В пятницу Алексей
Краснов всколыхнул профессиональное сообщество, откопав на сайте Росстандарта
сообщение о
принятии стандарта ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса.
Требования к системе менеджмента персональной информации для обеспечения защиты
данных». Мы с Алексеем Лукацким и Андреем Прозоровым обсудили немного эту тему
в Facebook, а Андрей даже успел выложить
майнд-карту предполагаемого прототипа нового ГОСТа - британского стандарта BS
10012:2009 Data protection. Specification for a
personal information management system.
ГОСТ, на мой взгляд, будет весьма странный. Найти
его текст в Интернете не удалось. Нет его и в двух официальных торговых точках
Росстандарта – в Интернет-магазинах стандартов ФГУП «СТАНДАРТИНФОРМ» и фирмы
«ИНТЕРСТАНДАРТ», хотя я и готов был заплатить за него необходимую сумму –
обычно около 1000 руб. Информация по поводу возможности заказа вполне
определенная «Заказать
нельзя. Документ еще не издан». Поэтому постить буду по проверенному
советскому рецепту: «Не читал, но осуждаю».
Итак. Начнем. Номер и
название. Предположение о том, что стандарт является переводом или производной
британского стандарта BS 10012:2009 основываются, видимо, на том, что названия
похожи, а других стандартов по персональным данным в ISO и BSI не
просматривается. Кроме того, разработчик документа - АНО
«Научно-исследовательский центр контроля и диагностики технических систем»
(«НИЦ КД») в поле «Нормативные ссылки на: Прочие» прямо указал «BS 10012:2009».
И определил новоиспеченный стандарт, вступающий в силу почему-то с 1 декабря
2013 года, в группу 53647, описывающую вопросы… обеспечения непрерывности
бизнеса. Предшественники данного стандарта описывали требования к системе
управления непрерывностью бизнеса, порядок внедрения системы менеджмента, указания
по обеспечению готовности к опасным ситуациям и инцидентам, а также
непрерывности деятельности.
И вдруг –
персональная информация (судя, опять-таки, по первоисточнику, речь идет
все-таки о персональных данных). А она какое отношение к непрерывности бизнеса
имеет? Ни федеральный закон, ни постановления правительства, ни документы ФСБ и
ФСТЭК никаких требований к непрерывности не выдвигают. Есть общее положение об
обеспечении возможности восстановления персональных данных, модифицированных
или уничтоженных вследствие несанкционированного доступа к ним. Все.
Ничего про business
continuity нет и в британском стандарте. Вообще. И называется он совсем
по-другому – «Защита данных. Спецификация системы управления персональными
данными» (или если дословно – персональной информацией). Есть там главка «6.2.
Continual improvement» про «постоянное улучшение», но она, как обычно, требует
непрерывного совершенствования всей системы управления персональными данными в
организации.
Похоже, и сами
разработчики не очень понимают, при чем здесь управление непрерывностью
бизнеса. Читаем аннотацию
к стандарту: «Настоящий стандарт устанавливает требования к системе менеджмента
персональной информации, направленные на обеспечение выполнения законодательных
и обязательных требований по защите персональной информации, а также внедрения
передового мирового опыта в этой области. Настоящий стандарт применим к
организациям разных размеров и форм собственности, и может быть использован
лицами, ответственными за разработку, внедрение и поддержание в рабочем
состоянии процессов системы менеджмента персональной информации организации.
Настоящий стандарт применяется при управлении персональной информацией, в том
числе при обеспечении ее достоверности, а также при проведении внутренней и внешней
оценки соответствия законодательным и обязательным требованиям в области защиты
информации и передовому опыту». Про менеджмент систем управления персданными и
достижение соответствия – вижу. Про менеджмент непрерывности – нет.
Вообще, название у
нового творения получилось, на мой взгляд, совершенно бессмысленным. Если
честно, я совсем не могу понять, что такое «система менеджмента персональной
информации для обеспечения защиты данных». Что такое система управления –
понимаю. Что такое защита данных – тоже. А как может система управления
обеспечить защиту данных – не понимаю.
Кстати, GlobalTrust
Solutions еще в 2009 году сделал вполне адекватный русский перевод. Зачем
выдумывать что-то новое и кривое?
Было бы гораздо
логичнее, если бы новый стандарт оказался в группе 27ХХХ или, на худой конец,
13335, описывающих соответственно системы управления информационной
безопасностью и менеджмент безопасности сетей, информационных и
телекоммуникационных технологий. Покопавшись на сайтах, посвященных стандартизации,
пришел для себя к неутешительному выводу – эти две группы стандартов вне зоны
ответственности разработчика, АНО «НИЦ КД», который выполняет функции
секретариата технического комитета Росстандарта № 10 «Менеджмент риска» (оценим
название и язык), занимающегося как раз вопросами непрерывности бизнеса. Вот и
впихивали новый стандарт в свой ридикюль, хотя он туда совсем и не лезет.
И последнее. Вся
система стандартизации должна способствовать единому пониманию того, что
подлежит стандартизации. Зачем вводить в заголовке новый термин «персональная
информация» и вносить новую порцию сумятицы в и так давно смятенные умы
специалистов, пытающихся понять, как выполнить закон, совершенно не понятно.
Более того. Очень вредно. Вот уже появились комменты, что персональная
информация – это нечто более широкое, чем персональные данные. И вместо
облегчения и упрощения жизни, на что изначально должны быть направлены
стандарты (не знаешь как делать – открыл, прочел и знаешь), мы получаем еще
одну головную боль.
Дождемся опубликования
или возможности заказа текста документа. Посмотрим. Хотя стандарты в нашей
стране и не являются обязательными к исполнению.