20.10.2011

Европейские стандарты по ПДн

Мне казалось, что я знаю почти все нормативные документы и особенно стандарты в области персональных данных. Но оказалось это не так. Как говорится, слона-то я и не заметил. Я писал про законы и стандарты в области ПДн США. Я писал про аналогичные документы АТЭС и ОЭСР. Я разбирал, что сделано в России. Я смотрел, что делает сейчас ISO. Я анализировал документы различных европейских стран, но... Я совершенно упустил из виду, что Европа - это не только самостоятельные страны, но и Евросоюз, как единое целое. И в Евросюзе есть такая организация, как CEN - Европейский комитет по стандартизации (аналог нашего Ростехрегулирования, BSI, NIST и других аналогичных организаций по стандартизации). И эта организация одной из первых разработала стандарты по персональным данным и их защите.

Собственно начал CEN свою работу в части ПДн не совсем стандартно. Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций. Идея CEN, зафиксированная в первых документах, звучит следующим образом: утечки персданных и иные нарушения прав субъектов могут разрешить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством. При этом обработка ПДн становится все сложнее, а обеспечение доверия становится важнейшей задачей при взаимодействии указанных выше сторон. Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом. Ну а дальше эта логика отражается в разработанных документах:

  • CWA 15262-2005. Inventory of Data Protection Auditing Practices. Документ описывает, что необходимо предоставить для эффективного и адекватного аудита ПДн в организации. Из особо интересного в этом документе я обнаружил список ссылок на готовые опросники, чеклисты и т.п. материалы всех стран Евросоюза и ряда других государств.
  • CWA 15263-2005. Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization. Здесь все понятно из названия.
  • CWA 15292-2005. Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide). Это пример договора между оператором и обработчиком ПДн.
  • CWA 15499-1-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part I: Baseline Framework. Это базовый документ, в основу которого легли материалы PwC, описывает цикл PDCA применительно к теме персональных данных.
  • CWA 15499-2-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part II: Checklists, questionnaires and templates for users of the framework. Вторая часть стандарта имеет более практическое значение. Это различные чеклисты и опросники, которые облегчают прохождение аудита. Если бы наши регуляторы подготовили бы что-нибудь аналогичные, уже не зря прожирали бы деньги налогоплательщиков.
  • CWA 16111-2010. Voluntary Technology Dialogue Framework (VTDF). Представить, что такой документ родится в России сложно. В его преамбуле написано примерно следующее. Требования по ПДн есть и они важны. Бизнесу может не хватать осведомленности в вопросах защиты прав субъектов ПДн и самих ПДн. Регуляторам может не хватать знаний о новых технологиях и потребностях бизнеса. Им нужен диалог и некоторые правила для того, чтобы диалог был продуктивным. VTDF и обеспечивает такие правила.
  • CWA 16112-2010. Self-assessment framework for managers. Этот документ разбит на две части. В первой описывает процесс самооценки процессов обработки ПДн со стороны руководителей подразделений и компаний. Вторая описывает ответственность менеджеров за процессы обработки ПДн, их роли и форматы участия в данных процессах и т.д.
  • CWA 16113-2010. Personal Data Protection Good Practices. Содержание этого документа тоже понятно из названия - это лучшие практики по обработке и защите ПДн. Интересно, что это, пожалуй, один из немногих стандартов по защите, где упоминаются DLP-решения.
Также к этим документам добавляется несколько Excel'овских форм, облегчающих решение описанных выше вопросов. Например, опросник для самооценки состояния защиты ПДн в организации. Сильно облегчает жизнь и не дает делать шагов в сторону на пути оптимального приведения себя в соответствие с требованиям Евроконвенции по защите прав субъектов ПДн.

8 коммент.:

Александр комментирует...

Вопрос конечно риторический, но спрашивается, что мешает нашим законодателям пойти по накатанной дорожке и воспользовавшись опытом европы для создания удобных, рабочих документов. А не писать какие-то общие мантры, для толкования которых появляются группы "вымогателей", которые пугают бизнес страшными регуляторами..

Сергей комментирует...

"утечки персданных и иные нарушения прав субъектов могут разрушить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством".
Про доверие наших граждан нашему государству скромно помолчу, а вот первое и второе - вопрос доверия = адекватности защиты должен решаться в рамках соглашений субъектов, а государство должно регулировать меру ответственности за его утрату=разглашение. Аудит - это оценка соответствия чему-либо. А вот это самое "чему-либо" у нас, к сожалению, мягко скажем не то.

Алексей Волков комментирует...

"Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций... Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом."

Получается, что требования-то есть - они же принципы ;)

VoronB комментирует...

Алексей, странное откровение. Часть из этих документов обсуждалась (точнее упоминалась) на прошедшем недавно форуме "ИТ-стандартизация 2011", участником коего были и Вы.

Сергею - "Аудит - это оценка соответствия чему-либо" - Сдается мне, что АУДИТ, это не совсем ОЦЕНКА СООТВЕТСТВИЯ, а скорее ФИКСАЦИЯ состояния чего-либо, своего рода "фотография".
"А вот это самое "чему-либо" ...." - это уже другой вопрос, тут я согласен.

tiger-66 комментирует...

To Александр
Давно уже думал об этом)
Мой вывод - имхо, никто не ставит себе как цель "создания удобных, рабочих документов" (кроме группы энтузиастов от ИБ;-)).
Ну и для этого вам обоснуют, что угодно. Читал как-то мнение суперэкспертов, про то, что и почему нам не подходит в определениях евроконвенции и евродериктивы по Пдн.
В двух словах, мы пойдем другим путем, как обычно. Вот и зашли туда, где сейчас находимся (.
Но, безусловно, масса людей, (которых вы назвали вымогатели:-)) довольна положением дел и считает, что мы далеко продвинулись в теме Пдн.

Алексей Лукацкий комментирует...

Алексей, принципы есть. Но они в Конвенции ;-)

Алексей Лукацкий комментирует...

VoronB: Для меня это было откровение. Я после этой конфы и стал копать. И раньше эти стандарты почти нигде и никогда не упоминались у нас.

Алексей Волков комментирует...

А учитывая их формулировки в Конвенции можно сказать, что это то еще "дышло"...