(Окончание, начало см. http://rusrim.blogspot.com/2024/04/1_01920765750.html )
Определение обязанностей по уничтожению непубличной информации
Как только подпадающая под требования организация выяснит, какая непубличная информация у неё имеется и где она хранится, ей нужно будет определить, какие законодательно-нормативные требования в отношении сроков хранения на неё распространяются.
До введения GDPR в 2016 году основным инструментом документирования требований в отношении сроков хранения непубличной информации был перечень видов документов с указанием сроков хранения и действий по их истечении (records retention schedule, RRS – далее «перечень»). Обычно в таком перечне:
- Перечисляются все виды используемых корпоративных документов (например, контракты),
- Приводятся шаблоны, включая типовые соглашения о неразглашении информации, генеральные соглашения об оказании услуг и контракты с поставщиками.
Мой комментарий: Обычно перечни подобных шаблонов не содержат, сами шаблоны же – поскольку к срокам хранения они отношения не имеют и ведутся другими структурными подразделениями – хранятся отдельно. - Устанавливаются сроки хранения – например, «1 год поле прекращения действия соглашения».
- Даются ссылки на соответствующие законы и нормативные акты, использованные для определения срока хранения.
После того, как закон GDPR обязал ввести ROPA-документацию, организациям пришлось определять цели сбора и обработки информации, чтобы затем установить сроки её хранения. Закон GDPR, примеру которого в этом отношении последовали почти все появившиеся позднее законы о защите персональных данных, требует, чтобы организации определили цели, для которых они собирают персональные данные (ПДн), и сохраняли ПДн только до тех пор, пока это будет необходимо для достижения заявленных целей, а затем уничтожали ПДн.
Для директоров по информационной безопасности в подпадающих под требования организациях сочетание перечня и сведений о целях обработки ПДн, по-видимому, значительно облегчит соблюдение требований подраздела 500.13. Тем не менее, как и в случае с CMBD и ROPA, у комбинации перечней и целей обработки имеются существенные недостатки, которые создают проблемы для директоров по информационной безопасности, стремящихся использовать их для соблюдения требований подраздела 500.13.
Во-первых, перечни обычно определяет сроки хранения только для документов, которые являются подмножеством непубличной информации. Почти все службы управления документами четко определяют, что можно считать документом, а что нет. В рамках установленной политики, перечни охватывают только документы. Например, проекты документов сами по себе не являются документами и, следовательно, не регламентируются перечнями.
Мой комментарий: Автор, к сожалению, использует устаревшие представления конца 20-века о документах и об управлении ими. Понятие «документа» (особенно в органах государственной власти США) трактуется неизмеримо более широко, да и практика э-раскрытия вынуждает те же коммерческие и некоммерческие организации охватывать управлением документами не только традиционные для 20-го века официальные административные и иные документы, но и многое другое, особенно электронную почту. В перечни в настоящее время сплошь и рядом включаются не только «официальные» документы, но и черновики и проекты, официальная и неофициальная переписка, информация, базы данных, контент веб-сайтов и т.д. – здесь многое зависит от самой организации.
Однако положения подраздела 500.13 не смотрят на то, представлена ли непубличная информация в форме черновой или же окончательной версии документа. Вся непубличная информация должна быть уничтожена, как только у организации больше не будет законодательно-нормативных обязательств по её сохранению. Таким образом, использование одних только перечней не позволит организации исполнить новые требования.
Во-вторых, существует разрыв между тем, как перечни смотрят на непубличную информацию на уровне документа, и тем, как цели обработки формулируются на уровне элементов данных. Например, с точки зрения перечня важно, является ли документ счетом или контрактом, в то время как с точки зрения цели обработки имеет значение, является ли элемент данных биометрическими данными или номером телефона. Директорам по информационной безопасности, стремящимся использовать перечни и цели обработки для управления уничтожением непубличной информации, затем потребуется создать перекрестные ссылки, чтобы обеспечить согласованное представление о своих законодательно-нормативных обязанностях по уничтожению непубличной информации. Сказать это легче, чем сделать. Согласование точек зрения специалистов по управлению документами и по защите ПДн, с тем, чтобы они могли видеть непубличную информацию с точки зрения друг друга, требует готовности изменить свой образ мышления, а также выделить значительные ресурсы для обновления и расширения политик и процедур, которые бы отражали более широкую точку зрения.
Уничтожение непубличной информации
Как только директор по информационной безопасности подпадающей под требования организации преодолеет проблемы установления того, какая непубличная информация у него есть, в каких системах, и в течение каких сроков она должна храниться, - он столкнётся с самой сложной задачей из всех: фактическим уничтожением непубличной информации в больших масштабах.
Обеспечить уничтожение непубличной информации сложно, поскольку большинство организаций никогда этого не делало и не имеет соответствующего опыта. Представители широкого круга заинтересованных сторон, которым следует собраться вместе и решить, как структурировать корпоративные усилия по уничтожению непубличной информации – это специалисты по управлению документами и защите ПДн, специалисты по ведению судебных разбирательств, ИТ-специалисты, специалисты по кибербезопасности, управлению данными и представители деловых подразделений - владельцев данных — в прошлом обычно не могли достичь консенсуса. Каждый из них предлагает разные и зачастую противоречивые взгляды на ценность непубличной информации, на риски чрезмерно длительного сохранения в сравнении с рисками, связанными с уничтожением, а также на уровень усилий, соразмерный уровню риска для организации.
Мой комментарий: В России эта «неподъёмная» проблема решается с помощью хорошо всем известных экспертных комиссий – и когда у заинтересованных сторон (особенно у высшего руководства) есть воля и желание решить вопрос, тот решается довольно быстро и эффективно.
Даже если эти заинтересованные стороны собираются вместе и приходят к согласию о том что непубличную информацию следует уничтожить после того, как исполнены требования законодательства в отношении её хранения, - неспособность согласовать надлежащий курс действий, роли и обязанности в деятельности по уничтожению непубличной информации, необходимые технологические и бюджетные требования может привести к неудаче.
Мой комментарий: На практике обещание первого лица жёстко покарать всех саботажников в случае неудачи реально творит чудеса :)
Директора по информационной безопасности, ответственные за аттестацию по подразделу 500, должны работать над преодолением этой тупиковой ситуации и обеспечить комфортное прохождение аттестации. В противном случае им придется пометить аттестацию как проект высокого риска или вовсе отказаться от неё. Оба этих варианта приведут к разрушительным последствиям для соответствующих организаций.
Путь вперёд к исполнению требований подраздела 500.13
Директора по информационной безопасности подпадающих под требования организаций должны решать эти проблемы на двух фронтах, поддерживая реестр активов и обеспечивая возможность уничтожения непубличной информации.
Создание и ведение реестра активов является наиболее ясной задачей, поскольку заинтересованными сторонами в первую очередь являются служба ИТ и владельцы деловых систем, а также ввиду того, что требуемая согласно подразделу 500.13 информация является узкой и находимой. Потребуется время на то, чтобы выявить десятки, сотни или тысячи систем, в которых хранится непубличная информация, а также найти людей, обладающих достаточными знаниями для заполнения реестра. Однако в конечном итоге это не что иное, как составление списка.
Уничтожение непубличной информации, с другой стороны, предусматривает осуществление крупномасштабных изменений, требующие от целого ряда подразделений и служб переосмысления своего понимания непубличной информации и того, как они с ней работают. Устоявшиеся предположения о ценности непубличной информации и связанных с ней рисках, о надлежащей подотчетности и ответственности за неё, а также масштабы взаимодействия служб и подразделений с непубличной информацией потребуется изменить, прежде чем избавляться от какой-либо части такой информации. И даже тогда организации потребуются многолетние усилия, затрагивающие почти каждую систему и влияющие на почти каждое подразделение.
Концептуальный подход к уничтожению непубличной информации
Директорам по информационной безопасности (CISO) в подпадающих под требования организациях необходимо внедрить концептуальный подход к уничтожению непубличной информации, охватывает все этапы этого пути, от необходимых политик и процедур до осуществления уничтожения непубличной информации в больших масштабах. Хотя детали могут различаться в зависимости от конкретной организации, ниже представлена дорожная карта, которая поможет организациям обеспечить успешное уничтожение непубличной информации и обеспечить уверенность CISO в соблюдении требований подраздела 500.13.
Подпадающие под требования организации должны начать с оценки своих возможностей стратегического управления информацией в плане уничтожения данных. Такая оценка может быть основана на ряде принятых в отрасли концепций, таких, например, как концепции Конференции Седона (Sedona Conference, https://thesedonaconference.org/sites/default/files/publications/Commentary%20on%20Information%20Governance.pdf ), ассоциации ARMA International ( https://www.arma.org/general/custom.asp?page=principles ), Международной организации по стандартизации ISO ( https://www.iso.org/standard/77915.html ) и американского Национального института стандартов и технологий NIST ( https://www.nist.gov/privacy-framework ).
После этого подпадающая под требования организация должна устранить пробелы в своих политиках и процедурах, связанных с уничтожением данных - например, в тех, владельцами которых являются службы управления документами, защиты персональных данных, ведения судебных разбирательства и управлению данными. Затем организация может выбрать технологические решения, подходящие для поддержки усилий, от решений для инвентаризации активов и э-раскрытия данных до специализированных инструментов, предназначенных для облегчения уничтожения данных в структурированных и неструктурированных системах.
Затем подпадающей под требования организации необходимо ранжировать по степени риска системы, в которых хранятся непубличные данные, чтобы принять хорошо продуманные, основанные на фактах решения о том, какие действия следует предпринять и в каком порядке. Это поможет сформировать план по проведению уничтожения непубличных данных. Поскольку уничтожение непубличных данных является многолетней задачей, данный план необходимо будет пересматривать по ходу процессов уничтожения, обеспечивая непрерывное улучшение соответствия организации требованиям подраздела 500.13 по мере её продвижения по пути снижения рисков.
Наконец, подпадающей под требования организации необходимо поэтапно выполнить уничтожение непубличной информации в больших масштабах, уничтожая ежеквартально ту непубличную информацию, сроки хранения которой истекли. Только в этот момент директор по информационной безопасности может вздохнуть спокойно и предпринять более обоснованные усилия в рамках должной осмотрительности, касающиеся исполнения требований раздела 500. Хотя, возможно, работа еще продолжается, но раз усилия организации по уничтожению непубличной информации налажены как следует, директора по информационной безопасности смогут с большей уверенностью дать заверения в том, что требования подраздела 500.13 соблюдаются последовательно и эффективно.
Джозеф Шепли (Joseph Shepley)
Источник: Издание CCI (Corporate Compliance Insights)
https://www.corporatecomplianceinsights.com/ciso-data-retention-disposal-nycrr/
Комментариев нет:
Отправить комментарий