Сертифікація управління захистом даних

ЗМІСТ

• Що містить стандарт ISO 27701?
• СУІБ та СУІпК: подібності та відмінності
• Цілі захисту даних та цілі інформаційної безпеки: Подібності та відмінності
• Сертифікація за стандартом ISO 27701 в межах досяжності
• ISO 27701: Великий крок до захисту даних
• Створення чітких обов'язків
• Плюс: Орієнтація на ризики
• На перший погляд: Переваги ISO 27701
• Висновок: Систематичний і структурований підхід до захисту даних
• DQS: Simply leveraging Quality.

Захист даних як доповнення до системи управління

В ідеалі, управління захистом даних розробляється за допомогою міжнародного стандарту, в тандемі з ISO 27001... Добре відомий стандарт ISO/IEC 27001 стосується вимог до системи управління інформаційною безпекою (СУІБ) і також може бути сертифікований для цієї сфери застосування. Новий стандарт ISO/IEC 27701 для управління захистом даних ґрунтується на ISO 27001 і додає до нього критерії захисту даних. Це розширення інтегрує вимоги до Системи управління інформацією про захист даних (DSMS, Data Protection Information Management System) або Системи управління інформацією про конконфеденційність (СУІпК, Privacy Information Management System) в СУІБ.

Повна назва міжнародного стандарту захисту даних:

Як і ISO 27001, ISO 27701 також враховує підхід до системи менеджменту і посилається на базову структуру сучасних стандартів систем менеджменту - структуру високого рівня (HLS).

Новий міжнародний стандарт є частиною ISO 29100, який містить усі принципи захисту даних. Спочатку він мав називатися ISO 27552, але потім був перейменований на ISO 27701. Це пов'язано з рішенням Міжнародної організації зі стандартизації (ISO) про те, що всі основні стандарти, які підлягають сертифікації, повинні закінчуватися на 01.

Управління захистом даних: Що в стандарті ISO 27701?

Замість "інформаційної безпеки" новий стандарт захисту даних говорить про "інформаційну безпеку та захист даних". Крім того, є доповнення до змісту. Наприклад, при розгляді контексту організації вимагається включення відповідних законів про захист даних і судових рішень. Аналогічно, критерії обробки персональних даних повинні бути враховані в оцінці ризиків - з постійним урахуванням захисту постраждалих осіб та оцінки можливого впливу.

Крім того, ISO 27701 містить доповнення до ISO 27002, настанови щодо впровадження заходів з Додатку А до ISO 27001.

Стандарт ISO також надає наступні настанови щодо управління захистом даних:

• Розширення настанови та політик для включення аспектів захисту даних.
• Призначення в компанії відповідальної особи (уповноваженого з питань захисту даних) за систему управління інформацією про конфіденційність
• Проведення тренінгів для працівників щодо захисту даних
• Журналізація доступу та змін
• Шифрування, наприклад, спеціальних категорій персональних даних, таких як дані про стан здоров'я
• Розгляд принципу "Privacy by Design" ("Конфіденційність за задумом")
• Розгляд інцидентів безпеки на предмет порушення конфіденційності даних

У додатку до ISO 27701 міститься детальна таблиця розподілу заходів відповідно до вимог GDPR. Тут стає зрозуміло, який вплив Загальний регламент ЄС про захист даних має на цей міжнародний стандарт захисту даних.

СУІБ та СУІпК: подібності та відмінності

Система управління інформаційною безпекою (ISMS/СУІБ) та система управління інформацією про конфіденційність (PIMS/СУІпК) тісно пов'язані між собою.

Конфіденційність і безпека даних стосуються персональних даних. Стандарти серії ISO 27000 стосуються насамперед захисту інформації, а персональні дані є її підмножиною. Отже, з точки зору перспективи визначається, чи є щось порушенням даних або інцидентом інформаційної безпеки, або навіть і тим, і іншим?

"У чому перевага стандарту ISO 27701? Він загострює увагу на аспектах захисту даних в системі управління інформаційною безпекою!"

Стефан Рефельд, експерт із захисту даних та аудитор DQS

Там, де термін "інформаційна безпека" використовується в ISO 27001 або ISO 27002, в ISO 27701 він називається "інформаційна безпека та захист даних". Це доповнення робить захист даних частиною системи управління інформаційною безпекою.

Однак існують також відхилення, коли СУІпК функціонує інакше, ніж СУІБ. Один із прикладів: різне розуміння контексту організації. В ISO 27701, в пункті 4.1, є додаткова вимога до ISO 27001 про те, що "організація повинна визначити свою роль як відповідальної сторони або спільного контролера для спільних обов'язків та/або як обробника контрактів".

Ця вимога відсутня в Системі управління інформаційною безпекою, оскільки СУІБ не визнає різниці між "контролером" та "обробником". Отже, ISO 27701 містить два додаткові додатки з конкретними заходами щодо захисту даних для "контролерів" та "обробників".

Цілі захисту даних та цілі інформаційної безпеки: Подібності та відмінності

ISO 29100 визначає принципи захисту даних, яким повинна відповідати власна система управління компанії. Стаття 5 Загального регламенту захисту даних (General Data Protection Regulation - GDPR) показує, які цілі захисту даних повинні бути досягнуті за допомогою операційних статей GDPR. Принципи та цілі значною мірою збігаються. Це пов'язано з тим, що ОЕСР визначила цілі захисту даних у 1980 році. Вони послужили основою як для ISO 29100, так і для GDPR.

У Системі управління інформаційною безпекою (СУІБ) визначено такі цілі інформаційної безпеки, як конфіденційність, цілісність, доступність. Вони також містяться у статті 5 та статті 32 DS-GVO відповідно. Однак основною відмінністю є визначення "зацікавлених сторін" у СУІБ. До них відносяться, наприклад, власні працівники компанії, клієнти, постачальники, інвестори або органи влади. З іншого боку, у сфері захисту даних зацікавленою стороною є лише суб'єкт даних.

Таким чином, управління ризиками захисту даних також відрізняється від управління ризиками інформаційної безпеки. Як наслідок, СУІБ не може бути використана один в один як СУІпК з її специфічними для захисту даних процесами. Тим не менш, існують можливості для інтеграції, щоб, наприклад, проводити спільні внутрішні аудити.

Управління захистом даних: Сертифікація за стандартом ISO 27701 в межах досяжності

З точки зору сертифікації, новий стандарт ISO 27701 в майбутньому доповнить ISO 27001 - і це буде перший стандарт, який підтвердить захист даних сертифікатом. З цією метою DQS наразі проходить процес акредитації в Німецькому органі з акредитації (DAkkS) і очікує на отримання схвалення найближчим часом. Оскільки ISO 27701 розроблений як розширення ISO 27001, система управління захистом даних відповідно до ISO 27701 не може бути сертифікована без системи управління інформаційною безпекою відповідно до ISO 27001.

ISO 27701: Великий крок до управління захистом даних

Кожен, хто розробив і впровадив систематичну систему управління захистом даних (СУІпК) відповідно до ISO 27701 - іншими словами, кожен, хто систематично захищає і управляє своїми персональними даними, - зможе легко забезпечити і продемонструвати відповідність законодавчим вимогам. Компанії можуть використовувати новий стандарт для забезпечення інформаційної безпеки та відповідного захисту даних, що значною мірою відповідає вимогам захисту даних.

Створіть чіткі обов'язки за допомогою ISO 27701

Впроваджуючи новий стандарт ISO, компанії не можуть уникнути визначення чітких обов'язків у сфері захисту даних. Цю перевагу не можна недооцінювати. У більшості компаній, які не мають систематичної системи управління захистом даних, обов'язки занадто часто формулюються в м'якій формі з неправильно зрозумілої ввічливості ("Чи не могли б ви взяти це на себе в майбутньому?"). Або ж обов'язки розподіляються під гаслом "Зробимо це разом!". Обидва варіанти неминуче призводять до того, що в кінцевому підсумку ніхто не бере на себе відповідальність. Завдяки добре структурованій системі управління захистом даних існують чіткі інструкції, а це безцінно.

"Суть полягає в тому, що кожна компанія дійсно виграє від систематизації захисту даних - у всіх галузях і незалежно від розміру компанії".

Стефан Рефельд, експерт із захисту даних та аудитор DQS

Новий стандарт ISO жодним чином не ґрунтується виключно на принципах Загального регламенту захисту даних (GDPR), але також покликаний підтримати компанії у дотриманні глобальних стандартів захисту даних. Мета полягає у створенні, впровадженні, підтримці та постійному вдосконаленні СУІБ.

Ще одна перевага: Орієнтація на ризики

Є ще одна перевага на користь інтеграції ISO 27701 з ISO 27001. З впровадженням ISO 27701 компанії фактично "змушені" застосовувати ризик-орієнтований підхід до захисту персональних даних. Це включає, наприклад, повне визначення та оцінку ризиків, а також оцінку ймовірності їх виникнення.

Ця оцінка ризиків є відправною точкою для зменшення конкретного потенціалу шкоди до прийнятного рівня. До речі, ми також знаходимо цей чудовий прагматичний підхід у схожій формі в GDPR, так що коло також замикається з точки зору практичної значущості.

З першого погляду: Переваги ISO 27701

• ISO 27701 формулює вимоги до системи управління інформацією про конфіденційність.
• За допомогою ISO 27701 ви можете ідентифікувати, оцінити та мінімізувати ризики безпеки при захисті даних в загальному контексті управління інформаційною безпекою.
• На додаток до ISO 27001, ISO 27701 є першим сертифікуємим міжнародним стандартом, який підтверджує захист даних сертифікатом (незабаром: акредитований DAkkS сертифікат від DQS).
• ISO 27701 є важливою подією для захисту даних в Європі та на міжнародному рівні.

Висновок: Систематичний та структурований підхід до управління захистом даних

Якщо ви хочете безпечно орієнтуватися в мілинах національних і міжнародних нормативних актів про захист даних, ви не можете уникнути структурованого і систематичного підходу до цієї теми. У цьому контексті ISO 27701 пропонує високу додану вартість.

Таким чином, захист даних і безпека даних можуть бути освоєні і середніми компаніями, а також є відмінним планом для захисту даних, що відповідає вимогам нормативних актів. Він включає в себе всеосяжну колекцію найкращих практик, які компанії можуть використовувати для впевненого документування того, що вони проявляють належну обачність при роботі з критично важливими даними.

DQS: Simply leveraging Quality.

У взаємодії динаміки та стабільності, сертифіковані системи менеджменту стають все більш важливими - розвиток, який DQS відчуває в позитивному сенсі. Це тому, що успішні компанії та організації використовують висновки наших аудитів для постійного поліпшення своїх результатів. Вони також використовують наші всесвітньо визнані сертифікати як об'єктивний доказ їхньої здатності забезпечувати якість. Це створює довіру до вашої компанії як всередині, так і за її межами.

Експертиза та довіра

Наші тексти та брошури написані виключно нашими експертами зі стандартів або багаторічними аудиторами. Якщо у вас виникли запитання щодо змісту тексту або наших послуг автору, будь ласка, зв'яжіться з нами.