Чи можна GDPR замінити на ISO 27001 та ISO 27701?

Про що мова у статті:

1. Коротко про GDPR, ISO-стандарти та різницю між ISO 27001 i 27701
2. Які переваги та недоліки цих програм
3. Як поєднати ці програми в один комплаєнс-проєкт

Коли компанії досягають зрілості, вони задумуються про врегулювання процесів обробки даних та інформації. Менеджери та лідери команд переглядають всі створені документи, бази даних, інструменти та знання – і починають їх документувати та перетворювати в чіткі та зрозумілі інструкції. Цей процес завжди викликає безліч питань, з яких основними завжди є два: 

Цей процес викликає низку запитань:

1. З чого почати?
2. Як продемонструвати іншим, що все зроблено правильно?

Саме на цьому етапі компанії звертають увагу на GDPR та стандарти ISO/IEC. Проте звертаються вони до них з різних причин.

Коротко про GDPR

GDPR (General Data Protection Regulation) – регламент (тобто закон особливого виду) ЄС, який містить правила щодо обробки персональних даних резидентів Європейського Союзу (тобто 27 країн, що входять в склад ЄС). Неважливо, де зареєстрована компанія або відкритий її офіс – якщо вона продає продукт або надає послуги у ЄС, то компанія мусить виконувати вимоги GDPR.

Найважливіша особливість цього регламенту – він містить вимоги до дизайну систем, залучених в обробку. Іншими словами, ваш софт або інфраструктура повинні мати функції, що дозволяють видаляти дані, обмежувати їхню обробку, писати і переглядати метадані про накопичені дані, а також сповіщати про витоки даних.

Інша ключова вимога – вести облік даних та документувати його обробку. Саме документація буде першим кроком для підтвердження, що компанія відповідає GDPR, оскільки не існує загальновизнаних сертифікацій, які б могли захистити компанію у випадку скарги або медійного скандалу про порушення прав субʼєктів даних або витік даних з компанії.

Окрім того, цей регламент слугує модельним законом для багатьох інших країн, які прагнуть врегулювати обробку персональних даних. Наприклад, схожі закони існують у Великобританії, Швейцарії, Бразилії, Китаї та навіть у штаті Каліфорнія, США. Важливо зазначити, що GDPR має силу закону і повинен виконуватися всіма – державами, компаніями, некомерційними організаціями та просто фізичними особами.

Детальніше про GDPR ви можете дізнатися з наших інших статей:

• Як виглядає GDPR compliance?
• GDPR compliance – вимога клієнтів з ЄС. Як продемонструвати?
• Чому варто провести GDPR перевірку Вашого веб-сайту просто зараз?

Коротко про ISO/IEC 

Стандарти ISO/IEC розробляються некомерційною недержавною організацією International Organization for Standardization (ISO). Організація працює з 1947 року і випустила більше 25 тисяч стандартів, що охоплюють багато процесів – від виробництва до штучного інтелекту. 

Стандарти ISO не мають юридичної сили per se, і виконувати їхні вимоги необовʼязково. Але вони можуть слугувати доказом виконання вимог якогось закону (наприклад, якщо якийсь акт регулювання вказує, що компанії мають виконувати такий-то стандарт) або просто зразкової організації процесів у компанії. 

Перевірку на відповідність стандартам ISO виконують спеціальні акредитовані організації на платній основі. Сертифікація ISO зазвичай дійсна три роки, і кожен рік організація повинна робити кроки для підтримки дійсності свого сертифікату. Компанія, яка пройшла цю незалежну сертифікацію, може розміщувати у себе на сайті та в рекламних матеріалах лого ISO та повну назву стандарту. 

Важливо: одержання сертифікату ISO також не гарантує імунітету організації у випадку порушень нею чиїхось прав чи свобод і не захистить її від судового процесу. Часто це більше інструмент підтримки дисципліни процесів у компанії та маркетинговий або регуляторний інструмент для роботи у певних галузях.

Нарешті, про ISO/IEC 27001 & ISO/IEC 27701

Стандарт безпеки

ISO/IEC 27001 є найвідомішим у світі стандартом для систем управління інформаційною безпекою (ISMS або СУІБ). Він визначає вимоги, яким має відповідати СУІБ в організації. Стандарт може впроваджуватися компаніями будь-якого розміру та з усіх секторів економіки, та містить вказівки щодо створення, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою.

Переваги впровадження ISO/IEC 27001 включають в себе:

• облік, розуміння, передбачення та попередження ризиків інформаційній безпеці – витокам даних, викраденню інформації, іншим небезпекам; 
• інструменти для виявлення інцидентів у безпеці та роботи з ними; 
• захист активів компанії від зовнішніх та внутрішніх ризиків; 
• створення системи та процесів для захисту інформації – розподіл ролей, налаштування систем та створення процедур для перевірки, що дані захищені; 
• навчання персоналу та підрядників безпечної роботи з активами компанії. 

ISO 27001 доповнюється іншими стандартами сімʼї стандартів ISO/IEC 27*. Недоліками фреймворку є те, що цей стандарт:

• доволі складний у виконанні, якщо Ваша організація маленька та не має достатньо ресурсів і персоналу для менеджменту і підтримки сертифікаційних вимог; 
• не дає імунітету від судових чи інших проваджень; 
• вимагає тривалого часу на підготовку та сам процес сертифікації. 

ISO 27001 широко впізнаваний у всьому світі і часто використовується поруч з стандартами NIST (актуально для американських компаній). 

Стандарт приватності?

ISO 27001 також слугує фундаментом для надбудови – системи роботи з персональними даними, тобто стандарту ISO/IEC 27701. ISO 27701 може впроваджуватися тільки в тих компаніях, що вже отримали дійсний сертифікат ISO 27001. 

ISO 27701 визначає вимоги та надає вказівки щодо створення, впровадження, підтримки та постійного вдосконалення системи управління конфіденційною інформацією (PIMS) у формі розширення до ISO/IEC 27001 (та ISO/IEC 27002). 

Цей стандарт також наразі переглядається та буде замінений стандартом ISO/IEC FDIS 27701. 

Стандарт ISO 27701 надає вказівки для володільців персональних даних (PII controllers) та розпорядників персональних даних (PII processors). Цей стандарт дуже схожий на GDPR, але має відмінності:

• GDPR говорить про персональні дані, тобто personal data, і захищає дані тільки резидентів ЄС; 
• ISO 27701 говорить про інформацію, що ідентифікує особу (personally identifiable information) і не містить географічних обмежень. 

Ця різниця може бути важливою для проходження перевірок, оскільки може вказувати на різний обсяг даних: кожен закон про захист персональних даних у світі має власне визначення, які дані є персональними і підпадають під його захист. 

Іншими словами, GDPR турбується про європейську частину Вашої діяльності, і не враховує загальну картину, у той час як ISO створює глобальну систему управління даними організацією. 

Серед переваг ISO 27701 можна назвати:

• її глобальність: багато законів містять ті ж принципи або підходи, що закладені у цей фреймворк (наприклад, GDPR вимагає у організацій підзвітності, а ISO 27701 допомагає продемонструвати цю підзвітність); 
• це загальновизнаний стандарт; 
• побудова системи ISO 27701 дозволить зекономити на комплаєнсі з законами про захист ПД на нових ринках; 
• вона побудована на ISO 27001 і це спрощує співпрацю команд комплаєнсу та інформаційної безпеки. 

Недоліки у ISO 27701 також є:

• сертифікат про відповідність стандарту не означає автоматично комплаєнс з GDPR, CCPA, PIPEDA, PIPL чи іншими законами про захист персональних даних; 
• стандарт може бути недостатньо гнучким, щоб врахувати всі особливості регулювання обробки персональних даних на певному ринку; 
• стандарт дійсний всього три роки і не захищає від адміністративних проваджень або стягнень за порушення законів про захист приватності або захист персональних даних. 

Тому не можна обрати сертифікацію тільки з ISO/IEC 27701 замість повноцінного проєкту комплаєнсу з GDPR та сертифікації ISO 27001: зазвичай всі три доведеться робити в рамках одного великого (або трьох ланцюжкових) проєкту. 

Як зʼїсти слона комплаєнсу з GDPR, ISO 27001 & ISO 27701

Високорівнево проєкт комплаєнсу з GDPR + сертифікації зі стандартів ISO виглядатиме наступним чином:

1. Проведення gap assessment-у щодо вимог GDPR: GDPR обовʼязковий, має силу закону, успішно застосовується регуляторами та особами проти компаній і вже не має grace period. 
2. Створення першої версії комплаєнс-програми з GDPR:
   1. упорядкування data inventory, 
   2. навчання команд роботі з персональними даними, 
   3. створення процедур виконання запитів субʼєктів даних, 
   4. перегляд системи інформаційної безпеки компанії, 
   5. публікація оновлених політик приватності та обробки даних тощо. 
3. Прийняття рішення щодо сертифікування за стандартами ISO/IEC 27001 та ISO/IEC 27701.
4. Проведення gap assessment-ів щодо відповідності компанії вимогам ISO 27001 та ISO 27002.
5. Підготовка до сертифікації:
   1. створення ISMS; 
   2. документація процесів; 
   3. навчання персоналу тощо.
6. Проходження сертифікації (з першої чи наступної спроби) та одержання сертифікації ISO 27001. 
7. Проведення gap assessment-ів щодо відповідності компанії вимогам ISO 27701:
   1. врахування уже створеної ISMS,
   2. виявлення всіх законів про захист персональних даних, що застосовуються до компанії,
   3. та включення комплаєнс-програми з GDPR як уже готового прототипу PIMS (якщо комплаєнс з GDPR було проведено правильно і достатньо глибоко).
8. Втілення плану підготовки до сертифікації (дивіться крок 5, але з заміною ISMS на PIMS).
9. Проходження зовнішнього аудиту на відповідність стандарту ISO 27701 та одержання сертифікату.

Тривалість процесу залежить від кількості інформації, яку обробляє організація, та її розмірів, але зазвичай може тривати від 6 місяців до 1,5-2 років. 

Вартість процесу непередбачувана, бо враховує:

• витрати на зміну інфраструктури та бізнес-процесів, 
• витрати на залучення спеціалістів та створення цілих нових посад чи департаментів, 
• цінову політику сертифікаційного центру тощо. 

Однак у комплексі всі три складники загальної програми захисту даних вказують на зрілість та надійність організації, і часто слугують вирішальним фактором у перемовинах про співпрацю, рішенні тендерних або закупівельних комітетів, перевірок контрагентів або навіть залученні нових користувачів та споживачів послуг компанії. 

Сконтактуйте з нами, якщо хочете дізнатися більше про GDPR або ISO/IEC 27001 & ISO/IEC 27701.