Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Использование британского стандарта BS 10012 для обеспечения соответствия в области персональных данных
Protectiva Compliance Manager
Навигация
 

Использование британского стандарта BS 10012 для обеспечения соответствия в области персональных данных

Автор: Александр Астахов опубликовано: 31-10-2012 последнее изменение: 31-10-2012

Русская редакция британского стандарта BS 10012:2009 "Защита данных - Спецификация системы управления персональными данными" - первый в мире стандарт на тему ПДн. Хотя за годы применение российского законодательства в области ПДн, начиная с 2007 года, у российских специалистов сформировалось собственное представление об обработке и защите ПДн, основанное на наших реалиях, данный стандарт может служить хорошим подспорьем для российских операторов ПДн, если рассматривать его как набор полезных рекомендаций, согласованных с международными стандартами и позволяющих залатать многочисленные дыры в нашей нормативной базе.

Британский стандарт BS 10012 стал первым в мире стандартом на систему управления персональными данными (СУПД или СУПДн или СМПДн; у нас это называется ИСПДн). Он определяет требования к СУПД, служит основой, кроме всего прочего, обеспечения и поддержания соответствия британскому Акту о Защите (Персональных) Данных (Data Protection Act 1998) и европейской директиве (о защите данных) 1995 г. (Directive 95/46/EC).
 
BS 10012 содержит следующие полезные вещи, отсутствующие в российской нормативной базе, с одной стороны, и необходимые для обеспечения соответствия действующему законодательству в области ПДн, с другой стороны:
 
  1. Стандарт определяет общие требования к СУПД (ИСПДн) как к системе менеджмента, опираясь на международные стандарты и модель Деминга. Реализация этих требований позволяет внедрять и сопровождать ИСПДн ни как отдельную не с чем не связанную систему, а как составную часть системы менеджмента организации, используя все имеющиеся в организации организационные и технические механизмы контроля.
  2. Стандарт определяет требования к содержанию корпоративной Политики в области управления персональными данными (у нас это обычно называют Положением об обработке и защите ПДн или просто Положением о ПДн). Российская нормативная база этих требований к самому важному для ПДн документу не определяет и, поэтому, каждый лепит что хочет, скачивая из Интернет или переписывая друг у дружки.
  3. Стандарт определяет функциональные обязанности лица, Ответственного за обработку ПДн. В руководящих документах наших регуляторов на эту тему ничего не говориться.
  4. Стандарт определяет категории ПДн, с которыми связан повышенный риск для субъекта. Помимо специальных категорий ПДн, определяемых законом, сюда относятся: информация о банковских счетах и прочая финансовая информация; национальные идентификаторы (номера страхования и т.п.);  данные о социально уязвимых группах населения, включая детей; подробные профили физических лиц и конфиденциальные переговоры.
  5. Стандарт определяет методику оценки риска нарушения безопасности персональной информации, путем отсылки к "Руководству по оценке воздействия, связанного с нарушением личной тайны", разработанного Британским информационным комиссариатом (ICO).
  6. Стандарт содержит руководство по обеспечению выполнения каждого из 8 законодательно закрепленных принципов обработки ПДн (добросовестность и законность обработки; сбор и обработка только в соответствии с установленными целями; адекватность, соответствие целям обработки и неизбыточность; достоверность и актуальность; хранение не дольше установленного времени; соблюдение прав субъектов ПДн, включая право на получение доступа к личной информации; защищенность ПДн; трансграничная передача ПДн).
  7. Стандарт определяет требования по защите ПДн в рамках существующих механизмов контроля СУИБ в соответствии с ISO 27001. В самом Стандарте непосредственно описываются только некоторые механизмы контроля, включающие специфику ПДн, а именно: управление доступом, оценка безопасности и правление инцидентами.
  8. Стандарт определяет требования по выбору и контролю субподрядчиков (обработчиков ПДн).
Остальное содержание Стандарта - это проекция цикла Деминга, описанного в ISO 27001 и других стандартах систем менеджмента на СУПД.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex