Міжнародна організація зі стандартизації опублікувала стандарт загальної системи управління захистом даних (DSMS) у 2019 році. ISO/IEC 27701 описує DSMS на основі системи управління інформаційною безпекою відповідно до ISO 27001. Ця спеціальна форма DSMS називається система управління персональною інформацією (PIMS). Основи цього PIMS описані нижче. У процесі з’ясовується, які п’ять основних переваг пропонує компаніям PIMS. Безкоштовні інформаційні документи містять подальші вказівки щодо практичної реалізації.
Захист даних та інформаційна безпека
Навіть у контексті інформаційної безпеки захист даних не є одноразовим проектом, який починається, виконується та завершується. З точністю до навпаки. Оперативний захист даних — це ряд процесів захисту даних, які повинні бути постійно доступними та реалізованими в організаціях або запускатися тригером. Важливими прикладами цього є два процеси захисту даних "забезпечення прав суб'єкта даних" і "реагування на інциденти із захисту даних".
У світі захисту даних використання системи керування захистом даних (DSMS) розглядається як важлива річ для вирішення проблем захисту даних організацій. Чому це так? Відповідь відносно проста:
Система управління захистом даних є основою та рушійною силою оперативного захисту даних, якої організації повинні постійно дотримуватися.
З 25 травня 2018 року Європейський Загальний регламент захисту даних (GDPR) просто надає правила для DSMS. У ньому сформульовані жорсткі юридичні вимоги щодо того, що дозволено чи заборонено (Правила бізнесу). З цього випливають штрафні санкції Німеччини DS-GVO (Німецький основний закон про захист даних). Однак він не робить жодної заяви про те, як імплементувати юридичні вимоги щодо захисту даних.
Захист даних та інформаційна безпека – що таке система управління?
Визначення системи менеджменту є загальним і не може бути спеціалізованим. Стандарт ISO/IEC 27000:2020 визначає систему менеджменту як ...
«Набір взаємопов’язаних і взаємодіючих елементів організації (3.50) для встановлення політики (3.53), цілей (3.49) і процесів (3.54) для досягнення цих цілей».
Лише після того, як елементи системи управління будуть визначені більш детально, можна зробити заяву про те, чи відповідають суворі юридичні та оперативні вимоги щодо захисту даних GDPR із конкретною системою управління. Твердження про те, що система управління захистом даних функціонує, не вказує на якість DSMS або статус впровадження.
ISO 27701 – Управління захистом даних
Захист даних у контексті інформаційної безпеки – хвилююча тема? Більше експертних знань про стандарт ISO 27701 у нашій безкоштовній Білій книзі.
Структура високого рівня як план для систем управління
Міжнародна організація зі стандартизації (ISO) створила план систем управління під назвою Структура високого рівня (HLS). Ця базова структура містить усі елементи, які ISO вважає релевантними для системи менеджменту (Додаток 2 до Додатку SL до Директив ISO/IEC, частина 1). З цієї причини основні механізми стандартів системи управління дуже схожі.
Тому конкретна DSMS ISO, система управління персональною інформацією (PIMS), має ідентичну основу, як система управління якістю відповідно до ISO 9001, система управління навколишнім середовищем відповідно до ISO 14001 або система управління інформаційною безпекою відповідно до ISO 27001.
Захист даних та інформаційна безпека – інтеграція GDPR в систему управління
PIMS відповідно до міжнародного стандарту ISO/IEC 27701 є універсальним, а не лише адаптованим до Європейського загального регламенту захисту даних. Стандарт описує систему управління захистом даних на основі системи управління інформаційною безпекою відповідно до ISO 27001, що робить ISO 27701 придатним для впровадження будь-якого оперативного захисту персональних даних, включаючи законодавство Каліфорнії або Японії про захист даних.
ISO/IEC 27701:2021-07 – Методи безпеки – Розширення до ISO/IEC 27001 та ISO/IEC 27002 для управління конфеденційною інформацією – Вимоги та вказівки (ISO/IEC 27701:2019).Стандарт доступний на http://www.iso.org.
АЛЕ: тим, хто розробив і впровадив PIMS відповідно до стандарту захисту даних, тобто тим, хто систематично захищає та керує своїми персональними даними, легко забезпечити та продемонструвати відповідність законодавчим вимогам щодо захисту даних. Це здійснюється через систему управління механізмом управління вимогами. Управління вимогами – це процес визначення та оцінки внутрішніх та зовнішніх вимог та впровадження заходів щодо подолання ризиків.
Яка різниця між захистом даних та інформаційною безпекою?
Принципова різниця між цими двома темами проста: інформаційна безпека охоплює всі корпоративні активи, які підлягають збереженню, і служить для захисту конфіденційної ділової інформації від неправомірного використання третіми сторонами. Це означає набагато більше, ніж просто ІТ-системи. Що стосується захисту даних, то заходи спрямовані на захист персональних даних. З травня 2018 року Загальний регламент ЄС про захист даних повинен був запроваджуватися на обов’язковій основі по всій Європі – всіма компаніями та державними органами, які обробляють персональні дані.
П'ять переваг управління захистом даних
У взаємодії між інформаційною безпекою та захистом даних стандарт завжди слід розуміти як найкращу практику. Конкретне виконання вимог та заходів щодо безпеки даних має здійснюватися користувачем.
Загальною перевагою PIMS є всесвітня стандартизація за допомогою стандарту захисту даних та великої літератури щодо впровадження стандарту. Правда, до мови стандартів «потрібно трохи звикнути».
№1: Розподіл обов'язків
Здається, що серед малих та середніх підприємств (МСП) розподіл обов’язків нечітко або взагалі не розподіляється майже як корпоративна культура. Можна помітити, що в багатьох корпоративних політиках відповідальність за певну діяльність або активи не чітко визначена та не врахована. Це є серйозним недоліком і призводить до прогалин і помилок в операціях.
АЛЕ: захист даних — це «командний вид спорту». Тільки якщо всі завдання визначено та покладено на відповідальних сторін, і лише якщо ці особи також виконують свої завдання, ваша компанія зможе працювати відповідно до вимог захисту даних.
Захист даних — це "командний вид спорту": щоб добре розподіляти відповідальність — краще взяти на себе відповідальність.
Запроваджуючи PIMS, принцип власності має бути введений в організацію для сфери застосування стандарту. Однак термін «власник» тут не слід розуміти в його цивільно-правовому значенні. Швидше, німецькою мовою стандарту власник посилається на відповідальність особи за актив або виконання вимоги чи заходів.
Наприклад: ведення «Каталогу діяльності з обробки (VVT)» часто доручається спеціалісту із захисту даних (DPO). Звичайно, це повна нісенітниця і не може працювати, оскільки DPO часто взагалі не бере участь у багатьох процесах обробки. В управлінні якістю власники процесів виконують документацію процесу. Вище керівництво також має делегувати це відповідно до захисту даних.
Сертифікат згідно ISO 27701
З точки зору сертифікації, ISO 27701 доповнює добре відомий стандарт ISO 27001 - це буде перший стандарт, який підтвердить захист даних за допомогою сертифіката. Зараз DQS перебуває в процесі акредитації в Німецькому органі з акредитації (DAkkS).
Перевага №2: Оперативний захист даних орієнтований на ризики
У німецькому DS-GVO європейський законодавець вимагає ризик орієнтованого підходу до впровадження безпеки даних, наприклад, у статті 32 (1) DS-GVO. Така орієнтація на ризик часто не працює в компаніях, де офіційно не встановлена система управління. Застосування стандарту захисту даних ISO 27701 неминуче вносить орієнтацію на ризик. Тут метод оцінки ризику безпеки даних не прописаний і може, в певних межах, бути визначений користувачем.
Перевага №3: управління змінами як складова успіху
Процеси захисту даних можуть бути запущені змінами в організації. Наприклад, реалізація або адаптація бізнес-процесу, послуги чи продукту. Компанії без управління змінами мають великі проблеми з дотриманням вимог щодо захисту даних, оскільки зміни регулярно обробляються випадковим і неконтрольованим способом. Це призводить до так званого регуляторного пробілу.
Компанії та організації постійно змінюються. Управління змінами також відіграє важливу роль у захисті даних та інформаційній безпеці
PIMS реєструє та контролює ці зміни за допомогою управління змінами та впроваджує їх. Наприклад, зміна бізнес-процесу вимагає перевірки на допустимість (законність, економія даних, права суб’єкта даних, документація у VVT тощо).
Наприклад: вимога щодо раннього залучення спеціаліста із захисту даних до розробки змін може бути досягнута досить просто, призначивши його до групи змін.
Перевага № 4: Оптимізація шляхом постійного вдосконалення
Компанії постійно змінюються. Спочатку планується, впроваджується та експлуатується система управління персональною інформацією. Цілком ймовірно, що перша спроба запровадження, впровадження та експлуатації системи буде неоптимальною через брак досвіду. Навіть якщо під час впровадження консультується досвідчений консультант, слід очікувати каменів спотикання.
Принцип: зробити інформаційну безпеку та захист даних систематичними та стійкими
Хоча всі PIMS мають ідентичні механізми в принципі, вони розроблені по-різному. На реалізацію механізмів може впливати розмір організації, організаційна культура або навіть галузь.
Хорошим підмеханізмом постійної адаптації PIMS до мінливих потреб організації та зацікавлених сторін є процес безперервного вдосконалення (CIP).
Наприклад: Загальне положення про захист даних вимагає інформаційного листа, який інформує клієнтів або, наприклад, громадян на момент збору даних про характер та обсяг обробки персональних даних та суміжні права. Ці інформаційні листи відповідно до статей 13 та 14 ДС-GVO оприлюднюються відповідно до законодавства, однак є багато запитів на цю інформацію від суб’єктів даних. Включаючи ці пропозиції щодо покращення, компанія визнає, що вона може заощадити ресурси та підвищити рівень задоволеності клієнтів, оптимізуючи публікацію інформації.
Перевага №5: Детальний каталог заходів
Як описано раніше, ISO 27701 не адаптований до GDPR. Стандартний користувач відповідає за додавання конкретних вимог GDPR до PIMS.
Однак міжнародний стандарт містить три великі каталоги заходів для загального впровадження операційного захисту даних:
- Техніко-організаційні заходи,
- Організація захисту даних у контролера, і
- Організація захисту даних під час обробки.
Доброю новиною для європейського користувача є те, що автори нового стандарту при розробці каталогів заходів зосередилися на Загальному регламенті захисту даних. Це означає, що застосування загальних каталогів заходів уже відображає багато вимог GDPR. Відсутні вимоги потім супроводжуються управлінням вимогами.
Заходи є найкращими практиками для впровадження та написані у стилі посібника. На відміну від GDPR (Бізнес-правила), заходи пояснюють користувачеві стандарту, як має відбуватися впровадження. З точки зору автора, це дуже велика перевага.
Висновок: Захист даних та інформаційна безпека
Кожен, хто розробив і впровадив систему управління захистом даних (DSMS) відповідно до ISO 27701 – іншими словами, кожен, хто систематично захищає та керує своїми персональними даними – зможе легко забезпечити та довести відповідність вимогам законодавства. При належному застосуванні стандарт може запобігти багатьом помилкам у введенні та роботі DSMS.
З огляду на захист даних та інформаційну безпеку, ISO 27701 — це довгоочікуваний посібник із впровадження GDPR
Однак сертифікація PIMS буде можлива лише за умови, що компанія також керує сертифікованою системою управління інформаційною безпекою відповідно до ISO 27001.
DQS: Просто використовуйте якість
Стандарти системи управління забезпечують систематичну та структуровану основу для врахування юридичних зобов'язань та їх інтеграції в бізнес-процеси. Компанії, які хочуть бути в безпеці, можуть отримати статус своєї інформаційної безпеки або впровадження, що відповідає вимогам DS-GVO, перевірене незалежним органом, таким як DQS.
Наші основні компетенції полягають у проведенні сертифікаційних аудитів та оцінок. Це робить нас одним із провідних постачальників послуг у всьому світі, які постійно встановлюють нові стандарти надійності, якості та орієнтації на клієнта. Водночас сертифікована система управління інформаційною безпекою та захистом даних є доказом старанності та передбачливості вашої компанії у разі зовнішніх атак на дані.
Довіра та досвід
Наші тексти та брошури написані виключно нашими експертами зі стандартів або давніми аудиторами. Якщо у вас виникли запитання щодо вмісту чи наших послуг до нашого автора, зв’яжіться з нами. Ми з нетерпінням чекаємо розмови з вами.
Інформаційний бюлетень DQS
Стефан Рефельд
Керуючий директор «Scope & Focus Service-Gesellschaft mbH». Зовнішній спеціаліст із захисту даних та багаторічний аудитор із захисту даних DQS. Повний член робочої групи «Управління ідентифікацією та технології захисту даних» німецького DIN, заступник голови Німецької асоціації захисту даних і безпеки даних (GDD) кола обміну досвідом у Ганновері.