Сертификат ISO/IEC 27701:2019 как подтверждение защиты персональных данных

Любая организация, так или иначе, хранит и обрабатывает немало персональных данных, касающихся сотрудников, клиентов или партнеров. При этом год от года законодательство, определяющее работу с такой информацией, становится все более жестким, а штрафы за его нарушение ощутимо растут. В такой ситуации лучше иметь надежное подтверждение того, что ваша система защиты персональных данных соответствует лучшим мировым практикам. И может ли в этом вопросе помочь коммерческое облако?

Защита персональных данных — актуальная и важная проблема в глобальных масштабах. Может показаться, что к этой теме приковано излишне много внимания. Но это лишь на первый взгляд. По мере того, как технологии проникают во все аспекты нашей повседневной жизни, увеличивается и цифровой след человека. И чем дальше, тем больше информации этот след может дать о каждом из нас. Паспортные и биометрические данные, банковские реквизиты, медицинская история — это лишь вершина огромного айсберга всевозможных сведений, которые собираются и хранятся в различных цифровых базах самыми разными организациями. Процесс этот начался давно. И если его нельзя остановить, то надо хотя бы защитить чувствительные данные от несанкционированного доступа. В этом помогают международные законы, стандарты и лучшие мировые практики. 

До и после GDPR

Первые шаги, связанные с попытками ввести защиту персональных данных на законодательном уровне, были предприняты еще в середине 90-х в Великобритании. Катализатором стало то, что стремительное развитие цифровых технологий существенно упростило процесс копирования и перемещения любой, в т.ч. персональной, информации как внутри страны, так и за ее пределы. Нормы, применимые, скажем, к бумажным архивам, которые десятилетиями существовали в неизменном виде, вдруг оказались малоприменимыми в условиях новой реальности. Понадобился глубокий внутренний сдвиг в вопросах отношения к информационной безопасности, и он произошел. Правда, не сразу. 

О том, как в Европе подходят к формированию политики работы с облаками, читайте в специальном материале

Вначале 2000-х собственным законодательством в сфере защиты персональных данных обзавелись и страны континентальной Европы. Но прошло еще немало лет, прежде чем в 2016 году был принят знаменитый Общий Регламент защиты персональных данных (General Data Protection Regulation), который начал применяться лишь с мая 2018 года. При этом, GDPR применяется ко всем компаниям, обрабатывающим персональные данные субъектов ЕС, вне зависимости от географического расположения (то есть распространяется даже на те организации, которые работают с указанной информацией за пределами Содружества). Штрафы за нарушение Регламента могут достигать 4% годового оборота компании. 

В 2018 году за нарушение GDPR очень крупные взыскания были наложены британским регулятором, на отельную сеть Marriott International (100 млн. фунтов стерлингов) и авиакомпанию British Airways (183 млн. фунтов стерлингов). В случае Marriott, нарушение оказалось очень серьезным и привело к раскрытию сотен миллионов гостевых записей по всему миру. Но источником проблемы стала недавно поглощенная компания, проверке безопасности которой не было уделено должного внимания. Правда, в ходе судебного разбирательства, в обоих случаях итоговая сумма штрафа, была уменьшена в разы — до 18,5 млн. и 20 млн. фунтов стерлингов для Marriott и British Airways, соответственно. Но и это немало. 

Кстати, потери бизнеса не ограничиваются штрафами за нарушение GDPR — об этом читайте в специальном отчете 

Из других крупных наказаний можно вспомнить также €50 млн. на которые во Франции оштрафовали Google, а рекордом на сегодняшний день является взыскание, наложенное Управлением по защите данных Люксембурга (CNPD) на Amazon — €746 млн. Конечно, такие гигантские штрафы назначаются крайне редко, но зато есть множество случаев, когда компании выплачивали тысячи и десятки тысяч евро — это уже, можно сказать, повседневность. За период с 2018 по 2021 годы в различные надзорные органы стран ЕС поступило около 300 тыс. обращений о нарушении Регламента и только в прошлом году по всем претензиям в данной сфере было наложено взысканий на €158,5 млн. 

Проблема соответствия

Казалось бы — GDPR нужный и важный документ, и не соблюдать его требования — себе дороже. Так откуда столько исков и такие штрафы? Неужели в Европе столько несознательных компаний? Главная причина в том, что соблюсти все нормы, предписанные GDPR довольно непросто. Документ охватывает широкий перечень аспектов, влияющих на защиту персональных, данных и при этом описывает многие важные требования достаточно размыто (в частности в Регламенте нет определения самого понятия «конфиденциальность»). То есть речь идет скорее не о практиках, а о ключевых принципах защиты данных. Соответственно, возможны трактовки отдельных положений в очень широких пределах, и понять насколько система защиты в той или иной компании соответствует GDPR без привлечения специального аудита бывает очень сложно. 

Еще одна большая проблема в том, что пока не существует никакого общепризнанного сертификата, подтверждающего соответствие GDPR. Отдельные аудиторские компании, например Deloitte, могут выдавать свидетельства от своего имени, но это не более чем частная инициатива, подкрепленная только авторитетом организации. Не говоря уже о том, что Регламент продолжает развиваться и изменяться в соответствии со своей основной целью, которая состоит в защите персональных данных граждан Евросоюза. 

О том, как еще можно защитить данные в облаке — узнайте из нашего вайтбука 

Опыт GDPR оказал существенное влияние на другие страны. Собственное законодательство в сфере защиты персональных данных есть сегодня в большинстве государств и за пределами Евросоюза. Например, в США это Калифорнийский закон о защите частной жизни потребителей (CCPA), у нас — Закон Украины «О защите персональных данных». Кроме того, в нашей стране ратифицирована Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108, а в статье 15 «Соглашения об ассоциации между Украиной и Европейским союзом» Украина взяла на себя обязательство «обеспечивать защиту персональных данных в соответствии с международными и европейскими стандартами».

Однако, признанного всеми, единого и согласованного международного законодательства в данной сфере, пока, не существует. Хотя, конечно, глобальная унификация подходов в вопросе защиты персональных данных очевидна. И здесь на помощь пришла организация, чей авторитет мало кто ставит под сомнение. 

Стандарт в помощь

Международная организация по стандартизации (ISO) не могла обойти вниманием вопрос защиты персональных данных, особенно, учитывая тот факт, что ею были разработаны общепризнанные стандарты в области информационной безопасности. В итоге, под руководством ISO и при содействии Международной электротехнической комиссии (МЭК) был разработан новый стандарт — ISO/IEC 27701:2019 «Методы обеспечения безопасности — Дополнение к ISO/IEC 27001 и ISO/IEC 27002 по защите конфиденциальной информации. Требования и руководящие принципы» (ISO/IEC 27701:2019 «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Requirements and guidelines»). Документ, появившийся в августе 2019 года, стал первым и пока единственным глобальным стандартом конфиденциальности, который, фактически, признается всеми существующими странами (членами ISO сегодня являются 164 государства). 

Как следует из названия, ISO/IEC 27701:2019 представляет собой расширение признанных стандартов в сфере информационной безопасности ISO/IEC 27001 и ISO/ IEC27002. В ISO/IEC 27701:2019 дополнены и расширены соответствующие разделы, касающиеся управления информацией о конфиденциальности. Например, в главах 7. Support и 8. Operation определены дополнительные требования к Контроллеру и Процессору. 

Контроллер — это субъект, который несет ответственность за персональные данные, а понятием Процессор обозначается организация (одна или несколько), непосредственно обрабатывающая такую информацию. При этом Процессором вполне может выступать сторонняя компания (например, оператор публичного облака), чья информационная система отвечает определенным критериям безопасности. 

Также в стандарте указаны и определены фундаментальные понятия и принципы PISM (Privacy Information Management System). В частности, указано, что для персональной информации должны обеспечиваться такие критерии как конфиденциальность (данные не раскрываются лицам не уполномоченным на их получение), целостность (информация сохраняет свою точность и полноту) и доступность (данные можно получить в любой момент времени по запросу для авторизованных пользователей). В целом PIMS, по сути, является расширенным вариантом ISMS (которая у нас больше известна как СУИБ, или система управления информационной безопасностью), дополненным рекомендациями в сфере обеспечения приватности (термин privacy сложно адекватно перевести). 

Новый стандарт охватывает почти полный спектр вопросов, которые, так или иначе, касаются защиты персональных данных. Рассматриваются, например, правовые и организационные вопросы, тема информационных технологий и кибербезопасности, управление данными и информацией. Не обойдены вниманием даже вопросы штатного расписания. Скажем, для соответствия стандарту в компании должна быть предусмотрена должность директора по защите данных. 

Все требования, изложенные в ISO/IEC 27701, являются универсальными и применимы для любых компаний и организаций, вне зависимости от масштаба и сферы их деятельности. При этом стандарт во многом основан на требованиях GDPR и даже содержит специальное приложение — Annex D (Mapping to the General Data Protection Regulation), где по пунктам приведено соответствие тех или иных положений ISO/IEC 27701 европейскому Регламенту. 

Но основное достоинство ISO/IEC 27701:2019 в том, что с его помощью любая организация может разработать и реализовать у себя эффективную систему управления персональными данными на основе международно-признанного подхода. Главный вопрос здесь в том, как понять, что ваша организация соответствует всем критериям стандарта, и не упустили ли вы чего-то важного? 

Сертификат ISO 27701:2019 как фактор надежности

В отличие от GDPR, сертификаты на соответствие ISO 27701:2019 в природе существуют. Но получить их непросто. Для этого необходимо выдержать всесторонний аудит у одной из компаний, аккредитованных ISO. Первым критерием для успешного прохождения проверки является наличие актуального сертификата ISO/IEC 27001. Далее аудиторы проводят тщательный анализ того, как устроен процесс работы с персональными данными в организации, выявляя различные недостатки, недоработки и выдавая рекомендации по их устранению. После учета всех замечаний происходит предварительная оценка системы управления персональной информацией, а затем, если недочеты исправлены и все функционирует как надо, выдается сертификат соответствия стандарту ISO 27701:2019, который требуется ежегодно подтверждать, проходя новые аудиты. В целом процесс сертификации длительный, трудоемкий и недешевый (к примеру, только текст стандарта на сайте ISO стоит примерно $200). 

Тем не менее, тысячи организаций во всем мире получают данный документ, несмотря ни на какие сложности. Дело в том, что без сертификата ни сама компания, ни ее партнеры и клиенты не могут быть до конца уверены в том, что персональные данные хранятся и обрабатываются надлежащим образом — в соответствии с лучшими мировыми практиками, включая GDPR и др. Гарантирует ли это защиту от утечки данных? Вряд ли. Ведь даже самые надежные системы кибербезопасности порой оказываются бессильны. Но, в случае инцидента, наличие всемирно признанного сертификата является официальным подтверждением того, что компания предприняла исчерпывающие действия обеспечения защиты персональных данных. И главное, при работе в соответствии с ISO 27701:2019 угрозы для чувствительной информации резко снижаются (для этого, собственно, и разрабатывался документ), поскольку на предприятии создаются надежные механизмы защиты конфиденциальности и минимизации риска утечки персональных данных. 

Поэтому в мире спрос на сертификацию ISO 27701:2019 стабильно растет. В нашей стране первой и пока единственной организацией, которая полностью прошла независимый аудит и получила соответствующий сертификат, выданный 24 декабря 2021 года, аккредитованной организацией Bureau Veritas, стала компания De Novo. Документ подтверждает, в частности, полное соответствие стандарту ISO 27701:2019 всех процессов и регламентов, связанных с обработкой и хранением персональных данных в облаке оператора. 

Кроме ISO 27701: 2019, De Novo обладает и другими уникальными сертификатами 

Теперь компаниям, желающим работать в соответствии с лучшими мировыми практиками в области PISM и ISMS, нет необходимости самостоятельно проходить тернистый и длительный путь независимого аудита — персональные данные можно размещать и обрабатывать в облаке оператора. Кстати, наличием только лишь ISO 27701:2019 компания не ограничилась — у De Novo есть полный спектр всех необходимых национальных разрешений и аттестатов в области информационной безопасности, включая КСЗИ и ОТР. Эти документы подтверждают выполнение требований украинских стандартов в сфере защиты информации. Таким образом, облако De Novo соответствует всем необходимым стандартам международных, европейских и национальных требований в области ИБ. Кроме того, у оператора есть целый ряд специализированных внутренних регламентов, основанных на опыте лучших мировых практик, обеспечивающих дополнительную защиту персональных данных, и другой ценной информации.