Требования BS10012
Защита персональных данных: Требования BS10012, ISO 27001 и российской нормативной базы
Алексей Волков, Торговый Дом «Северсталь-Инвест»
Евгений Царев, LETA IT-company
2 июля 2009 года Британский институт стандартов издал первую версию стандарта BS10012:2009 Защита Данных - Спецификация системы управления персональными данными , русский перевод которого доступен у GlobalTrust .
Возник вопрос. Возможно ли, использовать новый стандарт в России? В какой степени выполнение требований данного стандарта поможет операторам персональных данных (ПДн) соответствовать требованиям российского законодательства? И самое главное, есть ли принципиальный смысл использовать данный стандарт?
Ответы на эти вопросы мы попробуем дать в данной статье.
Стандарты и стандартизация
Стандарты важны в любой системе управления: в них определяются цели, которые необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.
Без стандарта, организация должна пройти долгий путь разработки своего собственного нормативного документа, описывающего систему управления, и быть готова к тому, что самостоятельно разработанные методы управления могут быть неэффективны, а должностные лица, ответственные за их реализацию и контроль системы управления в целом, будут не способны выполнять свои обязанности.
Процесс стандартизации предполагает, что для создания эффективной системы управления в какой-либо области, организация должна привести свои внутренние бизнес-процессы к требованиям, описанным в соответствующем стандарте. После чего организация может пройти процедуру оценки соответствия, и в случае успеха - получить сертификат, подтверждающий, что процессы управления в определенной области соответствуют требованиям стандарта.
Разработчик стандарта является своего рода экспертом и описывает четкий набор требований, которые необходимо реализовать, для получения желаемого результата: в случае с ПДн - эффективной системы управления. При разработке стандарта используется накопленные знания, опыт и лучшие практики.
Принято считать, чем авторитетнее разработчик, чем выше уровень признания стандарта, тем лучше и эффективнее будет стандартизуемая система управления.
BSI Group, разработчик, безусловно, авторитетный. Эта организация основана в 1901 году в Великобритании, и с момента своего основания занимается исключительно разработкой частных, отраслевых, государственных и международных стандартов. Большая часть стандартов, утвержденных Международной организацией по стандартизации (ISO), были разработаны именно в BSI Group. Например, стандарт ISO 27001:2005 представляет собой не что иное, как стандарт BSI Group под номером BS 7799-2:2005 .
Не смотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и ПДн, который способна реализовать любая организация в любой стране мира, отсутствует, и по сей день. Такое положение дел связано с наличием у многих государств собственного законодательства о защите ПДн , значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне).
Тем не менее, вопрос защиты ПДн является весьма актуальным во всем мире. BSI Group, очевидно, не могла оставаться в стороне и вместо того, чтобы сводить воедино требования законодательства различных государств (по понятным причинам это в принципе невозможно, так как придется находить компромиссы на государственном уровне), в стандарте BS 10012:2009 описала Систему управления ПДн (PIMS или СУПД) – ряд основных процессов инфраструктуры безопасной обработки ПДн. Вот что по этому поводу пишет сама BSI Group:
«Британский стандарт BS10012 … был разработан для того, чтобы установить лучшие практики и обеспечить соответствие с законодательством о защите данных. Это первый стандарт для управления личными данными. BS10012 определяет требования к системе управления личными данными, которые, помимо прочего, предоставляют инфраструктуру для поддержки и улучшения соответствия с Законом о Защите Данных (Data Protection Act – DPA) 1998 года».
Получается, что этот стандарт описывает только систему управления и Федеральному закону «О персональных данных» № 152-ФЗ не соответствует? Попробуем разобраться.
Data Protection Act и 152-ФЗ
Data Protection Act (Закон о защите данных ) был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований Директивы 95/46/EC Европарламента и Совета Европы «О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных» . Прародителем этой директивы является та самая Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят Федеральный закон N 152-ФЗ О персональных данных.
Детальный анализ DPA и его сопоставление с законом 152-ФЗ выходит за рамки этой статьи, однако даже при беглом просмотре DPA можно найти определенные сходства. Так, например, DPA дает следующее определение понятию «персональные данные»: «персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных». Не смотря на то, что закон 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательства РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. «Контроллер персональных данных» в DPA есть ни кто иной, как «оператор ПДн» в российском законодательстве.
Согласно DPA, любая организация, обрабатывающая ПДн, является оператором ПДн и должна регистрировать свою деятельность в уполномоченном органе, который, в свою очередь, контролирует исполнение организацией 8 принципов обработки ПДн (будут приведены далее). Статьей 5 закона 152-ФЗ определены 5 принципов обработки ПДн, хотя в тексте закона, так или иначе, присутствуют все 8 принципов DPA. Сходства действительно много.
Возвращаясь к основной теме, попробуем понять, в связи, с чем появилась необходимость разрабатывать стандарт BS 10012:2009? В этом нам, как ни странно, поможет п. 2 ст. 19 152-ФЗ, который гласит: «Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Постановления Правительства РФ № 687 и № 781 как раз и устанавливают такие требования, а регуляторы (Роскомнадзор, ФСТЭК, ФСБ) выполняют функцию контроля. При этом DPA в принципе не содержит и не ссылается на какие-либо инфраструктурные или технические требования к обработке ПДн, реализовав которые, организация-контроллер (оператор ПДн) обеспечила бы выполнение 8 принципов обработки ПДн. Именно поэтому каждый контроллер самостоятельно разрабатывал собственные нормативные документы, описывавшие требования к системе управления ПДн. К чему это приводило – нетрудно догадаться, принимая во внимание первую часть этой статьи: многочисленные дыры в системе безопасности порождали серьезные утечки и, как следствие, судебные иски, разбирательства и штрафы.
Поэтому перед BSI Group стояла задача устранить разрыв в законодательстве Соединенного Королевства и предложить контроллерам (операторам ПДн) требования для построения эффективной системы управления ПДн, основанные на лучших практиках стандарта ISO 27001 и отвечающие нормам DPA.
Что ж, основная идея создания стандарта BS 10012:2009 ясна. Тем не менее, Сара Хиггинс (Sarah Higgins) из университета Эдинбурга в своей статье пишет:
«Реализация контроллером PIMSв соответствии с требованиями стандарта BS 10012:2009 не гарантирует полного выполнения всех норм DPA. Разработчики PIMS должны знать требования самого DPA, руководства уполномоченного органа (Information Comissioner) и прочее законодательство, связанное с обработкой персональных данных, в частности, Закон о свободе информации (2000) и Закон о свободе информации (Шотландия) 2002».
Очевидно, британские эксперты по защите ПДн озабочены теми же вопросами, что и отечественные, а стандарт для РФ не совсем подходит, не смотря на сходство в законодательстве. Попробуем разобраться, как и в какой мере отечественный оператор ПДн может использовать для себя этот документ.
ISO 27001, BS10012 и 152-ФЗ
Желание специалистов по защите информации, привести системы управления ПДн, в соответствие с требованиями стандарта BS 10012:2009, вполне обоснован. Подход к построению СУПД , описанный в BS 10012:2009, основана на модели непрерывного контроля и улучшения PDCA (Plan-Do-Check-Act, или Планирование – Осуществление – Проверка – Действие), точно соответствующей стандарту ISO 27001, описывающему аналогичную модель для систем управления информационной безопасностью (СУИБ, или ISMS).
Так же, как и СУИБ, СУПД необходимо регулярно проверять путем проведения внутреннего аудита, а методы управления - пересматривать и проводить профилактические и корректирующие мероприятия с целью постоянного ее улучшения. Так же, как и ISO 27001, Стандарт представляет собой пошаговое руководство для планирования, документирования, реализации, поддержки и постоянного улучшения СУПД. СУПД (СУИБ) должна быть установлена в определенной области и определенного набора целей, и описываться соответствующей политикой (в обоих стандартах приведены требования, включаемые в политику). Ответственный менеджер (контроллер) должен осуществлять руководство, поддержку и реализацию. Для реализации СУПД (СУИБ) должны выделяться необходимые ресурсы, а реализовать СУПД (СУИБ) должен ответственный, квалифицированный и обученный персонал, при этом понимать (осознавать) необходимость реализации СУПД (СУИБ) должен весь персонал организации без исключения.
Главное отличие ISO 27001 от BS 10012 заключается в том, что областью внедрения (scope) СУИБ может быть любой процесс обработки информации, а область СУПД четко обозначена заранее – обработка ПДн. Кроме того, одной из важнейших задач, решаемых СУПД, построенной в соответствии с BS 10012, является соответствие DPA, поэтому требования, указанные в нем, направлены на достижение 8 принципов обработки ПДн, указанных в DPA.
Однако на территории РФ DPA не действует. Попытки связать ISO 27001 с требованиями российских нормативных документов осуществлялись специалистами в области защиты информации и до появления BS 10012 .Вышедший BS 10012 позволил взглянуть на этот процесс глазами разработчиков двух стандартов, в результате можно сделать вывод что требования BS 10012 все же можно адаптировать под нормы российского законодательства.
В статье Сары Хиггинс есть хорошая, но бесполезная для нас, как граждан РФ, таблица, связывающая 8 принципов DPA с требованиями BS 10012:2009. Мы попытались дополнить ее применительно к закону 152-ФЗ, результаты приведены в таблице 1.
Таблица 1. Сопоставление требований DPA, BS 10012:2009 и 152-ФЗ.
№ п/п |
DPA |
BS 10012:2009 |
152-ФЗ |
|
|
Персональные данные должны: |
Реализуемые процедуры должны обеспечивать: |
Обработка персональных данных: |
|
1. |
Обрабатываться честно и законно. |
Персональная информация должна обрабатываться честно и законно; соответствующие юридические основания должны быть идентифицированы до начала обработки, включая:
|
Законность целей и способов обработки персональных данных и добросовестность (ст. 5 п. 1 пп. 1). |
|
2. |
Получаться строго с определенными целями, и не должны обрабатываться способами, несовместимыми с этими целями. |
Персональная информация собирается с одной или несколькими строго определенными целями, и не должна обрабатываться в целях, не совместимых с ними, включая:
|
Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (ст. 5 п. 1 пп. 2). |
|
3. |
Быть адекватными, соответствующими целям и не избыточными. |
Персональная информация является адекватной, соотносящейся с целями и не является избыточной, путем:
|
Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (ст. 5 п. 1 пп.3). |
|
4. |
Быть точными и своевременно обновляемыми. |
Персональная информация должна быть достоверной и, при необходимости, постоянно обновляемой, включая:
|
В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование (ст. 21 п. 2). |
|
5. |
Не храниться дольше, чем необходимо. |
Персональная информация не должна храниться дольше, чем необходимо, путем:
|
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5 п. 2). |
|
6. |
Полностью соблюдать права физического лица, включая право на доступ к данным. |
Соблюдение прав физических лиц путем:
|
Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (ст. 14 п. 1). |
|
7. |
Соблюдать безопасность. |
Персональная информация должна быть защищена от модификации и уничтожения, а также от несанкционированной или незаконной обработки путем реализации соответствующих технических и организационных мер безопасности, включая:
|
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ст. 19 п. 1). |
|
8. |
Не передаваться за пределы ЕС без адекватной защиты |
Персональная информация, передаваемая за пределы ЕС, должна иметь адекватный уровень защиты, например:
|
До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных (ст. 12 п. 1). |
Как видно, требования двух документов вполне совместимы, и при некоторых оговорках, стандарт BS 10012:2009, в принципе, может применяться и российскими операторами ПДн для реализации организационных мер по обработке ПДн, создания СУПД и их последующей интеграции в имеющиеся СУИБ, построенные в соответствии с ISO 27001. Однако, как и в случае с DPA, BS 10012:2009 не перекрывает всех требований законодательства РФ к организации процесса обработки ПДн, и совсем не затрагивает техническую защиту ПДн.
Заключение
Выпуск стандарта BS10012, безусловно, является важным шагом на пути к международной стандартизации обработки персональных данных, но первая версия этого документа еще далека от совершенства и уж тем более не является панацеей. С этим мнением согласен и член комитета BSI, эксперт по защите личных данных Тоби Стивенс (Toby Stevens), который в своем блоге пишет:
«Я сомневаюсь, что этот документ получит широкую поддержку, и уж тем более будет массово внедряться в организациях. Любой стандарт должен пройти путь от создания до созревания – и для этого данный документ должен был быть издан. Аналогичная ситуация была и со стандартом BS7799, который в последствие стал ISO 27001 – первая его версия вызвала много критики и нареканий, и широкое принятие и распространение этот стандарт получил лишь после нескольких итераций».
Но самый главный недостаток примененного в BS 10012 подхода заключается в том, что, в отличие от ISO 27001, стандарт не предусматривает процедуру оценки применимости требований на основе анализа рисков, и поэтому его требования являются жестко регламентирующими. Смысл пункта 4.4 стандарта «Оценка рисков» сводится лишь к наличию этой процедуры у организации в принципе, и результаты анализа рисков фактически не оказывают никакого влияния на требования, предъявляемые к PIMS. Тоби Стивенс также отмечает этот недостаток и пишет следующее:
«Мы, вероятно, будем получать очень много жалоб на то, что в стандарте не применяются методы оценки воздействия на частную жизнь и вообще какая-либо оценка рисков в принципе, и в результате требования стандарта являются завышенными и трудно реализуемыми для большинства организаций. В следующие версии стандарта обязательно должны быть включены процедуры оценки рисков, а требования должны быть пропорциональными рискам и масштабируемыми для организаций любого уровня».
С этим мнением трудно не согласиться, тем более что аналогичные недостатки свойственны и всей российской нормативно-правовой базе в области ПДн.
Что ж, остается ждать, надеяться и верить в то, что со временем появится новый документ, и может быть тогда отечественные законодатели и регуляторы увидят здравый смысл предложенного BSI подхода к построению систем управления информационной безопасностью в общем, и систем управления ПДн в частности. Пока же применение российскими операторами ПДн стандарта BS 10012 в полной мере как единого самостоятельного документа не имеет смысла. Реализованная по BS 10012 СУПД, не решит проблему соответствия российскому законодательству, а для построения СУПД как вариации СУИБ в области ПДн вполне подойдет ISO 27001.
Источник: tsarev.biz и anvolkov.blogspot.com
