Защита персональных данных: пригодится ли нам британский опыт?
2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными. Возможно ли использование нового стандарта в России? Поможет ли он операторам персональных данных соответствовать требованиям российского законодательства?Согласно DPA, любая организация, обрабатывающая персональные данные, является оператором таких данных и должна регистрировать свою деятельность в уполномоченном органе, который, в свою очередь, контролирует исполнение организацией восьми принципов обработки личных данных (будут приведены далее). Статьей 5 закона 152 определены 5 принципов обработки таких сведений, хотя в тексте закона, так или иначе, присутствуют все 8 принципов DPA.
При этом DPA в принципе не содержит и не ссылается на какие-либо инфраструктурные или технические требования к обработке данных, реализовав которые, организация-контроллер обеспечила бы выполнение принципов обработки личных сведений. Именно поэтому каждый контроллер самостоятельно разрабатывал собственные нормативные документы, описывавшие требования к системе управления персональными данными. Приводило это к многочисленным "дырам" в системе безопасности, которые порождали серьезные утечки и, как следствие, судебные иски, разбирательства и штрафы.
Поэтому перед BSI Group стояла задача устранить разрыв в законодательстве Соединенного Королевства и предложить операторам персональных данных требования для построения эффективной системы управления ими, основанные на лучших практиках стандарта ISO 27001 и отвечающие нормам DPA.
Очевидно, британские эксперты по защите ПДн озабочены теми же вопросами, что и отечественные, а стандарт для РФ не совсем подходит, несмотря на сходство в законодательстве. Попробуем разобраться, как и в какой мере отечественные операторы персональных данных могут использовать для себя этот документ.
Мы связали 8 принципов DPA с требованиями стандарта BS 10012:2009 и закона 152-ФЗ. Результат приведен в таблице.
Как видно, требования документов вполне совместимы, и при некоторых оговорках стандарт BS 10012:2009, в принципе, может применяться и российскими операторами ПДн для реализации организационных мер по обработке персональных данных, создания СУПД и их последующей интеграции в имеющиеся СУИБ. Однако BS 10012:2009 не перекрывает всех требований законодательства РФ к организации процесса обработки личной информации и совсем не затрагивает техническую защиту персональных данных.
Недостатки стандарта
Выпуск стандарта BS10012, безусловно, является важным шагом на пути к международной стандартизации обработки персональных данных, но первая версия этого документа еще далека от совершенства и уж тем более не является панацеей. С этим мнением согласен и член комитета BSI, эксперт по защите личных данных Тоби Стивенс, который в своем блоге пишет: "Я сомневаюсь, что этот документ получит широкую поддержку и уж тем более будет массово внедряться в организациях. Любой стандарт должен пройти путь от создания до созревания – и для этого данный документ должен был быть издан. Аналогичная ситуация была и со стандартом BS7799, который впоследствии стал ISO 27001: первая его версия вызвала много критики и нареканий, и широкое принятие и распространение этот стандарт получил лишь после нескольких итераций".
Самый главный недостаток примененного в BS 10012 подхода заключается в том, что стандарт не предусматривает процедуру оценки применимости требований на основе анализа рисков, и поэтому его требования являются жестко регламентирующими. Смысл пункта 4.4 стандарта "Оценка рисков" сводится лишь к наличию этой процедуры у организации в принципе, и результаты анализа рисков фактически не оказывают никакого влияния на требования, предъявляемые к СУПД. Тоби Стивенс также отмечает этот недостаток и пишет следующее: "Мы, вероятно, будем получать очень много жалоб на то, что в стандарте не применяются методы оценки воздействия на частную жизнь и вообще какая-либо оценка рисков в принципе, и в результате требования стандарта являются завышенными и трудно реализуемыми для большинства организаций. В следующие версии стандарта обязательно должны быть включены процедуры оценки рисков, а требования должны быть пропорциональными рискам и масштабируемыми для организаций любого уровня".
С этим мнением трудно не согласиться, тем более что аналогичные недостатки свойственны и всей российской нормативно-правовой базе в области защиты персональных данных.
Что ж, остается ждать, надеяться и верить в то, что со временем появится новый документ, и может быть тогда отечественные законодатели и регуляторы увидят здравый смысл предложенного BSI подхода к построению систем управления информационной безопасностью вообще и систем управления персональными данными в частности. Пока же применение российскими операторами личных сведений стандарта BS 10012 в полной мере как самостоятельного документа не имеет смысла.