Управление информационной безопасностью по стандартам семейства ISO

Управление информационной безопасностью по стандартам семейства ISO

Многие компании, выходя на Европейский рынок, сталкиваются с необходимостью соблюдения правил обращения с персональными данными, введенными Директивой ЕС 2016/679 Общий регламент защиты персональных данных (далее — GDPR, регламент). В этой публикации специалисты компании «Сервис Сети», являющегося системным интегратором, в том числе и в сфере внедрения IP-телефонии (см. подробнее svcnet.ru/services/ip-telephony), расскажут об особенностях соблюдения мер безопасности при работе с персональными данными клиентов при выходе субъектов хозяйствования на внешнеэкономическую деятельность.

Владельцы таких компаний уже научены горьким опытом на нашем постсоветском пространстве, потому что «без бумажки ты букашка». Прежде всего, такие люди очень часто интересуются, можно ли получить какой-то сертификат о своем соответствии указанному регламенту.

Спрос на подобный «бумажку» настолько высок, что рынок уже сформировал свое предложение. Погуглив, можно найти множество консалтинговых компаний, которые готовы провести «сертификацию» и засвидетельствовать, что вы ввели GDPR на самом высоком уровне. Однако это ложный путь.

Регламент GDPR не является каким-то международным стандартом, который требовал бы сертификации или какого-либо другого подтверждения. Внедрение политик обращения с персональными данными подтверждается лишь вашими собственными усилиями и добросовестностью. Однако, если игнорировать этот регламент, то можно получить прямо противоположное — санкции.

Что же делать, если в вашей компании все же нужно как-то подтвердить, что персональные данные здесь заботятся, а также что в компании заботятся не только о персональных данных, но и в целом об информационной безопасности. Подобная потребность действительно может возникать у бизнеса. Например, если международный клиент предлагает проект с высокой степенью конфиденциальности, или если вы ведете переговоры с потенциальным инвестором, который очень строго относится к информационной безопасности. Вашим решением может быть получение сертификата по ISO/IEC семейства 27 000 29 100.

Что такое ISO 27 001

Прежде всего, в статье для юристов нужно начать с вопроса о том, что такое ISO. International Organization for Standardization (ISO) — известная международная организация, основанная национальными организациями по стандартизации, задачей которой является подготовка стандартов и технических регламентов в той или иной деятельности.

С юридической позиции, вся эта механика работает по ФЗ «О стандартизации», ст. 15 Арбитражного кодекса, а также на основании положений международных нормативных актов ЕС, ратифицированных у нас. Рядовому гражданину, пожалуй, наиболее знакомым стандартом будет ISO 9001 «Управление качеством», изображение которого мы часто можем видеть на упаковках пищевых продуктов. Однако не следует думать, что этот стандарт исключительно для сферы питания. В нашей стране уже есть юридические фирмы, которые прошли сертификацию и работают по этому стандарту, постоянно улучшая качество своих услуг.

Международными стандартами в области информационной безопасности является семейство стандартов ISO 27 000, главный из которых ISO 27 001 «Управление информационной безопасностью». Стандарт устанавливает, каким образом в компании должна работать Система управления информационной безопасностью (СУИБ), а также заботится ли компания о сохранности чувствительных данных. Последний стандарт официально имеет название ISO/IEC 27 001:2013, но для удобства назовем его коротко ISO 27 001, или стандарт. В нашей стране этому стандарту соответствует ГОСТ «Методы защиты системы управления информационной безопасностью», 2016 г.

ISO 27 001 - не только о персональных данных

Защита персональных данных в компании можно считать лишь частью стандарта ISO 27 001. Стандарт намного шире и предоставляет руководящие указания относительно того, как в компании себя вести с тремя главными составляющими информационной безопасности: конфиденциальность, целостность и доступность.

Обустройство внутренних бизнес-процессов компании по принципам стандарта ISO 27 001 позволяет эффективно оценивать риски и работать с нарушениями безопасности не только в сфере персональных данных, но и с такими категориями конфиденциальной информации как коммерческая тайна, промышленная тайна, банковская или адвокатская тайна. При этом положение о соблюдении регламента EU GDPR легко включаются как раздел в Политику информационной безопасности и Заявление о применении.

Кому нужен ISO 27 001

Очевидно, что стандарт ISO 27 001 подходит компаниям, которые работают с большим объемом данных и ценят безопасность информации, которой владеют. Первыми в этом списке являются дата-центры, процессинговые и другие операторы, которые обрабатывают данные своих клиентов. Также не будет лишним перейти на этот стандарт банкам, страховым компаниям, мобильным и другим телекоммуникационным операторам. Остальным категориям бизнеса этот стандарт необходим лишь в том случае, если они действительно ценят свою информационную безопасность, заботятся о сохранности данных (в том числе своих клиентов) и желают построить надежную Систему управления информационной безопасностью.

В то же время не нужно вводить себя в заблуждение. Получение сертификата по стандарту ISO 27 001 не означает, что в вашей компании не произойдет утечка данных, или что компьютерную сеть вашего предприятия не сломают. Однако, если такой инцидент случится, то вы можете быть уверены, что ваша команда, вовлеченная в СУИБ, должным образом и своевременно отреагирует. Также ошибкой будет получение сертификата ISO 27 001 за любую цену. Главное — не получить сертификат, а работать по принципам, предусмотренным стандартом. Сертификат — это лишь временное удостоверения соответствия, можно и без него работать по стандарту ISO 27 001.

Хотя стандарт ISO 27 001 является одним из самых популярных в мире, в нашей стране прошли сертификацию уже более 50 компаний (данные за 2018 г.). Это очень мало, ведь на глобальном уровне по принципам стандарта работают даже международные юридические фирмы (например, White&Case) или компании Большой Четверки.

Преимущества ISO 27 001 для компании:

• уверенность в том, что все бизнес-процессы внутри компании работают на сохранение конфиденциальной информации, а если произойдет инцидент, то персонал знает, как отреагировать;
• клиенты вашей компании могут безопасно передавать вам конфиденциальную информацию и персональные данные, ведь они знают, что их коммерческую информацию не читает уборщица вашего офиса, а визитки их сотрудников не станут источником для глобальных почтовых рассылок;
• если вы перешли на стандарт ISO 27 001, вероятнее всего, вы имеете адекватное компьютерное оборудование, а потому риск взлома вашей сети является минимальным;
• научиться оценивать риски (как того требует ISO 27 001) — это уже первый шаг к внедрению полноценной системы внутреннего комплаенса;
• вопрос имиджа: разместить на своем веб-ресурсе шильдик ISO 27 001 — это уже свидетельствование высокого качества ваших услуг и положительный сигнал для международных партнеров, а, следовательно, более серьезных и высоко маржинальных проектов.

Полностью ли соответствует ISO 27 001 положению EU GDPR

ISO 27 001 является отличным рамочным положением для введения регламента EU GDPR. В частности, требованиям GDPR соответствуют такие положения ISO 27 001:

• Information Security Policy — один из главных документов ISO 27 001 с легкостью может включать Data Protection Policy — главный документ GDPR;
• Risk Assessment — принципы оценки рисков по стандарту ISO одновременно могут отображать такое ключевое положение GDPR как Data Protection Impact Assessments (DPIA);
• Compliance — стандарт требует от компаний указывать, каким регуляторным требованиям отвечают его положения (именно здесь можно подтвердить свое соответствие Европейскому регламенту);
• Breach notification — уведомления о нарушении в течение 72 часов, что является составной GDPR, закладывается в положение об управлении инцидентами по стандарту;
• Privacy by Design — это требование регламента GDPR является непременной составляющей международного стандарта.

Таким образом, внедрение стандарта ISO 27 001 покрывает большинство требований регламента GDPR. В то же время некоторые обязательные требования EU GDPR трудно отразить во внутренних политиках. Например, положения разделов VI‑VIII о надзорный орган, договор между контролером и оператором персональных данных (Data Processing Agreement), положение о компенсации владельцу персональных данных за нарушение.

Альтернатива — ISO 29 100 Система управления информационной безопасностью — это, очевидно, очень полезно, но существует международный стандарт, разработанный специально для работы с персональными данными в сфере информатизации и коммуникации. Это ISO/IEC 29 100 «Рамочные положения о конфиденциальности», а также вспомогательные стандарты (например, ISO/IEC 29 151 «Правила работы с защитой персональной идентификационной информации»).

Стандарт ISO 29 100 тесно связан со стандартами серии ISO/IEC 27 000, потому что руководящие принципы построены именно на этом стандарте, включая его применение к требованиям защиты приватности, а также прав и свобод физических лиц, в результате обработки персональных данных.

Преимущества — терминология ISO 29 100 во многом соответствует терминологии EU GDPR. Недостатки — этот стандарт действительно разработан для компаний в сфере информатизации, поэтому внедрять его в юридической фирме не очень целесообразно.

Новый стандарт — ISO/IEC 27 701

Понимая, что некоторым компаниям достаточно непросто внедрять мощный стандарт 27 001, когда им требуется лишь защита персональных данных, ISO пошла на встречу и разработала совершенно новый стандарт из семейства 27 000 — ISO 27 701. Стандарт был опубликован недавно — в августе 2019 г.

ISO 27 701 базируется на общих мероприятиях контроля, предусмотренных стандартами ISO 27 001, ISO 27 002, 29 ISO 100, соответствует EU GDPR и полностью посвященный управлению персональными данными на предприятиях. Сертификация по последним стандартам все еще непростой вопрос, поскольку в нашей стране пока нет аккредитованных субъектов сертификации. Однако процесс уже запущен и скоро такая услуга будет доступна нашим компаниям.

Как получить сертификат

Прохождение сертификации по тем или иным стандартом ISO невозможно без предварительного введения всех необходимых политик и бизнес-процессов, а также прохождения обучения соответствующими работниками компании. После этого может быть заказан аудит в соответствующего аккредитованного субъекта сертификации, который подтвердит ваше полное соответствие желаемому стандарту.

Однако не стоит расслабляться. Через год вам нужно будет подтвердить, что все ваши наработки не были «для галочки» и продолжают существовать по стандарту. Если у вас возникли трудности с самостоятельным введением стандарта, на рынке присутствует большое количество консультантов, которые помогут вам с подготовкой всех внутренних политик и методов оценки рисков. Если ваша компания заботится об информационной безопасности и защите персональных данных, сертификация ISO стоит затраченных на нее усилий.