Защита персональных данных: пригодится ли нам британский опыт?

20 Сентября 2012

2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными. Возможно ли использование нового стандарта в России? Поможет ли он операторам персональных данных соответствовать требованиям российского законодательства?

Стандарты важны в любой системе управления: в них определяются цели, которых необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.

Несмотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и персональных данных, который способна реализовать любая организация в любой стране мира, отсутствует и по сей день. Такое положение дел связано с наличием у многих государств собственных законов о защите персональных данных, значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне). Тем не менее вопрос защиты персональных данных является весьма актуальным во всем мире. BSI Group, вместо того чтобы сводить воедино требования законодательства различных государств, в стандарте BS 10012:2009 описала систему управления персональными данными (СУПД) – ряд основных процессов инфраструктуры безопасной обработки персональных данных в соответствии с британским законом о защите данных (Data Protection Act – DPA).

Получается, что этот стандарт описывает только систему управления и федеральному закону "О персональных данных" не соответствует? Попробуем разобраться.

Data Protection Act и 152-ФЗ

Data Protection Act ("Закон о защите данных") был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований директивы Европарламента и Совета Европы "О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных". Прародительницей этой директивы является конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят федеральный закон №152-ФЗ "О персональных данных".

Между DPA и 152-ФЗ можно найти определенное сходство. Так, например, DPA дает следующее определение понятию "персональные данные": "Персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных". Не смотря на то, что 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательству РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. "Контролер персональных данных" в DPA есть ни кто иной, как "оператор персональных данных" в российском законодательстве.

Согласно DPA, любая организация, обрабатывающая персональные данные, является оператором таких данных и должна регистрировать свою деятельность в уполномоченном органе, который, в свою очередь, контролирует исполнение организацией восьми принципов обработки личных данных (будут приведены далее). Статьей 5 закона 152 определены 5 принципов обработки таких сведений, хотя в тексте закона, так или иначе, присутствуют все 8 принципов DPA.

При этом DPA в принципе не содержит и не ссылается на какие-либо инфраструктурные или технические требования к обработке данных, реализовав которые, организация-контроллер обеспечила бы выполнение принципов обработки личных сведений. Именно поэтому каждый контроллер самостоятельно разрабатывал собственные нормативные документы, описывавшие требования к системе управления персональными данными. Приводило это к многочисленным "дырам" в системе безопасности, которые порождали серьезные утечки и, как следствие, судебные иски, разбирательства и штрафы.

Поэтому перед BSI Group стояла задача устранить разрыв в законодательстве Соединенного Королевства и предложить операторам персональных данных требования для построения эффективной системы управления ими, основанные на лучших практиках стандарта ISO 27001 и отвечающие нормам DPA.

Очевидно, британские эксперты по защите ПДн озабочены теми же вопросами, что и отечественные, а стандарт для РФ не совсем подходит, несмотря на сходство в законодательстве. Попробуем разобраться, как и в какой мере отечественные операторы персональных данных могут использовать для себя этот документ.

Мы связали 8 принципов DPA с требованиями стандарта BS 10012:2009 и закона 152-ФЗ. Результат приведен в таблице.

Как видно, требования документов вполне совместимы, и при некоторых оговорках стандарт BS 10012:2009, в принципе, может применяться и российскими операторами ПДн для реализации организационных мер по обработке персональных данных, создания СУПД и их последующей интеграции в имеющиеся СУИБ. Однако BS 10012:2009 не перекрывает всех требований законодательства РФ к организации процесса обработки личной информации и совсем не затрагивает техническую защиту персональных данных.

Недостатки стандарта

Выпуск стандарта BS10012, безусловно, является важным шагом на пути к международной стандартизации обработки персональных данных, но первая версия этого документа еще далека от совершенства и уж тем более не является панацеей. С этим мнением согласен и член комитета BSI, эксперт по защите личных данных Тоби Стивенс, который в своем блоге пишет: "Я сомневаюсь, что этот документ получит широкую поддержку и уж тем более будет массово внедряться в организациях. Любой стандарт должен пройти путь от создания до созревания – и для этого данный документ должен был быть издан. Аналогичная ситуация была и со стандартом BS7799, который впоследствии стал ISO 27001: первая его версия вызвала много критики и нареканий, и широкое принятие и распространение этот стандарт получил лишь после нескольких итераций".

Самый главный недостаток примененного в BS 10012 подхода заключается в том, что стандарт не предусматривает процедуру оценки применимости требований на основе анализа рисков, и поэтому его требования являются жестко регламентирующими. Смысл пункта 4.4 стандарта "Оценка рисков" сводится лишь к наличию этой процедуры у организации в принципе, и результаты анализа рисков фактически не оказывают никакого влияния на требования, предъявляемые к СУПД. Тоби Стивенс также отмечает этот недостаток и пишет следующее: "Мы, вероятно, будем получать очень много жалоб на то, что в стандарте не применяются методы оценки воздействия на частную жизнь и вообще какая-либо оценка рисков в принципе, и в результате требования стандарта являются завышенными и трудно реализуемыми для большинства организаций. В следующие версии стандарта обязательно должны быть включены процедуры оценки рисков, а требования должны быть пропорциональными рискам и масштабируемыми для организаций любого уровня".

С этим мнением трудно не согласиться, тем более что аналогичные недостатки свойственны и всей российской нормативно-правовой базе в области защиты персональных данных.

Что ж, остается ждать, надеяться и верить в то, что со временем появится новый документ, и может быть тогда отечественные законодатели и регуляторы увидят здравый смысл предложенного BSI подхода к построению систем управления информационной безопасностью вообще и систем управления персональными данными в частности. Пока же применение российскими операторами личных сведений стандарта BS 10012 в полной мере как самостоятельного документа не имеет смысла.


Возврат к списку