Независимо от того, чем вы занимаетесь сегодня, вы занимаетесь конфиденциальностью данных. Данный вопрос уже касается не только главных специалистов по обработке данных или отделов информационной безопасности. Данная проблема охватывает все организации, затрагивающие человеческие ресурсы, представителей службы поддержки клиентов и в целом всех, кто взаимодействует с персональными данными.
С ростом числа кибератак на бизнес, растет и проблема кибербезопасности. В данном случае возникает вопрос: как организации могут управлять личной информацией людей? Новые правила конфиденциальности, введенные правительствами в последние годы, такие как Европейский общий регламент по защите данных (GDPR) или Калифорнийский закон о защите прав потребителей (CCPA), требуют от компаний соответствующего уровня ответственности. Но если страны разрабатывают разные правила конфиденциальности данных, то какие глобальные корпорации, такие как Microsoft, могут обеспечить бесперебойную защиту данных?
Недавно опубликованный стандарт ISO/IEC 27701, Методы обеспечения безопасности – Дополнение к ISO/IEC 27001, и ISO/IEC 27002 по защите конфиденциальной информации, Требования и руководящие принципы, которые помогают компаниям управлять рисками конфиденциальности личной информации. Документы также способствуют надлежащему соблюдению GDPR и других правил защиты данных. Разработанный под совместным руководством ИСО и Международной электротехнической комиссией (МЭК) стандарт, является первым в мире глобальным стандартом конфиденциальности. Джейсон Матусов (Jason Matusow), генеральный директор Microsoft’s Corporate Standards Group, расскажет нам об этом уникальном стандарте.
ISOfocus: ISO/IEC 27701 – это первый стандарт системы управления конфиденциальной информацией или сокращенно PIMS. Можете ли Вы рассказать нам немного о стандарте? Что делает его таким уникальным?
Джейсон Матусов: Первое, что касается ISO/IEC 27701 так это то, что он является простым и эффективным способом решения проблемы распространения согласованных методов обработки данных во всей организации. Хотя кибербезопасность и конфиденциальность взаимосвязаны, во многих организациях они рассматриваются как разные проекты. Разумный шаг в разработке ISO/IEC 27701 и мои комплименты экспертам, которые этим занимались, заключался в том, чтобы внедрить стандарт в мир кибербзопасности посредством серии стандартов ISO/IEC 27000 по системам управления информационной безопасностью, по которым тысячи компаний настоящее время осуществляют аудит ежегодно. Применяя данный стандарт сообщество, занимающееся вопросами кибербезопасности, может работать совместно с сообществом защиты конфиденциальности для разработки методов обработки данных, которые учитывают как вопросы безопасности, так и аспекты конфиденциальности.
PIMS учитывает необходимость целостного подхода к защите данных. Согласно GDPR, как и согласно многим другим законам о конфиденциальности во всем мире, компании должны иметь сотрудника по вопросам защиты данных. Однако ключевая проблема для этих людей заключается в разработке соответствующей документации. Другими словами, как правильно работать в рамках всей организации над обработкой данных?
Существует преобладающая динамика в области конфиденциальнсти данных, которая заключается в том, что все очень сосредоточены на регулирующих нормах. Но основой деловых отношений лежит заключение сделок, контрактов. У Microsoft существуют тысячи компаний в цепочке поставок. В тоже время Microsoft находится в цепи поставок тысячи других компаний, поэтому представление о правильном поведении при обработке данных становится настоящим вопросом в цепи поставок. То, что делает PIMS является доказательством хорошего поведения. Доверие появляется после проверки, и данная проверка основана на хорошем опыте PIMS.
Может ли новый стандарт помочь компаниям достичь соответствия требованиям GDPR или, например, закона штата Калифорния?
На данный момент не существует стандарта, который был бы разработан как инструмент для соблюдения законодательства о конфиденциальности, поэтому в настоящее время в Европе существует много дискреционных решений относительно того, как регулирование интерпретируется компаниями, включая Microsoft. Стандарт не предполагает наличия четких инструкций для соблюдения законов. Такого механизма сегодня не существует. Речь идет о практиках, системе гигиены, ответственном поведении, которое задокументировано и повторяется многократно. При таком подходе качество процессов со временем улучшается. Одна из главных вещей в системе управления процессингом – это ориентация на постоянное совершенствование.
Важно отметить, что существует не один закон о конфиденциальности, а их может быть и 30...GDPR, CCPA, а у таких стран, как Австралия или Япония, есть свои собственные. Основное преимущество PIMS заключается в том, что он воплощает в себе последовательный набор практик конфиденциальности (то есть контроля), которые могут быть сопоставлены с любым законом о конфиденциальности.
Технологии постоянно развиваются, и компании должны адаптироваться. Считаете ли вы, что ISO/IEC 27701 все еще будет полезен через пару лет?
Тот факт, что технологии развиваются, означает, что вы никогда не сможете сказать: «Мы все отсортировали и поэтому можем стоять на месте». В настоящее время работать таким образом невозможно. Каждый бизнес развивается на ежедневной основе. Такой стандарт, как ISO/IEC 27701 открывает возможность для последовательного подхода, будучи при этом достаточно гибким, чтобы адаптироваться к изменениям, происходящим с ним.
Важным понятием, которое необходимо уяснить, является оценка влияния конфиденциальности, которая представляет собой систематический процесс оценки потенциального воздействия вашей системы на уровень защиты персональных данных. Хотя это не является особенностью самого стандарта, ISO/IEC 27701 содержит требования в отношении сферы применения, когда компания должна оценивать возможности своей обработки данных в данном контексте. Стандарт также предоставляет ряд средств контроля для противодействия, которые могут быть сопоставлены с законами, либо конкретно с GDPR, либо с законами о конфиденциальности Австралии, Японии или Калифорнии. Именно сочетание данных частей вместе взятых может помочь вам перейти грань ответственной практики защиты данных. Думайте об этом как о путешествии, а не как о конечном пункте назначения.
Что поставлено на карту в Microsoft? Почему компания была сторонником стандарта?
Данный разговор начинается с наших клиентов. Реальность такова, что стандарт позволяет людям, работающим в облачных сервисах и использующих наши технологии, объединиться с Microsoft, предпринимая совместные шаги и коллективно заявляя о хороших методах управления данными. ISO/IEC 27701 играет центральную роль в построении согласованного диалога между организациями. Это важно при разговоре с регулирующими органами, но на самом деле также касается деловых отношений.
PIMS является ценным активом в использовании информационных технологий в любом бизнесе, поэтому наш основной интерес заключается в том, чтобы наши клиенты чувствовали себя уверенно и конфиденциально. Следующий элемент – это наше собственное поведение. Но скажу так: наши меры по обеспечению конфиденциальности вышли далеко за рамки формальностей, и стандарт ISO/IEC 27701 является частью процесса аудита.
Microsoft распространила защиту GDPR на всех граждан в мире, которые используют наши технологии. Если мы собираемся проделать важную инженерную работу и постоянно совершенствовать наши системы, чтобы они защищали данные граждан, то мы должны подходить к этому конструктивно, целостно. PIMS позволит также применять практики, которые мы уже имеем в рамках аудита третьими сторонами.
Какие преимущества бизнес получает от стандарта ISO / IEC 27701? Не могли бы Вы на немного больше рассказать о том, что здесь происходит?
Как я упомянул прежде, данный стандарт основан на серии стандартов ISO/IEC 27000, поэтому PIMS предполагает принятие того, что он потребует привлечения системы управления информационной безопасностью, которая впоследствии может быть распространена на конфиденциальность. Речь идет о том, чтобы посмотреть на свои системы и процессы, а затем внедрить контроль. Думайте о контроле как о предписывающем поведении, которому вы обязались следовать. Со временем оно войдет в привычное поведение, которое вы сможете задокументировать.
Это работа для сотрудника по защите данных, чья основная ответственность заключается в том, чтобы придерживаться своих критериев оценки. Однако более крупные компании, в конечном счете, обратятся к внешним организациям по оценке соответствия, чтобы продумать все системы, которые необходимы. В двух словах, однако, элементы управления, которые вы внедряете, должны включать все: от сбора данных, их использования, удаления данных, способов обработки утечек данных, уведомлений клиентов и всего остального, что может быть в данной цепи.
Что ждет Microsoft в будущем в отношении стандартизации?
Я разделю данный вопрос на две части. Прежде всего, не вся стандартизация одинакова. С одной стороны, у нас есть технические характеристики, такие как Bluetooth, Wi-Fi или подобные протоколы. Это разрабатывается продуктовыми группами по мере необходимости. И в данном пространстве одной из самых интересных вещей, появившихся за последние пять лет, является массовый рост программного обеспечения с открытым исходным кодом. То, как люди решают проблемы сотрудничества, необязательно происходит в контексте традиционных стандартов, но посредством совместной разработки в контексте открытого исходного кода. Это не означает, что стандартизация вытесняется, но процесс изменяется.
Что касается международных стандартов, такого же типа, как разработанные ИСО и партнерскими организациями, Международной электротехнической комиссией (МЭК) и Международным союзом электросвязи (МСЭ), я думаю, что люди действительно смотрят на усиление регулирования и на то, как стандарты действуют в качестве «мягкого права» по отношению к регулированию. Как PIMS может находиться между существующим законодательством и деятельностью организации? Необходимо что-то, что заполнит данный разрыв, и стандарты могут сыграть центральную роль в преодолении данного разрыва. Они особенно полезны для решения проблемы распространения регулятивных подходов, например для согласования австралийских законов о конфиденциальности с законами GDPR. Таким образом, невероятно важная роль, которую может сыграть ISO/IEC 27701, заключается в том, чтобы действовать как «Розетский камень» между различными подходами к регулированию. Это очень мощный инструмент!