Русская редакция британского стандарта BS 10012:2009 “Защита данных – Спецификация системы управления персональными данными” – первый в мире стандарт на тему ПДн. Хотя за годы применение российского законодательства в области ПДн, начиная с 2007 года, у российских специалистов сформировалось собственное представление об обработке и защите ПДн, основанное на наших реалиях, данный стандарт может служить хорошим подспорьем для российских операторов ПДн, если рассматривать его как набор полезных рекомендаций, согласованных с международными стандартами и позволяющих залатать многочисленные дыры в нашей нормативной базе.
Британский стандарт BS 10012 стал первым в мире стандартом на систему управления персональными данными (СУПД или СУПДн или СМПДн; у нас это называется ИСПДн). Он определяет требования к СУПД, служит основой, кроме всего прочего, обеспечения и поддержания соответствия британскому Акту о Защите (Персональных) Данных (Data Protection Act 1998) и европейской директиве (о защите данных) 1995 г. (Directive 95/46/EC).
BS 10012 содержит следующие полезные вещи, отсутствующие в российской нормативной базе, с одной стороны, и необходимые для обеспечения соответствия действующему законодательству в области ПДн, с другой стороны:
- Стандарт определяет общие требования к СУПД (ИСПДн) как к системе менеджмента, опираясь на международные стандарты и модель Деминга. Реализация этих требований позволяет внедрять и сопровождать ИСПДн ни как отдельную не с чем не связанную систему, а как составную часть системы менеджмента организации, используя все имеющиеся в организации организационные и технические механизмы контроля.
- Стандарт определяет требования к содержанию корпоративной Политики в области управления персональными данными (у нас это обычно называют Положением об обработке и защите ПДн или просто Положением о ПДн). Российская нормативная база этих требований к самому важному для ПДн документу не определяет и, поэтому, каждый лепит что хочет, скачивая из Интернет или переписывая друг у дружки.
- Стандарт определяет функциональные обязанности лица, Ответственного за обработку ПДн. В руководящих документах наших регуляторов на эту тему ничего не говориться.
- Стандарт определяет категории ПДн, с которыми связан повышенный риск для субъекта. Помимо специальных категорий ПДн, определяемых законом, сюда относятся: информация о банковских счетах и прочая финансовая информация; национальные идентификаторы (номера страхования и т.п.); данные о социально уязвимых группах населения, включая детей; подробные профили физических лиц и конфиденциальные переговоры.
- Стандарт определяет методику оценки риска нарушения безопасности персональной информации, путем отсылки к “Руководству по оценке воздействия, связанного с нарушением личной тайны”, разработанного Британским информационным комиссариатом (ICO).
- Стандарт содержит руководство по обеспечению выполнения каждого из 8 законодательно закрепленных принципов обработки ПДн (добросовестность и законность обработки; сбор и обработка только в соответствии с установленными целями; адекватность, соответствие целям обработки и неизбыточность; достоверность и актуальность; хранение не дольше установленного времени; соблюдение прав субъектов ПДн, включая право на получение доступа к личной информации; защищенность ПДн; трансграничная передача ПДн).
- Стандарт определяет требования по защите ПДн в рамках существующих механизмов контроля СУИБ в соответствии с ISO 27001. В самом Стандарте непосредственно описываются только некоторые механизмы контроля, включающие специфику ПДн, а именно: управление доступом, оценка безопасности и правление инцидентами.
- Стандарт определяет требования по выбору и контролю субподрядчиков (обработчиков ПДн).
Остальное содержание Стандарта – это проекция цикла Деминга, описанного в ISO 27001 и других стандартах систем менеджмента на СУПД.