Русская редакция британского стандарта BS 10012:2009 «Защита данных — Спецификация системы управления персональными данными» — первый в мире стандарт на тему ПДн. Хотя за годы применение российского законодательства в области ПДн, начиная с 2007 года, у российских специалистов сформировалось собственное представление об обработке и защите ПДн, основанное на наших реалиях, данный стандарт может служить хорошим подспорьем для российских операторов ПДн, если рассматривать его как набор полезных рекомендаций, согласованных с международными стандартами и позволяющих залатать многочисленные дыры в нашей нормативной базе.

Британский стандарт BS 10012 стал первым в мире стандартом на систему управления персональными данными (СУПД или СУПДн или СМПДн; у нас это называется ИСПДн). Он определяет требования к СУПД, служит основой, кроме всего прочего, обеспечения и поддержания соответствия британскому Акту о Защите (Персональных) Данных (Data Protection Act 1998) и европейской директиве (о защите данных) 1995 г. (Directive 95/46/EC).

BS 10012 содержит следующие полезные вещи, отсутствующие в российской нормативной базе, с одной стороны, и необходимые для обеспечения соответствия действующему законодательству в области ПДн, с другой стороны:

  1. Стандарт определяет общие требования к СУПД (ИСПДн) как к системе менеджмента, опираясь на международные стандарты и модель Деминга. Реализация этих требований позволяет внедрять и сопровождать ИСПДн ни как отдельную не с чем не связанную систему, а как составную часть системы менеджмента организации, используя все имеющиеся в организации организационные и технические механизмы контроля.
  2. Стандарт определяет требования к содержанию корпоративной Политики в области управления персональными данными (у нас это обычно называют Положением об обработке и защите ПДн или просто Положением о ПДн). Российская нормативная база этих требований к самому важному для ПДн документу не определяет и, поэтому, каждый лепит что хочет, скачивая из Интернет или переписывая друг у дружки.
  3. Стандарт определяет функциональные обязанности лица, Ответственного за обработку ПДн. В руководящих документах наших регуляторов на эту тему ничего не говориться.
  4. Стандарт определяет категории ПДн, с которыми связан повышенный риск для субъекта. Помимо специальных категорий ПДн, определяемых законом, сюда относятся: информация о банковских счетах и прочая финансовая информация; национальные идентификаторы (номера страхования и т.п.);  данные о социально уязвимых группах населения, включая детей; подробные профили физических лиц и конфиденциальные переговоры.
  5. Стандарт определяет методику оценки риска нарушения безопасности персональной информации, путем отсылки к «Руководству по оценке воздействия, связанного с нарушением личной тайны», разработанного Британским информационным комиссариатом (ICO).
  6. Стандарт содержит руководство по обеспечению выполнения каждого из 8 законодательно закрепленных принципов обработки ПДн (добросовестность и законность обработки; сбор и обработка только в соответствии с установленными целями; адекватность, соответствие целям обработки и неизбыточность; достоверность и актуальность; хранение не дольше установленного времени; соблюдение прав субъектов ПДн, включая право на получение доступа к личной информации; защищенность ПДн; трансграничная передача ПДн).
  7. Стандарт определяет требования по защите ПДн в рамках существующих механизмов контроля СУИБ в соответствии с ISO 27001. В самом Стандарте непосредственно описываются только некоторые механизмы контроля, включающие специфику ПДн, а именно: управление доступом, оценка безопасности и правление инцидентами.
  8. Стандарт определяет требования по выбору и контролю субподрядчиков (обработчиков ПДн).

Остальное содержание Стандарта — это проекция цикла Деминга, описанного в ISO 27001 и других стандартах систем менеджмента на СУПД.

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x