29 января 2013 г.

Забавная такая стандартизация

В пятницу Алексей Краснов всколыхнул профессиональное сообщество, откопав на сайте Росстандарта сообщение о принятии стандарта ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Мы с Алексеем Лукацким и Андреем Прозоровым обсудили немного эту тему в Facebook, а Андрей даже успел выложить майнд-карту предполагаемого прототипа нового ГОСТа - британского стандарта BS 10012:2009 Data protection. Specification for a personal information management system.
ГОСТ, на мой взгляд, будет весьма странный. Найти его текст в Интернете не удалось. Нет его и в двух официальных торговых точках Росстандарта – в Интернет-магазинах стандартов ФГУП «СТАНДАРТИНФОРМ» и фирмы «ИНТЕРСТАНДАРТ», хотя я и готов был заплатить за него необходимую сумму – обычно около 1000 руб. Информация по поводу возможности заказа вполне определенная «Заказать нельзя. Документ еще не издан». Поэтому постить буду по проверенному советскому рецепту: «Не читал, но осуждаю».
Итак. Начнем. Номер и название. Предположение о том, что стандарт является переводом или производной британского стандарта BS 10012:2009 основываются, видимо, на том, что названия похожи, а других стандартов по персональным данным в ISO и BSI не просматривается. Кроме того, разработчик документа - АНО «Научно-исследовательский центр контроля и диагностики технических систем» («НИЦ КД») в поле «Нормативные ссылки на: Прочие» прямо указал «BS 10012:2009». И определил новоиспеченный стандарт, вступающий в силу почему-то с 1 декабря 2013 года, в группу 53647, описывающую вопросы… обеспечения непрерывности бизнеса. Предшественники данного стандарта описывали требования к системе управления непрерывностью бизнеса, порядок внедрения системы менеджмента, указания по обеспечению готовности к опасным ситуациям и инцидентам, а также непрерывности деятельности.
И вдруг – персональная информация (судя, опять-таки, по первоисточнику, речь идет все-таки о персональных данных). А она какое отношение к непрерывности бизнеса имеет? Ни федеральный закон, ни постановления правительства, ни документы ФСБ и ФСТЭК никаких требований к непрерывности не выдвигают. Есть общее положение об обеспечении возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Все.
Ничего про business continuity нет и в британском стандарте. Вообще. И называется он совсем по-другому – «Защита данных. Спецификация системы управления персональными данными» (или если дословно – персональной информацией). Есть там главка «6.2. Continual improvement» про «постоянное улучшение», но она, как обычно, требует непрерывного совершенствования всей системы управления персональными данными в организации.
Похоже, и сами разработчики не очень понимают, при чем здесь управление непрерывностью бизнеса. Читаем аннотацию к стандарту: «Настоящий стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области. Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов системы менеджмента персональной информации организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту». Про менеджмент систем управления персданными и достижение соответствия – вижу. Про менеджмент непрерывности – нет.
Вообще, название у нового творения получилось, на мой взгляд, совершенно бессмысленным. Если честно, я совсем не могу понять, что такое «система менеджмента персональной информации для обеспечения защиты данных». Что такое система управления – понимаю. Что такое защита данных – тоже. А как может система управления обеспечить защиту данных – не понимаю.
Кстати, GlobalTrust Solutions еще в 2009 году сделал вполне адекватный русский перевод. Зачем выдумывать что-то новое и кривое?
Было бы гораздо логичнее, если бы новый стандарт оказался в группе 27ХХХ или, на худой конец, 13335, описывающих соответственно системы управления информационной безопасностью и менеджмент безопасности сетей, информационных и телекоммуникационных технологий. Покопавшись на сайтах, посвященных стандартизации, пришел для себя к неутешительному выводу – эти две группы стандартов вне зоны ответственности разработчика, АНО «НИЦ КД», который выполняет функции секретариата технического комитета Росстандарта № 10 «Менеджмент риска» (оценим название и язык), занимающегося как раз вопросами непрерывности бизнеса. Вот и впихивали новый стандарт в свой ридикюль, хотя он туда совсем и не лезет.
И последнее. Вся система стандартизации должна способствовать единому пониманию того, что подлежит стандартизации. Зачем вводить в заголовке новый термин «персональная информация» и вносить новую порцию сумятицы в и так давно смятенные умы специалистов, пытающихся понять, как выполнить закон, совершенно не понятно. Более того. Очень вредно. Вот уже появились комменты, что персональная информация – это нечто более широкое, чем персональные данные. И вместо облегчения и упрощения жизни, на что изначально должны быть направлены стандарты (не знаешь как делать – открыл, прочел и знаешь), мы получаем еще одну головную боль.
Дождемся опубликования или возможности заказа текста документа. Посмотрим. Хотя стандарты в нашей стране и не являются обязательными к исполнению.

6 комментариев:

  1. Мммдя ... похоже разработчики этого ГОСТа и про непрерывность бизнеса и про перс.данные слышали тока в трамвае случайно. Выйдет почитаем. Может я зря на них наезжаю. Хочется надеятся, что документ хороший.

    ОтветитьУдалить
  2. М. Ю. "Все буквы угадал - слово не отгадал"...

    ОтветитьУдалить
  3. В 53647.1 - 53647.5 вполне себе непрерывность (внедрял, чуть сертифицироваться не пошел). Вернее, там как с 2700х серией: система менеджмента, требования, готовность и т.п.

    ОтветитьУдалить
  4. вот тут:
    http://pro-spo.ru/personal-data-security/4316-gost-r-536476-2012-trebovaniya-k-sisteme-menedzhmenta-personalnoj-informaczii-dlya-obespecheniya-zashhity-dannyx

    появился какой-то текст (похоже, что отсканированный и затем распознанный).

    разработчиков (переводчиков) стандарта надо было бы (заблаговременно) отправить на курсы по перс. данным - чтобы сущности не плодили и требования не придумывали и не перевирали.

    "При проведении оценки необходимо учитывать риск причинения вреда, ущерба и (или) моральных потерь лицам в случае возникновения инцидента, связанного с безопасностью."

    "Анализ со стороны руководства должен включать следующую информацию ... обратную связь, полученную от потребителей системы менеджмента персональной информации"

    "Программа аудита должна включать в себя проверку всех элементов обработки персональной информации, а также информации с высоким уровнем риска и обработки персональной информации подрядчиками"

    ОтветитьУдалить
  5. Спасибо! Почитаем. Начало огорчает: "физическое лицо (individual): Лицо, являющееся субъектом персональных данных", "несоответствие (nonconformity): Невыполнение требования [ГОСТ Р ИСО 9000-2008, ГОСТ Р ИСО 14001-2007]" и т.д. Что, в общем-то, ожидалось - см.пост

    ОтветитьУдалить