operativne zaštite podataka kojeg organizacije moraju trajno da se pridržavaju.

Stephan Rehfeld GDPR expert and auditor at DQS

Od 25. maja 2018. Evropska opšta uredba o zaštiti podataka (GDPR) jednostavno je obezbedila pravila za DSMS. Formuliše stroge zakonske zahteve u pogledu toga šta je dozvoljeno ili zabranjeno (Poslovna pravila). Nemačke kazne DS-GVO (Nemački osnovni zakon o zaštiti podataka) proizilaze iz ovoga. Međutim, ne daje nikakvu izjavu o tome kako primeniti zakonske zahteve zaštite podataka.

 

Zaštita podataka i bezbednost informacija – šta je uopšte sistem upravljanja?

Definicija sistema upravljanja je apstraktna i ne može se ad hoc operacionalizovati. Standard ISO/IEC 27000:2020 definiše sistem upravljanja kao ...

„Skup međusobno delujućih i međusobno povezanih elemenata organizacije (3.50) za uspostavljanje politika (3.53), ciljeva (3.49) i procesa (3.54) za postizanje tih ciljeva.“

Tek kada su elementi sistema upravljanja detaljnije definisani, može se dati izjava o tome da li su strogi pravni i operativni zahtevi zaštite podataka iz GDPR-a ispunjeni sa sistemom upravljanja koji je posebno uspostavljen. Izjava da sistem upravljanja zaštitom podataka funkcioniše ne daje nikakve indikacije o kvalitetu DSMS-a ili statusu implementacije.

ISO 27701 – Upravljanje zaštitom podataka

Zaštita podataka u kontekstu informacione bezbednosti – uzbudljiva tema? Više stručnog znanja o standardu ISO 27701 u našoj besplatnoj Beloj strani.

Preuzmite Bele strane ISO 27701 i saznajte više!

Struktura visokog nivoa kao nacrt za sisteme upravljanja

Međunarodna organizacija za standardizaciju (ISO) kreirala je nacrt za sisteme upravljanja pod nazivom Struktura visokog nivoa (HLS). Ova osnovna struktura sadrži sve elemente koje ISO smatra relevantnim za sistem upravljanja (Dodatak 2 Aneksu SL ISO/IEC direktiva, Deo 1). Zbog toga su osnovni mehanizmi standarda sistema upravljanja veoma slični.

Specifični DSMS ISO, Sistem upravljanja ličnim informacijama (PIMS), stoga ima identičnu osnovu kao sistem upravljanja kvalitetom prema ISO 9001, sistem upravljanja životnom sredinom prema ISO 14001 ili sistem upravljanja bezbednošću informacija prema ISO 27001.

 

Zaštita podataka i bezbednost informacija - integrisanje GDPR-a u sistem upravljanja

PIMS u skladu sa međunarodnim standardom ISO/IEC 27701 je univerzalan, a ne samo prilagođen Evropskoj opštoj uredbi o zaštiti podataka. Standard opisuje sistem upravljanja zaštitom podataka zasnovan na sistemu upravljanja bezbednošću informacija u skladu sa ISO 27001, čineći ISO 27701 pogodnim za primenu bilo koje operativne zaštite ličnih podataka, uključujući kalifornijski ili japanski zakon o zaštiti podataka.

ISO/IEC 27701:2021-07- Tehnike bezbednosti – Proširenje na ISO/IEC 27001 i ISO/IEC 27002 za upravljanje informacijama o privatnosti – Zahtevi i smernice (ISO/IEC 27701:2019).
Standard je dostupan na ISO veb lokaciji.

ALI: Onima koji su razvili i implementirali PIMS u skladu sa standardom zaštite podataka – drugim rečima, onima koji sistematski štite i upravljaju svojim ličnim podacima – lako je da obezbede i pokažu usklađenost sa zakonskim zahtevima za zaštitu podataka. Ovo se radi kroz sistem upravljanja mehanizmom upravljanja zahtevima. Upravljanje zahtevima je proces identifikovanja i procene internih i eksternih zahteva i implementacije mera za adresiranje rizika.

 

Koja je razlika između zaštite podataka i bezbednosti informacija?

Osnovna razlika između ove dve teme je jednostavna: informaciona bezbednost obuhvata svu korporativnu imovinu koja treba da se sačuva i služi za zaštitu poverljivih poslovnih informacija od zloupotrebe od strane trećih lica. Ovo uključuje mnogo više od samo IT sistema. Kada je u pitanju zaštita podataka, mere su usmerene na zaštitu podataka o ličnosti. Od maja 2018. godine Opšta uredba EU o zaštiti podataka morala je da se primenjuje na obavezujućoj osnovi širom Evrope – od strane svih kompanija i javnih tela koja obrađuju lične podatke.

Pet prednosti upravljanja zaštitom podataka

U interakciji između bezbednosti informacija i zaštite podataka, standard uvek treba shvatiti kao najbolju praksu. Konkretnu implementaciju zahteva i mera za bezbednost podataka mora da sprovede korisnici.

Opšta prednost PIMS-a je svetska standardizacija kroz standard zaštite podataka i obimnu literaturu o primeni standarda. Doduše, na jezik standarda „treba se naviknuti“.

 

Prednost #1: Dodela odgovornosti

Skoro da se čini da je korporativna kultura među malim i srednjim preduzećima (MSP) da nejasno ili uopšte ne raspodeljuju odgovornosti. Može se primetiti da u mnogim korporativnim politikama odgovornost za određene aktivnosti ili sredstva nije jasno definisana i adresirana. Ovo je veliki nedostatak i dovodi do praznina i grešaka u radu.

ALI: Zaštita podataka je „timski sport“. Samo ako su svi zadaci identifikovani i dodeljeni odgovornim stranama, i samo ako i ti pojedinci ispunjavaju svoje zadatke, vaša kompanija može da radi na način koji je usklađen sa zaštitom podataka.

Zaštita podataka je „timski sport“: Podela odgovornosti je dobra. Bolje je preuzeti odgovornost."

Uvođenjem PIMS-a, princip vlasništva mora biti uveden u organizaciju za obim standarda. Međutim, pojam vlasnika ovde ne treba razumeti u njegovom građanskopravnom značenju. Umesto toga, na nemačkom jeziku standarda, vlasnik se odnosi na odgovornost osobe za imovinu ili sprovođenje zahteva ili mere.

Na primer: Održavanje „Imenika aktivnosti obrade (VVT)“ se često delegira službeniku za zaštitu podataka (DPO). Naravno, ovo je potpuna glupost i ne može da funkcioniše jer DPO često uopšte nije uključen u mnoge aktivnosti obrade. U upravljanju kvalitetom, vlasnici procesa vrše procesnu dokumentaciju. Najviše rukovodstvo bi trebalo da to delegira u skladu sa tim iu zaštiti podataka.

Sertifikat prema ISO 27701

Što se tiče sertifikacije, ISO 27701 dopunjava poznati standard ISO 27001 – biće to prvi standard koji potvrđuje zaštitu podataka sertifikatom. DQS je trenutno u procesu akreditacije kod nemačkog tela za akreditaciju (DAkkS).

Pištite nam i saznajte više

Prednost #2: Operativna zaštita podataka je orijentisana na rizik

U nemačkom DS-GVO, evropski zakonodavac zahteva implementaciju bezbednosti podataka orijentisanu na rizik, na primer u članu 32 (1) DS-GVO. Ova orijentacija na rizik često ne funkcioniše u kompanijama u kojima nije zvanično instaliran sistem upravljanja. Primena standarda za zaštitu podataka ISO 27701 neizbežno uvodi orijentaciju na rizik. Ovde način procene rizika bezbednosti podataka nije propisan i može ga – u granicama – odrediti korisnik.

 

Prednost #3: Upravljanje promenama kao komponenta uspeha

Procesi bezbednosti podataka mogu biti pokrenuti promenom u organizaciji. Na primer, implementacija ili prilagođavanje poslovnog procesa, usluge ili proizvoda. Kompanije bez upravljanja promenama imaju velike probleme da se pridržavaju zahteva za zaštitu podataka, jer se promene redovno obrađuju na nasumičan i nekontrolisan način. Ovo dovodi do takozvanog regulatornog jaza.

„Kompanije i organizacije se stalno menjaju. Upravljanje promenama takođe igra važnu ulogu u zaštiti podataka i bezbednosti informacija.“

PIMS beleži i kontroliše ove promene uz pomoć upravljanja promenama i sprovodi ih. Na primer, promena poslovnog procesa zahteva proveru dozvoljenosti (zakonitost, ekonomičnost podataka, prava nosioca podataka, dokumentacija u VVT, itd.).

Na primer: Zahtev za ranim uključivanjem službenika za zaštitu podataka u dizajniranje izmena može se postići jednostavno tako što će se on postaviti u tim za promene.

 

Prednost #4: Optimizacija kroz kontinuirani proces poboljšanja

Kompanije se stalno menjaju. Sistem za upravljanje ličnim informacijama se u početku planira, implementira i upravlja. Vrlo je verovatno da će prvi pokušaj uvođenja, implementacije i rada sistema biti neoptimalan zbog nedostatka iskustva. Čak i ako se tokom implementacije konsultuje iskusan konsultant, za očekivati je kamen spoticanja.

„Premisa: Učinite bezbednost informacija i zaštitu podataka sistematičnom i održivom.“

Iako svi PIMS imaju u principu identične mehanizme, oni su drugačije dizajnirani. Uticaj na implementaciju mehanizama može biti veličina organizacije, organizaciona kultura ili čak fokus industrije.

Dobar podmehanizam za trajno prilagođavanje PIMS-a promenljivim potrebama organizacije i zainteresovanih strana je proces kontinuiranog poboljšanja (CIP).

Na primer: Opšta uredba o zaštiti podataka zahteva informativni list koji obaveštava kupce ili, na primer, građane u trenutku prikupljanja podataka o prirodi i obimu obrade ličnih podataka i srodnim pravima. Ovi informativni listovi u skladu sa članom 13. i 14. DS-GVO se objavljuju u skladu sa zakonom, međutim, postoji mnogo zahteva za ovim informacijama od subjekata podataka. Uključujući ove predloge za poboljšanje, kompanija prepoznaje da može da uštedi resurse i poveća zadovoljstvo kupaca optimizacijom objavljivanja informacija.

 

Prednost #5: Detaljan katalog mera

Kao što je ranije opisano, ISO 27701 nije prilagođen GDPR-u. Standardni korisnik je odgovoran za dodavanje specifičnih zahteva GDPR-a u PIMS.

Međutim, međunarodni standard donosi tri opsežna kataloga mera za opštu implementaciju operativne zaštite podataka:

  • Tehničke i organizacione mere,
  • Organizacija za zaštitu podataka kod rukovaoca, i
  • Organizacija zaštite podataka kod obrađivača.

Dobra vest za evropskog korisnika je da su se autori novog standarda snažno fokusirali na Opštu uredbu o zaštiti podataka prilikom kreiranja kataloga mera. To znači da primena generičkih kataloga mera već mapira mnoge zahteve GDPR-a. Zahtevi koji nedostaju se zatim prate upravljanjem zahtevima.

Mere su najbolje prakse za primenu i napisane su u stilu priručnika. Za razliku od GDPR-a (Poslovna pravila), mere objašnjavaju korisniku standarda kako se implementacija mora odvijati. Sa stanovišta autora, ovo je veoma velika prednost.

 

Zaključak: Zaštita podataka i bezbednost informacija

Svako ko je razvio i implementirao sistem upravljanja zaštitom podataka (DSMS) u skladu sa ISO 27701 – drugim rečima, svako ko sistematski štiti i upravlja svojim ličnim podacima – lako će obezbediti i dokazati usklađenost sa zakonskim zahtevima. Pravilno primenjen, standard može sprečiti mnoge greške u uvođenju i radu DSMS-a.

"Imajući na umu zaštitu podataka i bezbednost informacija, ISO 27701 je dugo očekivani priručnik za primenu GDPR-a.“

Međutim, sertifikacija PIMS-a će biti moguća samo ako kompanija takođe koristi sertifikovani sistem upravljanja bezbednošću informacija prema ISO 27001.

 

DQS: Jednostavno korišćenje kvaliteta.

Standardi sistema upravljanja obezbeđuju sistematski i strukturirani okvir za uzimanje u obzir zakonskih obaveza i njihovo integraciju u poslovne procese. Kompanije koje žele da budu na sigurnom mogu imati status svoje informacione bezbednosti ili implementacije usklađene sa DS-GVO-om koju ocenjuje nezavisno telo kao što je DQS.

Naše osnovne kompetencije leže u obavljanju sertifikacionih provera i procena. Ovo nas čini jednim od vodećih provajdera širom sveta sa tvrdnjom da postavljamo nova merila u pogledu pouzdanosti, kvaliteta i orijentacije na kupca u svakom trenutku. Istovremeno, sertifikovani sistem upravljanja za bezbednost informacija i zaštitu podataka je dokaz marljivosti i predviđanja vaše kompanije u slučaju eksternih napada na podatke.

 

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji revizori. Ako imate bilo kakvih pitanja o sadržaju ili našim uslugama našem autoru, kontaktirajte nas. Radujemo se razgovoru sa vama.

Autor
Stean Rihfeld

Izvršni direktor "scope & focus Service-Gesellschaft mbH". Službenik za zaštitu eksternih podataka i dugogodišnji auditor DQS zaštite podataka. Punopravni član radne grupe "Upravljanje identitetom i tehnologije zaštite podataka" nemačkog DIN-a, zamenik šefa Nemačkog udruženja za zaštitu podataka i GDD) kruga razmene iskustava u Hanoveru.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.