При подготовке материала для очередной публикации наткнулся на интересный документ, о существовании которого ранее не знал, но подозревал, что где-то и кем-то он должен разрабатываться. И вот - наконец - могу поделиться своей радостью, связанной с его обнаружением. Однако, обо всем по порядку.
Речь идет, конечно, о защите персональных данных, точнее, о том подходе, который используется сейчас в законодательстве РФ для реализации защитных мер. По сути, все требования, применяемые к защите ИСПДн, являются жестко регламентирующими, не используют общепринятого в ИБ подхода, связанного с оценкой рисков нарушения конфиденциальности, целостности доступности персональных данных при их обработке оператором, и не зависят от возможного ущерба субъектам ПДн, связанном с реализацией этих рисков. Справедливости ради, стоит отметить, что этот недостаток свойственен не только законодательству РФ, но и другим странам, и в частности - стандарту BS 10012:2009 "Защита Данных - Спецификация системы управления персональными данными", на который многие специалисты возлагали определенные надежды.
Недостаток этот имеет место прежде всего потому, что отсутствует общепринятая методология такого рода оценки. И вот, наконец, начали появляться "первые ласточки". На сайте Information Comissioners Office , уполномоченного органа по защите прав физических лиц Великобритании (аналог Роскомнадзора в этой сфере) имеется вполне адекватный и проработанный документ, именуемый Справочник по оценке воздействия на частную жизнь (Privacy Impact Assessment Handbook) - уже вторая (!) его версия.
Назначение этого документа - отойти от принципа "требования безопасности ПДн для всех едины" и трансформировать его в принцип "всесторонней оценки безопасности". Первая часть документа (главы 1 и 2) содержат вводную информацию о процессе оценки рисков, связанных с воздействием на частную жизнь физического лица через его персональные данные (Privacy Impact Assessment Process - PIA). Вторая часть представляет собой пошаговое руководство (How To) о том, как проводить процесс PIA. Авторы документа обращают особое внимание на то, что некоторые требования PIA могут расходиться с методологией оценки рисков в конкретной организации, и поэтому справочник должен использоваться как элемент комплексного процесса оценки рисков в рамках единой политики ИБ.
Статус этого документа - рекомендательный, однако сам документ очень интересный и безусловно заслуживает отдельного детального рассмотрения. На мой взгляд, самым знаковым в этом документе является то, что разрабатывает его не кто-нибудь, а ICO - уполномоченный орган по защите прав субъектов ПДн Соединенного Королевства! Я полагаю, нашему Роскомнадзору стоит взять этот подход на вооружение и разработать, наконец, то, чего все так долго и с нетерпением ждут. Тем более, что наработки их коллег уже имеются.