GPDR И ISO/IEC 27001 - вместе или вместо?

Общее регулирование защиты данных Европейского Союза (GDPR ЕС) заменяет директиву по защите данных 95/46/EC с 25 мая 2018 года. Новое положение вводит ряд правил по защите персональных данных в рамках Европейского Союза. Внедрение стандарта ISO/IEC 27001 поможет организациям выполнить это требование.

С 1995 года европейское законодательство не обновляло директиву по защите данных 95/46/EC, что привело к дифференциации правил между различными странами Европейского сообщества. Потому 14 апреля 2016 года Европейским парламентом и Советом Европы был одобрен GDPR ЕС, призванный наделить одинаковыми правами на неприкосновенность частной жизни граждан всех стран Евросоюза. При этом, помимо компаний ЕС, GDPR охватывает и иностранные компании, которые контролируют поведение или предлагают товары, работы, услуги субъектам данных Европейского союза, даже если они предоставляют их бесплатно. Согласно новому положению, организации должны получать согласие от потребителей при обработке данных, минимизировать запрашиваемый объем данных потребителей, число посредников, которым они предоставляются, и сроки хранения информации.

В случае, если произошли нарушения правил защиты персональных данных, компания должна будет уведомить Орган по защите данных (DPA) в течение 72 часов после обнаружения. Необходимость уведомления пострадавших лиц зависит от возможности нарушения конфиденциальности информации. Если эти меры не выполняются, штрафы высоки – до 20 миллионов евро или до 4% от годового оборота в зависимости от масштаба компании.

Существует два вида ответственности в отношении защиты персональных данных: "контролеры" и "обработчики". Например, супермаркет (контролер) собирает данные своих клиентов, когда они получают дисконтную карту, а другая организация (обработчик), хранит, оцифровывает и каталогизирует всю информацию, полученную в бумажном виде от ритейлера. Согласно GDPR, контролер должен осуществлять соответствующие технические и организационные меры для обеспечения и демонстрации того, что обработка персональных данных осуществляется в соответствии со стандартом: законность, справедливость и прозрачность, минимизация данных, точность, ограничение хранения и целостность, а также конфиденциальность. При этом контролер должен использовать только обработчиков, обеспечивающих достаточные гарантии для осуществления соответствующих технических и организационных мер для соответствия требованиям регламента.

Стандарт ISO/IEC 27001 является основой для защиты информации и основой для GDPR. Конечно, есть некоторые требования общих правил защиты данных ЕС, которые непосредственно не охвачены в ISO 27001, например, поддержка прав субъектов персональных данных: право на получение информации, право на удаление своих данных и переносимость данных. Однако, если организация хранит (обрабатывает) персональные данные в облаке и определяет их как актив информационной безопасности, то в СМИБ этой компании будут охвачены большинство требований общих правил защиты данных ЕС:

  • Штрафы GDPR являются рисками, которые не могут быть не учтены на этапе оценке рисков при внедрении стандарта ISO 27001.
  • Уведомление о нарушении в течение 72 часов будет выполнено за счет управления инцидентами информационной безопасности, включая коммуникацию по событиям безопасности.
  • Управление активами в рамках стандарта ISO 27001 делает персональные данные одним из активов информационной безопасности наравне с договорами, серверами, персоналом и позволяет понять, какие персональные данные участвуют в процессе, где их хранить, как долго, их происхождение и кто имеет доступ к ним, т.е. выполнять все требования GDPR.
  • По требованиям общих правил защиты данных Евросоюза, организация делегирует поставщикам обработку и хранение персональных данных, и она должна требовать соблюдения требований регламента посредством официальных соглашений. ISO 27001 включает «защиту активов организации, которые доступны поставщикам».

В дополнение к принятым техническим средствам контроля, структурированной документации, мониторингу и постоянному совершенствованию, внедрение стандарта ISO/IEC 27001 способствует формированию культуры и осведомленности об инцидентах в области безопасности организаций. Сотрудники этих компаний лучше осведомлены и больше знают о ИБ, что позволяет обнаруживать и сообщать о нарушениях, ведь информационная безопасность – это не только технологии, это еще и люди, и процессы.

Первое, что организация должна сделать при принятии решения о внедрении GDPR и ISO/IEC 27001, это анализ несоответствия общим правилам регламента ЕС, чтобы определить, что необходимо добавить в систему управления информационной безопасностью стандарта ISO 27001, чтобы соответствовать обоим стандартам.

Нужно отметить, что практически любая компания, которая работает на международном уровне, должна будет соблюдать GDPR в будущем. Поскольку ISO/IEC 27001 является международно признанным во всем мире стандартом, то вариант его внедрения с соблюдением общих правил защиты данных Евросоюза является отличным выбором с точки зрения экономии сил и получения еще более обширных перспектив развития.

Леонид Белабко
Lead Auditor IMQ Certification body