Собственно начал CEN свою работу в части ПДн не совсем стандартно. Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций. Идея CEN, зафиксированная в первых документах, звучит следующим образом: утечки персданных и иные нарушения прав субъектов могут разрешить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством. При этом обработка ПДн становится все сложнее, а обеспечение доверия становится важнейшей задачей при взаимодействии указанных выше сторон. Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом. Ну а дальше эта логика отражается в разработанных документах:
- CWA 15262-2005. Inventory of Data Protection Auditing Practices. Документ описывает, что необходимо предоставить для эффективного и адекватного аудита ПДн в организации. Из особо интересного в этом документе я обнаружил список ссылок на готовые опросники, чеклисты и т.п. материалы всех стран Евросоюза и ряда других государств.
- CWA 15263-2005. Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization. Здесь все понятно из названия.
- CWA 15292-2005. Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide). Это пример договора между оператором и обработчиком ПДн.
- CWA 15499-1-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part I: Baseline Framework. Это базовый документ, в основу которого легли материалы PwC, описывает цикл PDCA применительно к теме персональных данных.
- CWA 15499-2-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part II: Checklists, questionnaires and templates for users of the framework. Вторая часть стандарта имеет более практическое значение. Это различные чеклисты и опросники, которые облегчают прохождение аудита. Если бы наши регуляторы подготовили бы что-нибудь аналогичные, уже не зря прожирали бы деньги налогоплательщиков.
- CWA 16111-2010. Voluntary Technology Dialogue Framework (VTDF). Представить, что такой документ родится в России сложно. В его преамбуле написано примерно следующее. Требования по ПДн есть и они важны. Бизнесу может не хватать осведомленности в вопросах защиты прав субъектов ПДн и самих ПДн. Регуляторам может не хватать знаний о новых технологиях и потребностях бизнеса. Им нужен диалог и некоторые правила для того, чтобы диалог был продуктивным. VTDF и обеспечивает такие правила.
- CWA 16112-2010. Self-assessment framework for managers. Этот документ разбит на две части. В первой описывает процесс самооценки процессов обработки ПДн со стороны руководителей подразделений и компаний. Вторая описывает ответственность менеджеров за процессы обработки ПДн, их роли и форматы участия в данных процессах и т.д.
- CWA 16113-2010. Personal Data Protection Good Practices. Содержание этого документа тоже понятно из названия - это лучшие практики по обработке и защите ПДн. Интересно, что это, пожалуй, один из немногих стандартов по защите, где упоминаются DLP-решения.
