Эксперт консультационной фирмы по вопросам защиты персональных данных и кибербезопасности elevenM Касси Финдлей обсуждает вопрос о том, как получить максимальную отдачу от стандартов. Касси является действительным членом австралийского национального технического комитета по стандартам управления документами и бывший членом аналогичного технического комитета Международной организации по стандартизации (ИСО). Она была ведущим автором действующей редакции международного стандарта управления документами ISO 15489 (в России, это ГОСТ Р ИСО 15489-1-2019 – Н.Х.).
Зачем обращать внимание на национальные или международные стандарты? Разве стандарты не нужны лишь для того, чтобы убедиться, что железнодорожные пути в разных штатах имеют одинаковую колею? Какое отношение они имеют к управлению и защите информации и персональных данных? Нужны ли нам стандарты?
Полезность стандартов для промышленного производства или обеспечения безопасности продукции очевидна и понятна. Однако когда разговор идёт о таких областях деятельности, как защита неприкосновенности частной жизни (персональных данных), управление документами и информационная безопасность, со всеми их непредвиденными обстоятельствами, - возникают сомнения в том, как можно что-либо в них стандартизировать, если столь часто на вопросы о том, что делать, следует ответ: «это зависит от обстоятельств».
Ответ на это кроется в том, что именно Вы стремитесь стандартизировать и какие типы продуктов деятельности по стандартизации Вы намереваетесь создать.
Можно утверждать, что из всех областей, в которых действует консультационная фирма elevenM, наиболее понятные варианты использования для стандартизации существуют в сфере кибербезопасности и информационной безопасности. Серия стандартов ISO 27001 (см. https://www.iso.org/isoiec-27001-information-security.html ) пользуется огромным авторитетом и широко используется, их положения включаются в контракты и требования к ведению деловой деятельности на международном уровне.
Исполняя требования, предъявляемые к надежной системе менеджмента информационной безопасности (СМИБ), организации могут продемонстрировать рынку и деловым партнерам зрелость своих возможностей по обеспечению безопасности. Однако в этой сфере стандарты сильно расплодились, особенно по вопросам кибербезопасности, что послужило стимулом для деятельности Целевой группы по гармонизации стандартов кибербезопасности (Cyber Security Standards Harmonisation Taskforce, https://www.zdnet.com/article/nsw-taskforce-wants-australia-wide-cyber-standards-harmony/ ), спонсируемой правительством австралийского штата Новый Южный Уэльс. Работой группы руководят AustCyber (австралийская некоммерческая организация, финансируемая по грантам федерального правительства Австралии, ставящая своей задачей формирование сети центров компетенции по вопросам кибербезопасности – Н.Х.) и «Стандарты Австралии» (Standards Australia – австралийский орган по стандартизации – Н.Х.), которые недавно выпустили отчет ( https://www.standards.org.au/getmedia/c634a11d-3336-401f-8742-f4b9671fa195/NSW-Cyber-Security-Standards-Harmonisation-Taskforce-Recommendations-Report.pdf.aspx , о нём см. https://www.bankinfosecurity.asia/cybersecurity-standards-meshing-different-requirements-a-15958 ), содержащий ряд рекомендаций по гармонизации и упрощению стандартов кибербезопасности.
В сфере управления информацией, и особенно в области управления документами, в течение последних двух десятилетий велась активная работа по кодификации и стандартизации подходов к созданию систем, инструментов и процессов управления документами, в виде международного стандарта ISO 15489 «Управление документами» ( https://committee.iso.org/sites/tc46sc11/home/projects/published/iso-15489-records-management.html ) и его предшественников.
Разрабатывая данный стандарт, специалисты по управлению документами не пытались сформулировать какой-то минимальный набор подлежащих исполнению требований. Скорее, они стремились описать оптимальный подход к внедрению и поддержанию ключевых мер контроля и процессов управления документами, включая работу по определению того, какие документы следует создавать и хранить; а также к позиционированию управления документами в качестве инструмента поддержки деловой деятельности, - независимо от того, в какой сфере Вы ведёте свою деловую деятельность.
Данный стандарт использует подход, отдающий приоритет электронным технологиям, при этом он способствует усилиям по созданию хороших концепций управления документами вне независимости от вида носителя.
Дополняя ISO 15489, серия стандартов системы менеджмента документов ISO 30300 ( https://committee.iso.org/sites/tc46sc11/home/projects/published/management-systems-for-records-i.html ) предлагает стандарты, ориентированные на исполнение существующих законодательно-нормативных и иных требований, позволяющие организациям создавать и поддерживать обеспечивающие хорошее управление документами системы менеджмента, аудит которых может проводиться третьими сторонами, такими как государственные регулирующие органы или независимые аудиторы.
В сфере защиты персональных данных обязательные для исполнения требования в большинстве юрисдикций прямо вытекают из соответствующего законодательства (в Европе это закон GDPR - см. https://gdpr.eu/ ; в Австралии - Закон Австралии о неприкосновенности частной жизни - Australia’s Privacy Act, https://www.oaic.gov.au/privacy/the-privacy-act/ ), - и специалисты-практики обычно основное внимание обращают именно на них, а не на поиск стандартов.
В Соединенных Штатах существует лоскутное одеяло из множество законодательно-нормативных требований, влияющих на защиту неприкосновенности частной жизни и персональных данных, в при этом в последнее время начал широко исполняться «Закон Калифорнии о неприкосновенности частной жизни потребителей в Калифорнии 2018 года» (California Consumer Privacy Act of 2018, CCPA, см. https://oag.ca.gov/privacy/ccpa - для доступа к сайту может потребоваться анонимайзер – Н.Х.), и примеру Калифорнии последовали другие штаты, принявшие аналогичные законы.
Американский национальный орган по стандартизации в этой сфере, Национальный институт стандартов и технологий (NIST), тем не менее, имеет большой опыт разработки стандартов по вопросам безопасности, а теперь и защиты неприкосновенности частной жизни, в форме своей «Концепции кибербезопасности» (Cybersecurity Framework, https://www.nist.gov/cyberframework ) и недавно опубликованной «Концепции защиты неприкосновенности частной жизни (Privacy Framework, https://www.nist.gov/privacy-framework ). Однако важно отметить, что это не стандарты, а добровольно применяемые инструменты, подготовленные NIST и помогающие организациям управлять связанными с персональными данными рисками.
Мой комментарий: Утверждение о том, что «это не стандарты», по-видимому, связано с тем, что в Австралии в сфере государственного управления стандарты по-старинке обязательны к применению. А так документы NIST ничем не отличаются от международных и национальных стандартов, применяемых – согласно требованиям ВТО – именно на добровольной основе.
В следующий раз, когда Ваша организация задумается о соответствии какому-либо стандарту, обязательно разберитесь, зачем это делается, и:
- Поможет ли Вам соответствие стандарту занять достойное место на рынке, например, благодаря внедрению стандартов серии ISO 27001;
- Собираются ли независимые аудиторы и другие третьи стороны использовать стандарт(ы) (например, стандарты серии ISO 30300) при проведении своих аудитов;
- Станет ли стандарт для Вашей организации полезным инструментом или основой для внедрения наилучшей практики, описание которой, например, можно найти в основополагающем для управления документами стандарте ISO 15489; и
- Существуют ли законодательно-нормативные или иные обязательные требования, имеющие большую силу, чем любой стандарт - и носят ли они сами по себе нормативный характер (например, посредством включения в Закон Австралии о неприкосновенности частной жизни и через руководства австралийского Управления уполномоченного по информации - Office of the Australian Information Commissioner, OAIC).
Шуточку о зубной щётке частенько можно услышать в среде разработчиков стандартов (например, в технических комитетах ИСО) и, возможно, её слышит ограниченная аудитория, но в ней правильно указывается на то, что стандарты являются - и должны быть - адаптированными к пользователям и вариантам использования. Однако они не избавляют от зубного налёта.
Мой комментарий: Трудно угадать, какая шутка здесь имеется в виду – наверное, неприличная :) Для интересующихся, коллекция английских шуточек о зубных щётках здесь: https://upjoke.com/toothbrush-jokes
Касси Финдлей (Cassie Findlay)
Источник: сайт фирмы ElevenM
https://elevenm.com/2021/02/25/standards-huhh-what-are-they-good-for/
Комментариев нет:
Отправить комментарий