Забавная такая стандартизация

В пятницу Алексей Краснов всколыхнул профессиональное сообщество, откопав на сайте Росстандарта сообщение о принятии стандарта ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Мы с Алексеем Лукацким и Андреем Прозоровым обсудили немного эту тему в Facebook, а Андрей даже успел выложить майнд-карту предполагаемого прототипа нового ГОСТа - британского стандарта BS 10012:2009 Data protection. Specification for a personal information management system.

ГОСТ, на мой взгляд, будет весьма странный. Найти его текст в Интернете не удалось. Нет его и в двух официальных торговых точках Росстандарта – в Интернет-магазинах стандартов ФГУП «СТАНДАРТИНФОРМ» и фирмы «ИНТЕРСТАНДАРТ», хотя я и готов был заплатить за него необходимую сумму – обычно около 1000 руб. Информация по поводу возможности заказа вполне определенная «Заказать нельзя. Документ еще не издан». Поэтому постить буду по проверенному советскому рецепту: «Не читал, но осуждаю».

Итак. Начнем. Номер и название. Предположение о том, что стандарт является переводом или производной британского стандарта BS 10012:2009 основываются, видимо, на том, что названия похожи, а других стандартов по персональным данным в ISO и BSI не просматривается. Кроме того, разработчик документа - АНО «Научно-исследовательский центр контроля и диагностики технических систем» («НИЦ КД») в поле «Нормативные ссылки на: Прочие» прямо указал «BS 10012:2009». И определил новоиспеченный стандарт, вступающий в силу почему-то с 1 декабря 2013 года, в группу 53647, описывающую вопросы… обеспечения непрерывности бизнеса. Предшественники данного стандарта описывали требования к системе управления непрерывностью бизнеса, порядок внедрения системы менеджмента, указания по обеспечению готовности к опасным ситуациям и инцидентам, а также непрерывности деятельности.

И вдруг – персональная информация (судя, опять-таки, по первоисточнику, речь идет все-таки о персональных данных). А она какое отношение к непрерывности бизнеса имеет? Ни федеральный закон, ни постановления правительства, ни документы ФСБ и ФСТЭК никаких требований к непрерывности не выдвигают. Есть общее положение об обеспечении возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Все.

Ничего про business continuity нет и в британском стандарте. Вообще. И называется он совсем по-другому – «Защита данных. Спецификация системы управления персональными данными» (или если дословно – персональной информацией). Есть там главка «6.2. Continual improvement» про «постоянное улучшение», но она, как обычно, требует непрерывного совершенствования всей системы управления персональными данными в организации.

Похоже, и сами разработчики не очень понимают, при чем здесь управление непрерывностью бизнеса. Читаем аннотацию к стандарту: «Настоящий стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области. Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов системы менеджмента персональной информации организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту». Про менеджмент систем управления персданными и достижение соответствия – вижу. Про менеджмент непрерывности – нет.

Вообще, название у нового творения получилось, на мой взгляд, совершенно бессмысленным. Если честно, я совсем не могу понять, что такое «система менеджмента персональной информации для обеспечения защиты данных». Что такое система управления – понимаю. Что такое защита данных – тоже. А как может система управления обеспечить защиту данных – не понимаю.

Кстати, GlobalTrust Solutions еще в 2009 году сделал вполне адекватный русский перевод. Зачем выдумывать что-то новое и кривое?

Было бы гораздо логичнее, если бы новый стандарт оказался в группе 27ХХХ или, на худой конец, 13335, описывающих соответственно системы управления информационной безопасностью и менеджмент безопасности сетей, информационных и телекоммуникационных технологий. Покопавшись на сайтах, посвященных стандартизации, пришел для себя к неутешительному выводу – эти две группы стандартов вне зоны ответственности разработчика, АНО «НИЦ КД», который выполняет функции секретариата технического комитета Росстандарта № 10 «Менеджмент риска» (оценим название и язык), занимающегося как раз вопросами непрерывности бизнеса. Вот и впихивали новый стандарт в свой ридикюль, хотя он туда совсем и не лезет.

И последнее. Вся система стандартизации должна способствовать единому пониманию того, что подлежит стандартизации. Зачем вводить в заголовке новый термин «персональная информация» и вносить новую порцию сумятицы в и так давно смятенные умы специалистов, пытающихся понять, как выполнить закон, совершенно не понятно. Более того. Очень вредно. Вот уже появились комменты, что персональная информация – это нечто более широкое, чем персональные данные. И вместо облегчения и упрощения жизни, на что изначально должны быть направлены стандарты (не знаешь как делать – открыл, прочел и знаешь), мы получаем еще одну головную боль.

Дождемся опубликования или возможности заказа текста документа. Посмотрим. Хотя стандарты в нашей стране и не являются обязательными к исполнению.