Kā ISO/IEC 27001:2022 atbalsta GDPR atbilstību MVU

Mazajiem un vidējiem uzņēmumiem orientēšanās GDPR un ISO/IEC 27001:2022 savstarpēji pārklājošajās prasībās var šķist kā divu dažādu uzdevumu risināšana ar vieniem un tiem pašiem elementiem. Šajā ceļvedī skaidrots, kā izmantot ISO 27001 strukturēto, uz riskiem balstīto pieeju kā efektīvu mehānismu GDPR stingro datu aizsardzības principu vadībai, pārvaldībai un atbilstības pierādīšanai.

Kas ir likts uz spēles

MVU gadījumā sekas, kas rodas, pienācīgi neaizsargājot personas datus, sniedzas tālu ārpus regulatoru piemērotajiem naudas sodiem. Lai gan GDPR sankcijas ir būtiskas, darbības un reputācijas kaitējums pēc personas datu aizsardzības pārkāpuma var būt vēl smagāks. Viens incidents var izraisīt negatīvu seku virkni: zaudētu klientu uzticēšanos, atceltus līgumus un zīmola reputācijas bojājumu, kura atjaunošanai nepieciešami gadi. Regula prasa ieviest atbilstošus tehniskos un organizatoriskos pasākumus personas datu aizsardzībai — prasību, kas tieši atbilst ISO 27001 pamatfilozofijai. Šīs prasības ignorēšana nozīmē pieņemt tādu riska līmeni, kas var apdraudēt visu uzņēmuma darbību. Runa nav tikai par izvairīšanos no sodiem; runa ir par darbības nepārtrauktības nodrošināšanu un uzticēšanās saglabāšanu, ko esat izveidojuši ar klientiem un partneriem.

Spiediens nāk no visām pusēm. Klienti arvien labāk apzinās privātuma nozīmi un arvien biežāk pieprasa pierādījumus par stabilu datu aizsardzības praksi. Darījumu partneri, īpaši lielāki uzņēmumi, bieži nosaka atbilstību tādiem standartiem kā ISO 27001 kā līgumisku priekšnoteikumu. Viņiem ir nepieciešams apliecinājums, ka viņu dati un jebkuri personas dati, ko apstrādājat viņu vārdā, ir drošībā. Nespēja sniegt šādu apliecinājumu var nozīmēt vērtīgu līgumu zaudēšanu. Iekšēji strukturēta drošības ietvara trūkums rada neefektivitāti un neskaidrību, apgrūtina efektīvu reaģēšanu uz incidentiem un atstāj vērtīgākos datu aktīvus pakļautus nejaušam zudumam vai ļaunprātīgam uzbrukumam.

Apsveriet nelielu e-komercijas uzņēmumu, kas glabā klientu vārdus, adreses un pirkumu vēsturi. Izspiedējprogrammatūras uzbrukums šifrē uzņēmuma datubāzi. Bez formāla darbības nepārtrauktības plāna un pārbaudītām rezerves kopijām, kā to prasa gan GDPR Article 32, gan ISO 27001, uzņēmums nevar ātri atjaunot pakalpojumu. Tas saskaras ne tikai ar iespējamu sodu par nepietiekamu drošību, bet arī ar vairākām dienām zaudētu ieņēmumu un sabiedrisko attiecību krīzi, skaidrojot pakalpojuma nepieejamību un iespējamu datu eksponēšanu visai klientu bāzei.

Kā izskatās laba prakse

ISO/IEC 27001:2022 un GDPR saskaņošana pārveido atbilstību no apgrūtinošas kontrolsaraksta izpildes par stratēģisku priekšrocību. Ja informācijas drošības pārvaldības sistēma (IDPS) ir veidota uz ISO 27001 ietvara pamata, tā nodrošina struktūru, procesus un pierādījumus, kas nepieciešami, lai pierādītu integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principu ievērošanu. Laba prakse nozīmē situāciju, kurā jūs ne tikai apgalvojat, ka atbilstat prasībām; jums ir dokumentācija, ieraksti un audita pēdas, lai to pamatotu. Jūsu risku novērtēšanā dabiski tiek iekļauti privātuma riski, un izvēlētie drošības kontroles pasākumi tieši mazina apdraudējumus personas datiem.

Šāda integrēta pieeja veido drošības un privātuma kultūru visā organizācijā. Tā vietā, lai datu aizsardzību uzskatītu par izolētu IT problēmu, tā kļūst par kopīgu atbildību, ko vada skaidras politikas un procedūras. Darbinieki saprot savu lomu personas datu aizsardzībā — sākot no drošas klientu pieprasījumu apstrādes līdz savlaicīgai ziņošanai par iespējamiem incidentiem. Attiecības ar piegādātājiem tiek pārvaldītas ar līgumiem, kuros iekļautas stingras datu aizsardzības klauzulas, nodrošinot, ka jūsu drošības standarti attiecas uz visu piegādes ķēdi. Šāds pierādāmas atbilstības stāvoklis nozīmē, ka brīdī, kad auditors vai potenciāls darījumu partneris jautā, kā aizsargājat personas datus, varat norādīt uz aktīvi funkcionējošu pārvaldības sistēmu, nevis tikai uz arhīvā noliktu politikas dokumentu.

Iedomājieties augošu programmatūras kā pakalpojuma (SaaS) sniedzēju, kas vēlas iegūt lielu korporatīvo klientu. Klienta sākotnējās izpētes anketa ir apjomīga, ar detalizētiem jautājumiem par GDPR atbilstību. Tā kā SaaS sniedzējam ir ISO 27001 sertificēta IDPS, tas var efektīvi iesniegt Piemērojamības paziņojumu, riska novērtēšanas metodoloģiju un iekšējo auditu ierakstus. Šie dokumenti skaidri parāda, kā tiek ieviesti tādi kontroles pasākumi kā šifrēšana, piekļuves kontrole un ievainojamību pārvaldība, lai aizsargātu apstrādātos personas datus, tieši atbildot gan uz klienta bažām, gan uz GDPR prasībām.

Praktiskais ceļš

Vienotas sistēmas izveide, kas atbilst gan ISO 27001, gan GDPR, ir metodisks process, nevis vienreizējs projekts. Tas nozīmē izmantot IDPS strukturēto plāno–dari–pārbaudi–rīkojies ciklu, lai sistemātiski aptvertu datu aizsardzības tiesību aktu konkrētās prasības. Uztverot personas datus kā kritisku informācijas aktīvu savā IDPS, varat piemērot standarta spēcīgo risku pārvaldības mehānismu, lai izpildītu GDPR pienākumus attiecībā uz drošu apstrādi. Šī pieeja nodrošina, ka jūsu darbības ir efektīvas, atkārtojamas un — pats svarīgākais — samazina reālus riskus.

1. posms: pamata izveide ar kontekstu un risku novērtēšanu

Pirmais solis ir definēt IDPS darbības jomu, nodrošinot, ka tajā skaidri iekļautas visas sistēmas, procesi un atrašanās vietas, kur tiek apstrādāti personas dati. Tas atbilst ISO 27001 prasībai izprast organizāciju un tās kontekstu. Šajā posmā būtiski ir identificēt juridiskās un regulatīvās prasības, kur GDPR ir viens no galvenajiem ievaddatiem. Jums ir jāizveido un jāuztur Apstrādes darbību reģistrs (RoPA), kā to prasa GDPR Article 30. Šī personas datu aktīvu, datu plūsmu un apstrādes nolūku uzskaite kļūst par IDPS stūrakmeni, kas informē risku novērtēšanu un kontroles pasākumu atlasi. Mūsu ieviešanas ceļvedis Zenith Blueprint sniedz soli pa solim izklāstītu procesu šī pamatkonteksta un darbības jomas noteikšanai.¹

Kad zināt, kādi personas dati jums ir un kur tie atrodas, varat veikt risku novērtēšanu, kas aptver apdraudējumus to konfidencialitātei, integritātei un pieejamībai. Šis ISO 27001 centrālais process tieši izpilda GDPR prasību pēc uz riskiem balstītas pieejas drošībai. Risku novērtēšanā jāidentificē iespējamie apdraudējumi, piemēram, nesankcionēta piekļuve, datu noplūde vai sistēmas atteice, un jānovērtē to iespējamā ietekme uz fizisko personu tiesībām un brīvībām.

• Kartējiet datu plūsmas: dokumentējiet, kā personas dati ienāk organizācijā, pārvietojas tajā un atstāj to.
• Identificējiet juridiskos pienākumus: izmantojiet ISO 27001 Clause 4.2, lai formāli identificētu GDPR kā būtisku ieinteresēto pušu (regulatoru, datu subjektu) prasību.
• Izveidojiet aktīvu uzskaiti: izveidojiet reģistru visiem aktīviem, kas iesaistīti personas datu apstrādē, tostarp lietojumprogrammām, datubāzēm un serveriem.
• Veiciet risku novērtēšanu: novērtējiet apdraudējumus personas datiem un nosakiet riska līmeni, ņemot vērā gan iespējamību, gan ietekmi.
• Izstrādājiet Risku apstrādes plānu: nosakiet, kā reaģēsiet uz katru identificēto risku — piemērojot kontroles pasākumu, pieņemot risku vai izvairoties no tā.

2. posms: ieviesiet kontroles pasākumus personas datu aizsardzībai

Ar skaidru izpratni par riskiem varat izvēlēties un ieviest atbilstošus ISO 27001 A pielikuma kontroles pasākumus to mazināšanai. Tieši šeit visuzskatāmāk parādās sinerģija starp standartu un regulu. Daudzas GDPR Article 32 prasības attiecībā uz “tehniskiem un organizatoriskiem pasākumiem” tieši aptver A pielikuma kontroles pasākumi. Piemēram, GDPR prasība pēc šifrēšanas un pseidonimizācijas tiek izpildīta, ieviešot tādus kontroles pasākumus kā 8.24 Use of cryptography un 8.11 Data masking. Nepieciešamība nodrošināt apstrādes sistēmu pastāvīgu integritāti un noturību tiek risināta ar ievainojamību pārvaldības (8.8), rezerves kopiju (8.13) un žurnālfiksēšanas (8.15) kontroles pasākumiem.

Šo prasību pārvēršana saskaņotā kontroles pasākumu kopumā var būt sarežģīta, jo tiesiskā regulējuma un drošības standartu valoda atšķiras. Galvenā kartējuma matrica, kas sasaista katru ISO 27001 kontroles pasākumu ar atbilstošajiem GDPR, NIS2 un citu ietvaru pantiem, ir ļoti vērtīga. Tā sniedz skaidrību ieviesējiem un pārskatāmu audita pēdu vērtētājiem. Zenith Controls bibliotēka tika izstrādāta tieši šim mērķim, kalpojot kā autoritatīva sasaistes matrica starp ietvariem.² Tas nodrošina, ka, ieviešot ISO 27001 kontroles pasākumu, jūs apzināti un pierādāmi izpildāt konkrētu GDPR prasību.

• Ieviesiet piekļuves kontroli: piemērojiet minimālo privilēģiju principu, lai darbinieki varētu piekļūt tikai tiem personas datiem, kas nepieciešami viņu lomām.
• Izmantojiet kriptogrāfiju: šifrējiet personas datus gan glabāšanā datubāzēs, gan pārsūtīšanā tīklos.
• Pārvaldiet tehniskās ievainojamības: izveidojiet procesu programmatūras ievainojamību regulārai skenēšanai, novērtēšanai un ielāpu uzstādīšanai.
• Nodrošiniet darbības nepārtrauktību: ieviesiet un testējiet rezerves kopiju veidošanas un atjaunošanas procedūras, lai pēc incidenta savlaicīgi atjaunotu piekļuvi personas datiem.
• Aizsargājiet izstrādes vides: ja izstrādājat programmatūru, nodrošiniet, ka testa vides ir nodalītas no produkcijas vidēm un tajās netiek izmantoti reāli personas dati bez tādiem aizsardzības pasākumiem kā maskēšana.

3. posms: uzraugiet, uzturiet un pilnveidojiet

IDPS nav statiska sistēma. ISO 27001 prasa nepārtrauktu uzraudzību, mērīšanu, analīzi un izvērtēšanu, lai nodrošinātu kontroles pasākumu efektivitāti. Tas tieši atbalsta GDPR prasību regulāri testēt un izvērtēt drošības pasākumu efektivitāti. Šajā posmā tiek veikti iekšējie auditi, pārskatīti žurnāli un uzraudzības brīdinājumi, kā arī regulāri organizētas vadības pārskatīšanas, lai novērtētu IDPS veiktspēju. Jebkuras identificētās neatbilstības vai pilnveides iespējas tiek nodotas atpakaļ risku novērtēšanas un apstrādes procesā, veidojot nepārtrauktas uzlabošanas ciklu.

Šī pastāvīgā pārvaldība attiecas arī uz piegādes ķēdi. Saskaņā ar GDPR Article 28 jūs esat atbildīgi par to, lai jebkuri izmantotie trešo pušu apstrādātāji sniegtu pietiekamas garantijas par savu drošību. ISO 27001 piegādātāju attiecību kontroles pasākumi (5.19 līdz 5.22) nodrošina ietvaru šīs jomas pārvaldībai — no sākotnējās izpētes un līgumiskajām klauzulām līdz pastāvīgai to snieguma uzraudzībai.

• Veiciet iekšējos auditus: regulāri pārskatiet IDPS atbilstību ISO 27001 un savu politiku prasībām, lai identificētu trūkumus.
• Uzraugiet drošības notikumus: ieviesiet žurnālfiksēšanu un uzraudzību, lai atklātu iespējamus drošības incidentus un reaģētu uz tiem.
• Pārvaldiet piegādātāju risku: pārskatiet piegādātāju drošības prakses un nodrošiniet, ka ir noslēgti datu apstrādes līgumi.
• Rīkojiet vadības pārskatīšanas: ziņojiet augstākajai vadībai par IDPS veiktspēju, lai nodrošinātu pastāvīgu atbalstu un resursu piešķiršanu.
• Veiciniet nepārtrauktu uzlabošanu: izmantojiet auditu un pārskatīšanu konstatējumus, lai atjauninātu risku novērtēšanu un pilnveidotu kontroles pasākumus.

Politikas, kas nodrošina ieviešanu praksē

Labi izstrādāta IDPS balstās uz skaidrām, pieejamām un piemērojamām politikām, kas pārvērš vadības nodomus konsekventā operatīvajā praksē. Politikas ir kritiskā saikne starp drošības programmas stratēģiskajiem mērķiem un darbinieku ikdienas rīcību. Bez tām kontroles pasākumu ieviešana kļūst nekonsekventa un atkarīga no atsevišķām personām, nevis procesiem. GDPR atbilstības kontekstā centrālais dokuments ir Datu aizsardzības un privātuma politika.³ Šī augsta līmeņa politika nosaka organizācijas apņemšanos aizsargāt personas datus un izklāsta pamatprincipus, kas vada to apstrādi, piemēram, likumīgumu, godprātību, pārredzamību un datu minimizēšanu. Tā nosaka pamatu visām citām saistītajām drošības procedūrām.

Šī pamatpolitika nepastāv izolēti. To atbalsta konkrētāku politiku kopums, kas risina īpašus riskus un kontroles jomas, kas identificētas risku novērtēšanā. Piemēram, lai izpildītu GDPR stingros ieteikumus par šifrēšanu, nepieciešama Kriptogrāfisko kontroles pasākumu politika⁴, kas nosaka obligātās prasības šifrēšanas izmantošanai datu aizsardzībai glabāšanā un pārsūtīšanā. Līdzīgi, lai praksē īstenotu datu minimizēšanas principu un integrētu datu aizsardzību, Datu maskēšanas un pseidonimizācijas politika nosaka skaidrus noteikumus, kad un kā deidentificēt personas datus, īpaši neprodukcijas vidēs, piemēram, testēšanā un izstrādē. Kopā šie dokumenti veido saskaņotu ietvaru, kas vada uzvedību, vienkāršo apmācību un nodrošina būtiskus pierādījumus auditoriem.

Kontrolsaraksti

Pirms jebkura uzdevumu saraksta ir nepieciešams skaidrs skaidrojums par mērķi un kontekstu. Šie kontrolsaraksti nav tikai atzīmējamu rūtiņu virkne; tie raksturo strukturētu ceļu. Posms “Izveidot” ir par stabila pamata ielikšanu, nodrošinot, ka IDPS jau no sākuma tiek projektēta, ņemot vērā GDPR. Posms “Ekspluatēt” koncentrējas uz ikdienas disciplīnām un rutīnām, kas uztur sistēmu aktīvu un efektīvu. Visbeidzot posms “Pārbaudīt” nozīmē atkāpties soli atpakaļ, lai novērtētu veiktspēju, mācītos no pieredzes un nodrošinātu sistēmas attīstību atbilstoši jauniem apdraudējumiem un izaicinājumiem.

Izveidot: kā ISO/IEC 27001:2022 atbalsta GDPR atbilstību no pirmās dienas

• Definēt IDPS darbības jomu, iekļaujot visu personas datu apstrādi.
• Formāli identificēt GDPR un citus privātuma tiesību aktus kā juridiskās prasības.
• Izveidot un uzturēt Apstrādes darbību reģistru (RoPA) kā centrālo aktīvu reģistru.
• Veikt risku novērtēšanu, kas īpaši novērtē riskus fizisko personu tiesībām un brīvībām.
• Izveidot Risku apstrādes plānu, kas sasaista izvēlētos A pielikuma kontroles pasākumus ar konkrētiem GDPR pantiem.
• Sagatavot un apstiprināt pamata Datu aizsardzības un privātuma politiku.
• Izstrādāt konkrētas politikas galvenajām jomām, piemēram, piekļuves kontrolei, kriptogrāfijai un piegādātāju pārvaldībai.
• Pabeigt un apstiprināt Piemērojamības paziņojumu, pamatojot visu ar GDPR saistīto kontroles pasākumu iekļaušanu.

Ekspluatēt: ikdienas GDPR atbilstības uzturēšana

• Nodrošināt regulāru drošības un privātuma izpratnes apmācību visiem darbiniekiem.
• Piemērot piekļuves kontroles pasākumus, pamatojoties uz minimālo privilēģiju principu.
• Uzraudzīt sistēmu ievainojamību kontekstu un savlaicīgi uzstādīt ielāpus.
• Nodrošināt, ka personas datu rezerves kopijas tiek veidotas regulāri, un testēt atjaunošanas procedūras.
• Pārskatīt sistēmu un drošības žurnālus, lai identificētu anomālas darbības pazīmes.
• Veikt sākotnējo izpēti visiem jaunajiem trešo pušu piegādātājiem, kas apstrādās personas datus.
• Nodrošināt, ka ar visiem attiecīgajiem piegādātājiem ir parakstīti Datu apstrādes līgumi (DPA).
• Ievērot incidentu reaģēšanas plānu jebkura iespējama personas datu aizsardzības pārkāpuma gadījumā.

Pārbaudīt: kontroles pasākumu auditēšana un pilnveidošana

• Plānot un veikt regulārus IDPS iekšējos auditus attiecībā pret ISO 27001 un GDPR prasībām.
• Veikt periodisku piegādātāju drošības atbilstības pārskatīšanu.
• Vismaz reizi gadā testēt incidentu reaģēšanas un darbības nepārtrauktības plānus.
• Rīkot formālas vadības pārskatīšanas, lai apspriestu IDPS veiktspēju, audita rezultātus un riskus.
• Pārskatīt un atjaunināt risku novērtēšanu, reaģējot uz būtiskām izmaiņām vai incidentiem.
• Apkopot un analizēt kontroles efektivitātes rādītājus (piemēram, ielāpu uzstādīšanas laiku, incidentu reaģēšanas laiku).
• Atjaunināt politikas un procedūras, pamatojoties uz audita konstatējumiem un gūto pieredzi.

Biežākās kļūdas

ISO 27001 un GDPR integrēšana var būt sarežģīta, un vairākas bieži sastopamas kļūdas var mazināt MVU ieguldīto darbu. Šo risku apzināšanās ir pirmais solis to novēršanā. Tās nav teorētiskas problēmas; tās ir praktiskas nepilnības, ko redzam ikdienā un kas izraisa audita neatbilstības, drošības trūkumus un regulatīvo risku. To novēršanai nepieciešams pragmatisks un holistisks skatījums uz atbilstību, uztverot to kā pastāvīgu organizācijas funkciju, nevis vienreizēju projektu.

• Divu atsevišķu projektu īstenošana: biežākā kļūda ir ISO 27001 ieviešanu un GDPR atbilstību uzskatīt par atsevišķām darba plūsmām. Tas rada dublētu darbu, pretrunīgu dokumentāciju un atbilstības programmu, kas ir divreiz dārgāka un uz pusi mazāk efektīva.
• Integrētas datu aizsardzības “aizmiršana”: daudzas organizācijas vispirms izveido sistēmas un procesus un tikai pēc tam mēģina pievienot privātuma kontroles pasākumus. Gan GDPR, gan ISO 27001 prasa drošību ņemt vērā jau no sākuma. Privātuma pievienošana pēc tam vienmēr ir sarežģītāka un mazāk efektīva.
• “Plaukta” IDPS: sertifikācijas iegūšana ir sākums, nevis beigas. Daži uzņēmumi auditoram izveido nevainojamu dokumentu kopumu un pēc tam ļauj tiem krāt putekļus. IDPS, kas netiek aktīvi izmantota, uzraudzīta un pilnveidota, nesniedz reālu aizsardzību un neizturēs pirmo uzraudzības auditu.
• Mākoņpakalpojumu un piegādātāju riska ignorēšana: pieņēmums, ka mākoņpakalpojumu sniedzējs automātiski atbilst GDPR, ir bīstama kļūda. Jūs kā pārzinis joprojām esat atbildīgi. Sākotnējās izpētes neveikšana, DPA neparakstīšana un piegādātāju neuzraudzīšana ir tiešs GDPR Article 28 pārkāpums.
• Piemērojamības paziņojuma uztveršana kā vēlmju sarakstu: SoA ir jāatspoguļo realitāte. Norādīt, ka kontroles pasākums ir ieviests, lai gan tas nav ieviests vai ir ieviests tikai daļēji, ir būtiska neatbilstība. Dokumentam precīzi jāataino jūsu kontroles vide, un tas jāatbalsta ar pierādījumiem.

Nākamie soļi

Vai esat gatavi izveidot IDPS, kas sistemātiski nodrošina GDPR atbilstību? Mūsu rīkkopas sniedz politikas, procedūras un norādes, kas nepieciešamas, lai to paveiktu efektīvi.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Atsauces