Avem ISO 27001: ce ne mai trebuie pentru alinierea GDPR?

 

GDPR încurajează utilizarea unor sisteme de certificare pentru a demonstra că organizația gestionează în mod activ securitatea datelor în conformitate cu cele mai bune practici internaționale. Cei care cunosc standardul 27001 pentru securitatea informațiilor spun că acesta se ”potrivește mănușă” cerințelor de bază pentru asigurarea securității datelor personale și prelucrării acestora. Unii chiar afirmă că foarte puține dintre controalele prevăzute de ISO 27001 nu își regăsesc echivalentul în cele 99 de articole din GDPR. Cu toate acestea, acest standard nu apare nici măcar o dată menționat în textul GDPR publicat în aprilie 2016, iar cunoscătorii afirmă că implementarea lui nu este suficientă pentru alinierea la GDPR. Haideți să vedem cum ne ajută ISO 27001 și mai ales ce ar mai avea de făcut pentru GDPR organizațiile care au implementat deja acest standard.

În GDPR se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității.  În articolul 42, se încurajează ”instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.”

Ce este ISO 27001?

ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale unui regim comprehensiv de securitate a informațiilor: oameni, procese și tehnologie. Prin această abordare tridimensională la punerea în aplicare a măsurilor de protecție a informațiilor, compania se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente.

Versiunea care a stat la originea actualului standard se numea BS 7799 și a fost publicată în 1995 de Departamentul Comerțului și Industriei (DTI) al Regatului Unit. De atunci, a suferit mai multe iterații până să devină un recunoscut standard industrial. Versiunea actuală a fost creată de către Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia Electrotehnică Internațională (IEC) în 2013. În esență, este o specificație pentru un Sistem de Management al Securității Informațiilor (Information Security Management System – ISMS), pentru a ajuta organizațiile de orice dimensiune, tip sau natura afacerii pentru a gestiona persoane, procese și tehnologie.

Ce au în comun ISO 27001 și GDPR?

Paralela dintre GDPR și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile. Atât pentru respectarea GDPR, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea.

GDPR prevede în mod clar la articolul 32 că “operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului. ISO 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul ISO 27001 poate ajuta companiile să realizeze respectarea acestei reglementări. Iată câteva dintre cele mai relevante.

ISO 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe GDPR care nu sunt acoperite în mod direct de ISO 27001, dar dacă implementarea standardului ISO 27001 identifică datele personale ca fiind un element de securitate a informațiilor, majoritatea cerințelor GDPR vor fi acoperite.

Formarea unui sistem de management al securității informațiilor (Information Security Management System – ISMS) permite organizațiilor care procesează date cu caracter personal să demonstreze că riscurile pentru datele cu caracter personal sunt revizuite în mod continuu, actualizate și îmbunătățite. Un ISMS stabilit este cadrul perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru datele personale și pot oferi asigurări din care reiese că organizația abordează respectarea conformității ISO 27001 și GDPR în mod serios. În unele cazuri, controalele pot fi mapate cu precizie la articolele GDPR, ambele surse partajând un conținut asemănător. În alte cazuri, controalele pot bătători calea, iar conformitatea GDPR poate fi atinsă cu ceva muncă și eforturi suplimentare. Chiar și în cazul în care textul GDPR deviază de la controalele ISO, obiectivele principale nu diferă radical.

Pseudonimizarea și criptarea – Criptarea datelor este recomandată de ISO 27001 ca fiind una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile identificate. ISO 27001 conturează 114 controale care pot fi utilizate pentru a reduce riscurile de securitate a informațiilor. Deoarece controalele efectuate de o organizație se bazează pe rezultatele unei evaluări a riscurilor conforme ISO 27001, organizația va putea să identifice care active sunt expuse riscului și care necesită criptare pentru a le proteja în mod adecvat.

Evaluarea riscurilor – ISO 27001 mandatează organizațiile să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile de informare ale unei organizații și să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestor date. GDPR cere în mod special o evaluare a riscurilor pentru a se asigura că o organizație a identificat riscuri care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”

Măsuri adecvate pentru risc – Spre deosebire de legislația actuală privind protecția datelor, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv:

  • Pseudonimizarea și criptarea datelor cu caracter personal;
  • Abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor de prelucrare și Servicii;
  • Abilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic;
  • Un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.

ISO 27001 cere organizațiilor să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. Controlul A.10.1 specifică cerințele de criptare pentru organizare. Utilizarea criptării și / sau pseudonimizarea pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile.

A.9 acoperă subiectul controlului accesului, care, dacă este implementat în mod corespunzător, ne va asigura că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. În plus, sistemele IT trebuie să fie suficient de rezistente la atacuri externe. Cadrul de control ISO 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare cu grijă, astfel încât sistemele testate să nu fie compromise.

Sursa: Pinterest

Clasificarea informațiilor – Datele sunt în centrul fiecărei afaceri și de aceea clasificarea este atât de importantă. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri, aspect critic atunci când este vorba de protejarea celor mai valoroase date.

ISO 27001 nu descrie nivelurile de clasificare – ceea ce ne oferă libertatea de a ne stabili propriile reguli – în funcție de complexitatea fluxurilor de date din organizație. Un număr mare de scurgeri de date sunt accidentale și pot fi evitate printr-o politică de clasificare a datelor prin sensibilizarea utilizatorilor și prevenirea transferului neautorizat al conținutului cu caracter delicat.

Conformitatea – Prin implementarea standardului ISO 27001, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) este obligatorie existența unei liste a cerințelor legislative, statutare, de reglementare și contractuale relevante. Cum aproape orice organizație trebuie să fie conformă cu GDPR, Regulamentul va trebui să facă parte din această listă. Controlul A.18.1.4 (Confidențialitatea și protecția informațiilor de identificare personală) reprezintă chiar o substituție a GDPR pentru regiunile unde acesta nu este disponibil.

Notificare privind încălcarea – Companiile vor trebui să notifice autoritățile de date în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului ISO 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un” risc ridicat pentru drepturile și libertatea subiectului. Implementarea gestionării incidentelor, care are drept rezultat detectarea și raportarea incidentelor de date cu caracter personal, va aduce o îmbunătățire organizației care dorește să se conformeze GDPR.

Gestionarea incidentelor este unul dintre procesele cheie  pentru a asigura eficiența oricărei operațiuni de afaceri, iar ISO 27001 prin clauza A.13 vine cu un nivel egal, dacă nu superior, de importanță față de alte standarde și norme. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.

Gestionarea activelor – Controlul ISO A2.8 (Asset Management) conduce la includerea datelor cu caracter personal ca active de securitate a informațiilor și permite organizațiilor să înțeleagă ce date personale sunt implicate și unde să le stocheze, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR.

Confidențialitatea prin design – Adoptarea conceptului de confidențialitate prin design, o altă cerință EU GDPR, devine obligatorie în dezvoltarea de produse și sisteme. Controlul ISO 27001 A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.

Relațiile cu furnizorii – Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”. Potrivit GDPR, organizația deleagă procesarea și stocarea de către furnizori a datelor cu caracter personal; ea trebuie să respecte cerințele regulamentului prin clauzele speciale din contactele de business.

Oameni, procese, tehnologie

Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate.

Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard larg, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii. ISO 27001 a fost deja adoptată de mii de organizații la nivel global, fiind unul dintre cele mai populare standarde ale sistemului de management de astăzi.

Este suficient ISO 27001?

Există câteva cerințe cheie GDPR care nu sunt direct acoperite în ISO 27001, cum ar fi conceptele-cheie de: consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date.

Cu toate acestea, este clar că ISO 27001 oferă un cadru care oferă o bază solidă pentru respectarea standardelor GDPR. Dacă organizația a implementat deja standardul, aceasta este cel puțin la jumătatea drumului spre asigurarea protecției datelor personale și minimizarea riscului de scurgere, din care impactul financiar și vizibilitatea pot fi catastrofale pentru organizație.

Primul lucru pe care o organizație ar trebui să-l facă este să efectueze o analiză GAP pentru a vedea ce mai are de făcut pentru a îndeplini cerințele GDPR și apoi aceste cerințe pot fi ușor adăugate prin sistemul de management al securității informațiilor care este deja stabilit de ISO 27001.

 

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

One Response to Avem ISO 27001: ce ne mai trebuie pentru alinierea GDPR?

  1. Pingback: GDPR – UN STATUS DUPĂ 100 DE ZILE | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: