Сертифікат ISO/IEC 27701:2019 як підтвердження захисту персональних даних

Будь-яка організація, так чи інакше, зберігає та обробляє чимало персональних даних стосовно співробітників, клієнтів або партнерів. При цьому рік у рік законодавство, яке визначає роботу з такою інформацією, стає дедалі жорсткішим, а штрафи за його порушення відчутно зростають. У такій ситуації краще мати надійне підтвердження того, що ваша система захисту персональних даних відповідає найкращим світовим практикам. І чи може у цьому питанні допомогти комерційна хмара? 

Захист персональних даних – актуальна та важлива проблема у глобальних масштабах. Може здатися, що до цієї теми прикуто зайве багато уваги. Але це лише на перший погляд. У міру того, як технології проникають у всі аспекти нашого повсякденного життя, збільшується і цифровий слід людини. І що далі, то більше інформації цей слід може дати про кожного з нас. Паспортні та біометричні дані, банківські реквізити, медична історія - це лише вершина величезного айсберга всіляких відомостей, які збираються і зберігаються в різних цифрових базах різними організаціями. Процес цей розпочався давно. І якщо його не можна зупинити, треба хоча б захистити чутливі дані від несанкціонованого доступу. У цьому допомагають міжнародні закони, стандарти та найкращі світові практики. 

До та після GDPR

Перші кроки, пов'язані зі спробами ввести захист персональних даних на законодавчому рівні, були зроблені ще в середині 90-х у Великій Британії. Каталізатором стало те, що стрімкий розвиток цифрових технологій суттєво спростив процес копіювання та переміщення будь-якої, в т.ч. персональної інформації як усередині країни, так і за її межі. Норми, застосовні, скажімо, до паперових архівів, які десятиліттями існували у незмінному вигляді, раптом виявилися малозастосовними за умов нової реальності. Знадобилося глибоке внутрішнє зрушення у питаннях ставлення до інформаційної безпеки, і воно сталося. Щоправда, не одразу.

Про те, як у Європі підходять до формування політики роботи з хмарами, читайте у спеціальному матеріалі 

На початку 2000-х власним законодавством у сфері захисту персональних даних обзавелися країни континентальної Європи. Але минуло ще чимало років, перш ніж у 2016 році бул прийнятий знаменитий Загальний Регламент захисту персональних даних (General Data Protection Regulation), який почав застосовуватись лише з травня 2018 року. При цьому GDPR застосовується до всіх компаній, що обробляють персональні дані суб'єктів ЄС, незалежно від географічного розташування (тобто поширюється навіть на ті організації, які працюють із зазначеною інформацією за межами Співдружності). Штрафи за порушення Регламенту можуть досягати 4% річного обороту підприємства. 

У 2018 році за порушення GDPR дуже великі стягнення були накладені британським регулятором на готельну мережу Marriott International (100 млн. фунтів стерлінгів) та авіакомпанію British Airways (183 млн. фунтів стерлінгів). У випадку з Marriott, порушення виявилося дуже серйозним і призвело до розкриття сотень мільйонів гостьових записів по всьому світу. Але джерелом проблеми стала нещодавно поглинена компанія, перевірці безпеки якої не було приділено належної уваги. Щоправда, в ході судового розгляду, в обох випадках підсумкову суму штрафу було зменшено в рази — до 18,5 млн. та 20 млн. фунтів стерлінгів для Marriott та British Airways відповідно. Але і це чимало. 

До речі, втрати бізнесу не обмежуються штрафами за порушення GDPR — про це читайте у спеціальному звіті 

З інших великих покарань можна згадати також €50 млн., на які у Франції оштрафували Google, а рекордом на сьогодні є стягнення, накладене Управлінням із захисту даних Люксембургу (CNPD) на Amazon — €746 млн. Звичайно, такі гігантські штрафи призначаються вкрай рідко. Але є безліч випадків, коли компанії виплачували тисячі і десятки тисяч євро — це вже, можна сказати, повсякденність. За період з 2018 по 2021 роки до різних наглядових органів країн ЄС надійшло близько 300 тис. звернень про порушення Регламенту і лише минулого року за всіма претензіями у цій сфері було накладено стягнень на €158,5 млн. 

Проблема відповідності

Здавалося б — GDPR потрібний і важливий документ, і не дотримуватись його вимог — собі дорожче. То звідки стільки позовів та такі штрафи? Невже у Європі стільки несвідомих компаній? Головна причина в тому, що дотримуватися всіх норм, запропонованих GDPR, досить непросто. Документ охоплює широкий перелік аспектів, що впливають на захист персональних даних і при цьому описує багато важливих вимог досить розмито (зокрема в Регламенті немає визначення самого поняття «конфіденційність»). Тобто йдеться швидше не про практики, а про ключові принципи захисту даних. Відповідно, можливі трактування окремих положень у дуже широких межах, і зрозуміти наскільки система захисту в тій чи іншій компанії відповідає GDPR без залучення спеціального аудиту буває дуже складно. 

Ще одна велика проблема в тому, що поки що не існує жодного загальновизнаного сертифіката, що підтверджує відповідність GDPR. Окремі аудиторські компанії, наприклад, Deloitte, можуть видавати свідоцтва від свого імені, але це не більше ніж приватна ініціатива, підкріплена лише авторитетом організації. Не кажучи вже про те, що Регламент продовжує розвиватися та змінюватися відповідно до своєї основної мети, яка полягає у захисті персональних даних громадян Євросоюзу. 

Про те, як ще можна захистити дані у хмарі — дізнайтеся з нашого вайтбука 

Досвід GDPR вплинув на інші країни. Власне законодавство у сфері захисту персональних даних є сьогодні у більшості держав за межами Євросоюзу. Наприклад, у США це Каліфорнійський закон про захист приватного життя споживачів (CCPA), у нас — Закон України «Про захист персональних даних». Крім того, в нашій країні ратифіковано Конвенцію про захист приватних осіб щодо автоматизованої обробки даних особистого характеру №108, а у статті 15 «Угоди про асоціацію між Україною та Європейським союзом» Україна взяла на себе зобов'язання «забезпечувати захист персональних даних відповідно до міжнародних та європейських стандартів». 

Проте, визнаного усіма, єдиного та узгодженого міжнародного законодавства у цій сфері, поки що, не існує. Хоча, звичайно, глобальна уніфікація підходів щодо захисту персональних даних очевидна. І тут на допомогу прийшла організація, авторитет якої мало хто ставить під сумнів.

Стандарт в допомогу

Міжнародна організація зі стандартизації (ISO) не могла залишити без уваги питання захисту персональних даних, особливо, враховуючи той факт, що нею були розроблені загальновизнані стандарти в галузі інформаційної безпеки. У результаті, під керівництвом ISO та за сприяння Міжнародної електротехнічної комісії (МЕК) було розроблено новий стандарт — ISO/IEC 27701:2019 «Методи забезпечення безпеки — Додаток до ISO/IEC 27001 та ISO/IEC 27002 із захисту конфіденційної інформації. Вимоги та керівні принципи» (ISO/IEC 27701:2019 «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Requirements and guidelines»). Документ, що з'явився в серпні 2019 року, став першим і поки що єдиним глобальним стандартом конфіденційності, який фактично визнається всіма існуючими країнами (членами ISO сьогодні є 164 держави). 

Як випливає з назви, ISO/IEC 27701:2019 є розширенням визнаних стандартів у сфері інформаційної безпеки ISO/IEC 27001 та ISO/IEC27002. У ISO/IEC 27701:2019 доповнено та розширено відповідні розділи, що стосуються управління інформацією про конфіденційність. Наприклад, у розділах 7. Support та 8. Operation визначено додаткові вимоги до Контролера та Процесора. 

Контролер — це суб'єкт, який відповідає за персональні дані, а поняттям Процесор позначається організація (одна чи кілька), яка безпосередньо обробляє таку інформацію. При цьому Процесором цілком може виступати стороння компанія (наприклад, оператор публічної хмари), чия інформаційна система відповідає певним критеріям безпеки. 

Також у стандарті вказано та визначено фундаментальні поняття та принципи PISM (Privacy Information Management System). Зокрема, зазначено, що для персональної інформації повинні забезпечуватися такі критерії як конфіденційність (дані не розкриваються особам, які не уповноважені на їх отримання), цілісність (інформація зберігає свою точність та повноту) та доступність (дані можна отримати у будь-який момент часу за запитом для авторизованих користувачів). Загалом PIMS, по суті, є розширеним варіантом ISMS (яка у нас більше відома як СУІБ, або система управління інформаційною безпекою), доповненим рекомендаціями у сфері забезпечення приватності (термін "privacy" складно адекватно перекласти). 

Новий стандарт охоплює майже повний спектр питань, які так чи інакше стосуються захисту персональних даних. Розглядаються, наприклад, правові та організаційні питання, тема інформаційних технологій та кібербезпеки, управління даними та інформацією. Не оминули навіть питання штатного розкладу. Скажімо, для відповідності стандарту в компанії має бути передбачена посада директора із захисту даних. 

Всі вимоги, викладені в ISO/IEC 27701, є універсальними та застосовні для будь-яких компаній та організацій, незалежно від масштабу та сфери їхньої діяльності. При цьому стандарт багато в чому ґрунтується на вимогах GDPR і навіть містить спеціальний додаток - Annex D (Mapping to the General Data Protection Regulation), де за пунктами наведено відповідність тих чи інших положень ISO/IEC 27701 Європейському Регламенту. 

Але основна перевага ISO/IEC 27701:2019 у тому, що за його допомогою будь-яка організація може розробити та реалізувати у себе ефективну систему управління персональними даними на основі міжнародно-визнаного підходу. Головне питання тут у тому, як зрозуміти, що ваша організація відповідає всім критеріям стандарту, і чи ви не втратили чогось важливого?

Сертифікат ISO 27701:2019 як фактор надійності

На відміну від GDPR, сертифікати на відповідність ISO 27701:2019 у природі існують. Але одержати їх непросто. Для цього необхідно витримати всебічний аудит однієї з компаній, акредитованих ISO. Першим критерієм для успішного проходження перевірки є наявність актуального сертифіката ISO/IEC 27001. Далі аудитори проводять ретельний аналіз того, як влаштований процес роботи з персональними даними в організації, виявляючи різні недоліки, недоробки та видаючи рекомендації щодо їх усунення. Після врахування всіх зауважень відбувається попередня оцінка системи управління персональною інформацією, а потім, якщо недоліки виправлені та все функціонує як слід, видається сертифікат відповідності стандарту ISO 27701:2019, який потрібно щороку підтверджувати, проходячи нові аудити. Загалом процес сертифікації тривалий, трудомісткий та недешевий (наприклад, лише текст стандарту на сайті ISO коштує приблизно $200). 

Проте тисячі організацій у всьому світі отримують цей документ, незважаючи на жодні складнощі. Справа в тому, що без сертифікату ні сама компанія, ні її партнери та клієнти не можуть бути до кінця впевнені в тому, що персональні дані зберігаються та обробляються належним чином – відповідно до найкращих світових практик, включаючи GDPR та ін. Чи гарантує це захист від витоку даних? Навряд чи. Адже навіть найнадійніші системи кібербезпеки часом виявляються безсилими. Але, у разі інциденту, наявність всесвітньо визнаного сертифікату є офіційним підтвердженням того, що компанія зробила вичерпні дії забезпечення захисту персональних даних. І головне, при роботі відповідно до ISO 27701:2019 загрози для чутливої ​​інформації різко знижуються (для цього власне і розроблявся документ), оскільки на підприємстві створюються надійні механізми захисту конфіденційності та мінімізації ризику витоку персональних даних. 

Тому у світі попит на сертифікацію ISO 27701:2019 стабільно зростає. У нашій країні першою і поки що єдиною організацією, яка повністю пройшла незалежний аудит та отримала відповідний сертифікат, виданий 24 грудня 2021 року, акредитованою організацією Bureau Veritas, стала компанія De Novo. Документ підтверджує, зокрема, повну відповідність стандарту ISO 27701:2019 всіх процесів та регламентів, пов'язаних з обробкою та зберіганням персональних даних у хмарі оператора. 

Крім ISO 27701: 2019, De Novo має також інші унікальні сертифікати 

Тепер компаніям, які бажають працювати відповідно до кращих світових практик у галузі PISM та ISMS, немає необхідності самостійно проходити тернистий та тривалий шлях незалежного аудиту — персональні дані можна розміщувати та обробляти у хмарі оператора. До речі, наявністю лише ISO 27701:2019 компанія не обмежилася — De Novo має повний спектр усіх необхідних національних дозволів та атестатів у галузі інформаційної безпеки, включаючи КСЗІ та ОТР. Ці документи підтверджують виконання вимог українських стандартів у сфері захисту інформації. Таким чином, хмара De Novo відповідає усім необхідним стандартам міжнародних, європейських та національних вимог у галузі ІБ. Крім того, оператор має цілу низку спеціалізованих внутрішніх регламентів, заснованих на досвіді кращих світових практик, що забезпечують додатковий захист персональних даних, та іншої цінної інформації.