GDPR i ISO-IEC 27001

UVOD

Na početku želimo prvo da naglasimo da www.dsgvo-risiko.de ne sprovodi sertifikaciju ili obuku ISO/IEC 27001. Ipak, naši korisnicima tokom sprovođenja projekta revizije i forenzike podataka od značaja za GDPR dobijaju mogućnost da integrišu vodeće međunarodne propise u oblasti upravljanja sigurnošću informacija!

Zašto se rukovodimo ovim skupom pravila kada su u pitanju naše usluge, iako za većinu naših korisnika to nije obavezno?
Mi to posmatramo kao veoma dobro uputstvo koje kompanijama pruža mogućnost da periodično provere sopstvenu stabilnosti u smislu sistema upravljanja sigurnošću,a time i zadovolje sve više tehnološke standarde i osiguraju se od potencijalnih opasnosti.

Međutim, kompanije mogu primeniti pravila bez pravljenja visokih troškova dobijanja i posedovanja sertifikacije za ISO/IEC 27001. Ova pravila stvaraju zaista dobar okvir rada za otklanjanje rizika, koji ima dosta sličnosti sa smernicama za usaglašavanje sa regulativom. Namera je da prepozna specifične pretnje za sigurnost informacija i time smanji taj rizik za kompaniju. Pruža veću sigurnost!

Stoga imamo priliku da sa našim korisnicimo idemo, korak po korak, do željenog nivoa:

1. PREVENCIJA I NEDOSTACI

Želimo biti nepristrasni u vezi sa ISO/IEC 27001 sertifikatom, i ukazati na njegove prednosti i nedostatke. Zatim pogledajmo koliko to ima veze sa GDPR-om, i upotrebimo ga kao pomoć ili uputstvo za uvođenje zaštite podataka.

Prednosti 🙂

  1. Opšte je prihvaćeno i nametnulo se kao međunarodni standard.
  2. Zahtevi su tehnički izvodljivi i mogući bez angažovanja eksternih resursa.
  3. Iskusno osoblje se može barem pridobiti.
  4. Literatura je lako dostupna i nudi razne mogućnosti za dalje edukovanje, na raznim kursevima i seminarima.
  5. Pružaoci konsultantskih usluga, implementacije i povremene revizije su dostupni.
  6. Nosi odličan marketinški efekat.

Nedostaci 🙁

  1. Visoki troškovi osoblja (i jednokratni i tekući troškovi).
  2. Pomalo glomazno, nakon čega daje prostor za tumačenje.
  3. Postupci testiranja su delimično zastareli i površni (većim delom obična papirologija).
  4. Ako se ne bavite IT uslugama i ne obrađujete podatke treće strane, niti ste aktivni i energetskom sektoru, neće mnogo uticati na vaše poslovanje.
  5. Zavisnost od centra za testiranje kako bi se zadržavala sertifikovanost jer bi, u suprotnom, došlo do neprijatnosti.
  6. Iako su postavljene kao standard, primetna su odstupanja u kvalitetu i brizi u opadanju su. U suprotnom nije moguće objasniti zašto se vrši prekogranična sertifikacija, mada bi to moglo postojati lokalno.

2. ZAŠTO NEMATI SVE?

Krajnje pragmatično, posmatramo kompanije bez procene i svrstavamo ih u 4 grupe, i to:

Grupa 1: Kompanije koje namerno kažu DA!

Broj kompanija koje su u postupku sertifikaciji je je u stalnom porastu. Kao glavni razlog vidimo taj da su one došle do zaključka da su one već radile u skladu sa standardima ISO/IEC 27001 sertifikata. Za ove kompanije revizija u svrhu sertifikacije je bila samo formalnost koju su one, nakon uspešnih priprema bez problema i ostvarile. Ove kompanije koriste činjenicu svog posedovanja ovog sertifikata u marketinške svrhe. U većini slučajeva, izgleda da menadžer marketinga i prodaje ima više koristi od ovog sertifikata nego IT menadžer.

Grupa 2: Kompanije koje namerno kažu NE!

Mnoge kompanije koriste okvir ISO/IEC 27001 sertfikata i rukovode se njime, i još uvek teže sertifikaciji. Svaka od njih ima svoje razloge za to, od nedostatka resursa ili budžeta za te namene pa do toga da ne mogući izvući nikakvu marketinšku korist od toga. U ovu kategoriju svrstavamo i one koji nisu obnovili sertifikat. Svakako, menadžment poredi troškove i koristi koje iz toga proizilaze.

Grupa 3: Kompanije koje ni ne znaju koliko su blizu!

Primećujemo da ima i kompanija koje nisu ni svesne rade vrlo blisko ISO/IEC 27001 standardu. To su, pre svega, kompanije koje se sve više oslanjaju na savremene usluge i CLOUD tehnologije. Mnoge ove funkcije CLOUD-a već ispunjavaju tražene standarde a njihovi korisnici ih dobijaju u sklopu ostalih usluga.

Grupa 4: Kompanije koje imaju druge prioritete!

Naravno, postoje kompanije koje ne žele ili ne mogu time zbog svog ekonomskog rasta, geografske distribucije ili nedostatka interesa. Zanimljivo je uočiti paralele, jer je u tim kompanijama i primena GDPR-a izuzetno teška. Očigledno, nije ni bitno da li je postizanje standarda dobrovoljnog karaktera ili je pravno obavezujuće.

3. Da li se GDPR zapravo odnosi na sertifikaciju ISO/IEC 27001?

ISO/IEC 27001 je uveden u kontekstu sa GDPR-om zbog člana 32. Ili pak obrnuto, ako se uzme u obzir redosled pojavljivanja. Naravno, konsultanti iz oblasti sertifikacije ISO/IEC 27001 ukazuju na to da potencijalni korisnici koriste ovaj standard da bi se usaglasili sa GDPR-om. Usaglašenost sa GDPR-om onda predstavlja dodatnu uslugu.

Ali hajde da pažljivije razmotrimo pomenuti Član 32:

  1. Imajući u vidu sadašnje stanje tehnologije, troškove njenog uvođenja i njenu prirodu, opseg, okolnosti i svrhu njenog uvođenja, i različitu verovatnoću i ozbiljnost rizika za prava i slobode fizičkih lica, revizor i rukovalac tim podacima će preduzeti odgovarajuće tehničke i organizacione mere kako bi postigli odgovarajući nivo zaštite od takvog rizika; Ove mere mogu podrazumevati, pored ostalog:
    1. pseudonimizacija i šifrovanje ličnih podataka;
    2. sposobnost da se obezbedi poverljivost, objedinjenost, dostupnost i otpornost sistema i usluga koji se odnose na obradu podataka za stalno;
    3. mogućnost brzog vraćanja dostupnosti i pristupa ličnim podacima u slučaju fizičkog ili tehničkog incidenta;
    4. proces periodične provere, procene i ocene efikasnosti tehničkih i organizacionih mera kako bi se osigurala sigurnost obrade podataka.
  2. Prilikom procene odgovarajućeg nivoa zaštite, posebno se uzimaju u obzir rizici - koji se odnose na obradu, a posebno uništavanje, gubitak ili izmenu podataka, bilo da se vrši nenamerno ili protivzakonito, ili neovlašćeni pristup ili obelodanjivanje ličnih podataka koji se prenose ili čuvaju, ili su na drugi način obrađeni.
  3. Usaglašenost sa odobrenim pravilima ponašanja u vezi Člana 40. ili odobrenog postupka sertifikacije u vezi Člana 42, može se koristiti kao činjenica koji dokazuje usaglašenost sa zahtevima iz stava 1. ovog člana.
  4. Kontrolor i obrađivač će preduzeti korake kako bi obezbedili da lica koja imaju pristup ličnim podacima obrađuju te podatke samo po nalogu kontrolora, osim ako su zaduženi za obradu podataka od Evropske unije ili neke od država članica.

Naš zaključak u vezi sa Koneks GDPR i ISO/IEC 27001

Treća tačka člana 32 odnosi se na član 42 u smislu da "(se) može koristiti kao faktor" za potvrđivanje ispunjenja člana kao u tački 1 (pažnja na reč: može). U praktičnom smislu, postojeći sertifikat olakšava rad organa u postupku revizije i povezuje savesno rukovanje ličnim podacima prilikom posete veb-sajtu, lobiju kompanije ili na svom memorandumu.

Ali savesno rukovanje podacima mogu obavljati i nesertifikovane kompanije, nakon što usvoje pravila, redovno ih prilagođavaju, ispravno ih dokumentuju i tehnološki su ažurne. Stoga oni, u stvari, već sprovode član 32 a uzeli su u obzir i preporuku iz tačke 3.

Sa sopstvenim standardima, koji su u skladu sa propisima ISO/IEC 27001, oni u sledećem koraku vlastima zapravo samo potvrđuju upotrebu visoko-sigurnosnog standarda. U svakom slučaju, za pretpostaviti je da nećete biti pošteđeni dublje analize rada vašeg IT-a tokom ispitivanja GDPR-a.

Posedovanje ovog sertifikat ne znači da vlasti neće izvršiti uvid u slučaju kršenja. Stvar je u tački 4 člana 42, koja pravi veliku razliku između GDPR-a i ISO/27001!

Prelazimo na stvar: Sertifikovanost opisana u tački 3 člana 32 ne treba se smatrati obavezujućom preporukom organa vlasti! Očigledno je bilo advokata koji su želeli da se ovo primeni tokom pregovora sa EU. Međutim, protivnici su u tački 4 člana 42 osigurali sebi da sertifikacija ISO/IEC 27001 ne znači čistu zdravstvenu ispravu. Za kompanije sada ostaje zadatak da postave visok standard u upravljanju bezbednošću informacija. Nezavisno od toga da li su sertifikovane, to neće imati uticaja na kaznu. Da nije tako, kompanije bi sa certifikatom ISO/IEC 27001 stekle i osiguranje protiv kršenja GDPR-a zajedno.

To nije moguće!

4. Sličnosti i podudarnosti između GDPR-a i ISO/IEC 27001

Svi smo primetili da postoje određena podudaranja između dobrovoljnih standarda i Opšte uredbe o zaštiti podataka (GDPR). Manja je nego što smo očekivali:

5. Uvođenje GDPR-a sa i bez ISO/IEC 27001 sertifikata

Bez obzira da li imaju ili nemaju sertifikat, kompanije su obavezne implementirati GDPR. Početna pozicija kompanije može biti različita. Prilagođavamo joj svoj pristup i fokusiramo se na zajedničke ciljeve kupca. Navešćemo najčešće polazne tačke i moguće ciljeve naših kupaca:

Kompanija je sertifikovana ISO/IEC 27001 sertifikatom!

Njena sertifikacija potvrđuje da klijent ima odličan osnovni uvid u trenutno stanje u kompaniji. IT infrastruktura kompanije je transparentno dokumentovana od strane različitih sistema i ne zahteva da postavimo osnovu. Pruža podatke i dokumentaciju, a mi se fokusiramo isključivo na naredni nivo naše piramide rizika. Sa revizijom i forenzikom podataka u vezi GDPR-a postižemo sigurnu uspešnost i usaglašenost sa GDPR-om.

Kompanija ima sopstvene standarda za upravljanje bezbednošću informacija!

Ova situacija je za nas ista kao i za postojeću sertifikaciju. Ovde se mora razjasniti da li kupac traži sertifikaciju za ISO/IEC 27001 standard i da li želi preliminarnu reviziju za sertifikaciju ISO/IEC 27001 u okviru projekta revizije i forenzike podataka od značaja za GDPR. Upoređujemo rezultate naše revizije u vezi GDPR-a sa očekivanjima za ISO/IEC 27001, i pomažemo kompaniji da pravilno proceni šanse za dobijanje sertifikata! Međutim, ukoliko se kupac i dalje ne trudi da dobije sertifikat ISO/IEC 27001, naše usluge će biti usmerene na usklađenost sa GDPR-om. To znači da će njen postojeći standard biti iskorišćen kao struktura za našu reviziju i forenziku podataka od značaja za GDPR.

Korisnik nije obnovio svoju sertifikaciju!

U zavisnosti od vremena od kada je sertifikacija istekla, kao i kvaliteta podataka i ažurnosti postojeće dokumentacije, razjasnićemo gde se i kako ona primjenjuje. Nudimo potrebnu podršku kompanijama koje su u takvoj situaciji kako bismo obnovili njihove osnove za funkcionalnu usklađenost sa GDPR-om. Ovo se tada zasniva na pravilima standarda ISO/IEC 27001, ali ne zahteva nužno sertifikaciju.

Korisnik kreće od početka jer je imao drugačije prioritete!

Kompanije koje, do stupanja na snagu zakonskog uslova GDPR-a, koji će se moratii promeniti što je pre moguće. Kreiramo kartografiju za takve kompanije, za celu kompaniju, a koristimo se i pravilima za ISO/IEC 27001, kako bi ove kompanije postigle neophodnu transparentnost i položile ispit GDPR-a. Naš revizije i forenzike podataka od značaja za GDPR obezbeđuje jasnoću i značajno će smanjiti GDPR rizik!

Gradimo most između GDPR-a i ISO/IEC 27001 standarda!

U našoj Inteligentnoj proceni rizika, a potom i Inteligentnim upravljanjem rizicima, koristimo naše alate - SPP (Standardizovano prikupljanje podataka) i RPP (Revizija po postupku). Ovo podrazumeva sva pitanja potrebna za ISO/IEC 27001 standard i omogućavaju nam da uporedimo i procenimo stvarno stanje klijenta u skladu sa tim zahtevima. Apsolutna prednost je u tome što se naše rešenje pokreće automatski i štedi dosta vremena i novca. Stoga nudimo veoma dobar način za uspešnu implementaciju člana 32 iako nema sertifikacije.