ISO 27701 a RODO

[stm_post_details]

W mediach w ostatnim czasie pojawiło się wiele informacji nie do końca właściwych. Dotyczą one normy ISO 27701, która w jakiś magiczny sposób stała się niemalże normą RODO. W dzisiejszym, nie za krótkim artykule będzie więc:

Reklama
  • O tym co to są normy wydawane w konkretnej rodzinie norm;
  • O tym, czy prywatność jest tylko JEDYNYM prawem czy wolnością chronioną w RODO, mimo dość szerokiej definicji prywatności, czyli dlaczego można powiedzieć, że nazywanie ISO 27701 normą do RODO jest… (wstawcie sami swoje słowo). 
  • Dlaczego uważać na poradniki organów nadzorczych. A dokładniej, dlaczego UWAŻNIE je czytać, a nie bezrefleksyjnie przeklepać (na przykładach). 
  • Inne standardy, które mogą wspierać ochronę danych. 

ISO 27001 a ISO 27701 czyli normy w rodzinie

Lubię nazwę “rodzina norm”, więc dziś będę się nią posługiwał (w ISO też jest to dopuszczalne). Rodzina norm, to normy wydane pod tym samym oznaczeniem i dedykowane temu samemu zagadnieniu oraz prowadzone przez ten sam komitet techniczny. Pozostając przy głównej bohaterce, jest ona wydana w rodzinie norm ISO 27k (27 tysięcy, czy 27000). Oznaczenie 27k jest najbardziej powszechne w międzynarodowym środowisku i nie wprowadza w błąd dlatego, że norma ISO 27000 istnieje jako odrębny byt. 

  • ISO 27000 – jest to przegląd i wprowadzenie w tematykę bezpieczeństwa informacji. 
  • ISO 27001 – zawiera wymagania, czyli to co należy spełnić aby poddać się certyfikacji;
  • ISO 27002 – jest swego rodzaju rozwinięciem ISO 27001, czyli po prostu tłumaczy… Mała dygresja. Coraz częściej normy zawierają w jednym dokumencie zarówno wymagania jak i omówienie co do stosowania (requirements & guideline). 

W strukturze tej rodziny znajduje się nasza dzisiejsza bohaterka, czyli ISO 27701. Może podam tytuł na początek, bo kilku osobom zdaje się umknął:

Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines

A teraz po polsku. Najważniejsze zaznaczę:

Techniki bezpieczeństwa – Rozszerzenie do ISO / IEC 27001 i ISO / IEC 27002 w zakresie zarządzania informacjami o prywatności – Wymagania i wytyczne

Żeby jeszcze dalej wprowadzić, więc z abstraktu więc..  wprowadzenie z wprowadzenia:

Niniejszy dokument dotyczy wszystkich typów i wielkości organizacji, w tym firm publicznych i prywatnych, podmiotów rządowych i organizacji non-profit, które są administratorami PII i / lub procesorami PII przetwarzającymi PII w ramach SZBI.

  • SZBI – w oryginale ISMS to System Zarządzania Bezpieczeństwem Informacji (Information Security Management System) ustanowiony, wdrożony i rozwijany na podstawie normy ISO 27001 (to ta co ma wymagania – przypomnę). 
  • PII ma wiele znaczeń. Co do zasady oznacza “personally identifiable information”. A definicji na to w normach ISO jest naprawdę wiele. W dużym skrócie – dotyczy to danych identyfikujących osoby. 

Wróćmy więc do osadzenia normy ISO 27701 i wymagań (bo ta norma zawiera wymagania do certyfikacji). Otóż jak widać na powyższym wyjaśnieniu jest to norma rozwijająca wymagania normy ISO 27001 oraz w jeszcze bardziej dokładny sposób wskazująca postępowanie z danymi sklasyfikowanymi jako PII. Ale wprost, w samym tytule mówi o tym, że rozszerza SZBI oparty o ISO 27001. Więc nie jest normą wydaną samodzielną i skierowaną do sektora ochrony danych osobowych, a normą związaną z PII (głównie prywatnością) w strukturze SZBI. 

Co rozszerza ISO 27701?

Norma ISO 27001 jako zawierająca wymagania (podobnie jak 27002, zawierająca wyjaśnienie tych wymagań) złożona jest niejako z kilku części. Nam do zrozumienia miejsca i roli ISO 27701 wystarczą dwa główne elementy, czy części:

  • Część 1 – podstawy i zakres systemu. Czyli przywództwo, kontekst i wiele innych obszarów, ale ogólnych. 
  • Część 2 – załącznik normatywny, grupujący w 14 zestawów zabezpieczenia (od A.5 do A.18). Każdy z tych zestawów jest znów podzielony na konkretne podgrupy wymagań z dopisanymi zabezpieczeniami (wymaganiami co do nich).

Załącznik normatywny A, cele zabezpieczeń w A.18:

  • A.18 Zgodność
  • A.18.1 Zgodność z wymaganiami prawnymi i umownymi
  • A.18.1.4 Prywatność i ochrona danych identyfikujących osobę (PII). 

Zabezpieczenie: Należy zapewnić prywatność i ochronę danych identyfikujących osobę stosownie do odpowiednich 

ISO 27701 rozszerza czy dokładniej uszczegóławia kwestię ochrony prywatności (formalnie PII) w SZBI opisane w A.18.1.4. Przy czym warto pamiętać, że SZBI ustanowiony zgodnie z ISO 27001 nie ma na celu ochrony osoby, której dane są przetwarzane, a chroni informacje ważne z punktu widzenia organizacji. Innymi słowy celem jest ochrona organizacji, nie ochrona każdej, pojedynczej osoby, której dane są w naszej firmie. Ochronę dla prywatności ustanawia się w celu:

  • Uzyskania zgodności (cel ogólny zabezpieczeń z A.18)
  • Uzyskania efektów dodatkowych, ale też rozumianych jako zgodność. Np. programy odpowiedzialności społecznej (CSR) w których odznaczone zostają osoby (klienci, pracownicy) jako nasz najważniejszy zasób. 
  • Inne, ale nadal realizujące cele biznesowe czy statutowe organizacji, a nie cele RODO. 

Analogia

Mamy w Polsce przepis, który mówi o ochronie tzw. cyberbezpieczeństwa- Ustawa o krajowym systemie cyberbezpieczeństwa. KSC (krajowy system cyberbezpieczeństwa) dotyczy firm będących tzw. operatorami usług kluczowych lub dostawcami usług dla takich firm (duuuuży skrót). Innymi słowy nie jest to przepis dotyczący konkretnej firmy i jej celów biznesowych czy ustawowych, czy osoby fizycznej, której dane są przetwarzane w systemach objętych KSC.  I do tej ustawy wydane zostało rozporządzenie, określające wymagania dla ochrony fizycznej i zabezpieczenia technicznego.

  • Czy zastosujemy KSC do ochrony naszej firmy?
  • Czy zastosujemy KSC do ochrony danych osobowych?

Co do zasady nie, bo to inny zakres. Możemy użyć tych regulacji jako dobre praktyki, ale mówienie, że dane osobowe objęte ochroną np. opisaną w rozporządzeniu wskazujące minimalne zabezpieczenia fizyczne dla systemów w KSC, spełniają wymagania RODO, albo dalej – “mam KSC to na pewno mam dobrze zrobione RODO”, jest chyba co najmniej nadużyciem. A tak mniej więcej wygląda to z zastosowaniem ISO 27701, czyli standardu z zupełnie “innej bajki”. Standardy lepiej pasujące do RODO wskażę niżej, jak i zestawię przyczyny, dla których niekoniecznie ISO 27701 jest takim dobrym rozwiązaniem. 

W temacie ISO 27001, uzyskania zgodności z przepisami czy tego, czy w mając system zgodny z ISO 27001 możemy być zgodni pisałem przed rozpoczęciem obowiązywania RODO. Na kanwie wywiadu udzielonego przez koordynatora wdrożenia RODO w Polsce pana Macieja Kaweckiego. Zresztą artykuł oparty o nieco… dziwne teorie. Dziś CNIL jakby potwierdza, że ISO 27001 może dać zgodność (mimo, że nie jest standardem dedykowanym). Może, ale nie dlatego, że wdrożymy ISO 27701, tylko dlatego, że spełnimy wymaganie z 18.1.4 – czyli uzyskamy zgodność z przepisami. Z pomocą ISO 27701 dla przykładu. 

Link do artykułu: https://www.linkedin.com/pulse/gdprrodo-nie-iso-greg-krzeminski/ 

Organy i ich poradniki

CNIL nie jest pierwszym organem, który… dość luźno dobiera sobie normy i standardy. Nasz krajowy Urząd Ochrony Danych Osobowych zaproponował w klasyfikacji danych, w poradnikach dotyczących ryzyka, oparcie się o … wartość księgową za ISO 27005. A który z podmiotów ochrony (osoba której dane dotyczą) wycenia swoje informacje? Może jednak warto posłużyć się wartościowaniem informacji (danych osobowych) zaszytym w RODO? Dane zwykłych kategorii, dane szczególnych kategorii, dane dot. skazań. W wartościowaniu informacji wcale nie chodzi o przypisanie im kwot, tym bardziej że może to być wartość księgowa, czy odtworzeniowa, ale też i procesowa. I niestety nie jest to jedyna wpadka organu. 

Podsumowanie

Może tytułem podsumowania, dlaczego mówienie, że ISO 27701 jest normą dla ochrony danych jest BŁĘDEM:

  • ISO 27701 uszczegóławia zakres zabezpieczeń opisanych w A.18. Oznacza to, że działać skutecznie będzie tylko tam, gdzie jest wdrożony system SZBI oparty o ISO 27001. W pozostałych organizacjach może być co najwyżej dobrą praktyką. 
  • ISO 27k jest rozwijane przez komitety w ramach ISO i IEC i co do zasady dotyczą rozwiązań IT (w Polsce to komitet 182 związany wprost z IT, wcześniej w ISO był to komitet z nazwy wręcz działający w sektorze IT, obecnie jest to zespół komitetów). A więc pojawia się spora luka dla danych przetwarzanych tradycyjnie (akta, wydruki, listy, protokoły). 
  • PII – co do zasady obejmuje dane identyfikujące osobę. W niektórych standardach przewija się kwestia pozostałych danych (prawie wszystkich). Niemniej w większości standardów (ANSI, ISO, BS) PII dotyczy co do zasady poufności. Czyli ochrony informacji przed ujawnieniem (naruszeniem prywatności). A RODO wymaga jeszcze wielu innych elementów, np. integralności i poprawności danych czy dostępności czy zgodności, co jest w pozostałych elementach ISO 27001 i opisane w innych grupach zabezpieczeń (dla przypomnienia – A.18.1.4 to nasza prywatność). 

Czy stosować?

Oczywiście! Jako dobra praktyka, dobrze jest stosować wiele rozwiązań, które są ze sobą kompatybilne. Niemniej należy pamiętać, że większość z tych norm i standardów jest wydana w celu ochrony biznesu. A RODO jak wszystkie akty z grupy ochrony jednostki – nakieorwane są na ochronę jednostki (np. BHP jest podobnym zakresem regulacji). 

Standardy dedykowane

W ISO i w BS wydane zostały standardy, które wydają się być bardziej adekwatne czy do prywatności czy do ochrony danych. Nie są to rozszerzenia systemów, a samodzielne systemy zarządzania, co powoduje, że cel ich wydawania jest nieco inny. 

  • Pierwszą z norm, która zasługuje na wskazanie jest ISO 29100. Norma która zawiera w sobie definicję PII i na którą powołuje się wiele innych standardów. W normie tej jest struktura systemu zarządzania PII, tzw. framework. Ważne, że ta rodzina norm ma za cel ochronę informacji klasyfikowanych jako PII, a nie jest rozszerzeniem innego systemu. W normie tej jest też definicja sensytywnych PII. W strukturze tej rodziny jest wiele fajnych wydań. Np. ISO/IEC 29151 czyli praktyczne zasady ochrony informacji o identyfikowalnych osobach (podkreślam zawężenie definicji, która w RODO jest szersza). 
  • Druga norma, bardziej standard brytyjski wydany przez BSI – to BS 10012. Tytuł to “ochrona danych, specyfikacja dla systemu ochrony danych personalnych”. Pisałem o tym standardzie zaraz po jego przeglądzie w związku z RODO https://www.linkedin.com/pulse/brexit-i-gdpr-bs-100122017-greg-krzeminski/ Zastępca ICO czyli naszego odpowiednika Prezesa Urzędu Ochrony Danych Osobowych wyraził wręcz opinię, że wdrożenie tego systemu da zgodność z RODO. 

Podsumowanie 2

Myślę, że warto zrozumieć jedną kluczową kwestię. Można użyć dowolnego systemu, rozwiązania. Nawet nie związanego z bezpieczeństwem informacji, czy danymi osobowymi. Proszę, tutaj link do artykułu o HACCP i RODO. HACCP to system bezpieczeństwa żywności, wdrożony na mocy rozporządzenia UE (tak jak RODO) i bazujący na Codex Alimentarius. Założenia opisałem i … jeden z druków do analizy ryzyka w RODO jest oparty o analizę zagrożeń dla żywności. 

https://www.linkedin.com/pulse/haccp-i-rodo-greg-krzeminski/

Istotne jest to, aby rozumieć. Aby zrozumieć, że slogan reklamowy, marketingowy nie da nam żadnej zgodności. Porównajmy to co w normie jest. Zróbmy coś, co ja nazywam GAP-ANALYSIS czyli analizą różnic. I przeanalizujmy czym różni się podejście normy, standardu czy nawet zakupionej dokumentacji do tego czego wymaga RODO. I wtedy będzie bezpiecznie. Nie.. nie dla nas i dla naszej firmy. 

Dla osoby, której dane dotyczą. 

Bo po to jest RODO

[stm_post_about_author]