Norma ISO 27001 a bezpieczeństwo procesu niszczenia danych
Niektóre firmy zajmujące się niszczeniem dokumentów w Polsce chwalą się posiadaniem certyfikatu ISO 27001, sugerując, że jest on gwarancją bezpieczeństwa całego procesu. Niestety, norma ta nie zawsze zapewnia odpowiedni poziom ochrony w kontekście fizycznego niszczenia danych.
Czym jest ISO 27001?
ISO 27001 to międzynarodowa norma określająca wymagania dotyczące systemu zarządzania bezpieczeństwem informacji. Składa się z ogólnych wytycznych, które każda firma wdrażająca powinna dostosować do swojej specyfiki. W praktyce jednak temat niszczenia danych — a dokładniej nośników danych — jest w niej poruszony bardzo ogólnikowo i marginalnie.
Nasze doświadczenia z ISO 27001
Kilka lat temu rozpoczęliśmy wdrażanie ISO 27001 we współpracy z renomowaną firmą zewnętrzną. Proces ten został jednak przerwany, gdy zorientowaliśmy się, że zespół wdrożeniowy koncentrował się głównie na kwestiach administracyjnych, takich jak polityki haseł czy sposób przechowywania dokumentacji kadrowej. Natomiast zupełnie pomijano obszar operacyjny, czyli fizyczny proces niszczenia danych. A przecież to właśnie ten proces ma kluczowe znaczenie dla Państwa bezpieczeństwa.
Warto wskazać, że norma ta jest oparta na szacowaniu ryzyka, którego nie da się oszacować nie będąc właścicielem aktywu . Podobna sytuacja jest w przypadku rozporządzenia RODO to ADO (czyli Państwo) są zobowiązani do oszacowania ryzyka a nie procesor.
Ryzyka związane z certyfikacją ISO 27001
Nawet zakładając, że nasze doświadczenie było odosobnione, warto zauważyć, że skuteczność wdrożenia ISO 27001 zależy od kompetencji zespołu wdrażającego, audytora oraz przyjętych założeń. W przypadku firm zajmujących się niszczeniem danych — które są specyficznymi podmiotami — bardzo niewiele z nich wdrożyło tę normę w sposób uwzględniający realne zagrożenia związane z wyciekiem danych. Co więcej, nie ma pewności, że firma certyfikująca miała wcześniejsze doświadczenie z podobnymi organizacjami.
Dane danymi nierówne
Dla obniżenia kosztów wdrożenia, niektóre firmy mogą zadeklarować, że niszczą jedynie dokumenty o niskim poziomie wrażliwości, co skutkuje obniżeniem wymagań w zakresie bezpieczeństwa. W rezultacie otrzymują certyfikat, który jednak niekoniecznie przekłada się na realną ochronę ochronę danych.
ISO 27001 a RODO
Choć Rozporządzenie RODO wspomina o możliwości korzystania z mechanizmów certyfikacji, to należy pamiętać, że norma ISO 27001 nie jest oficjalnie uznanym mechanizmem certyfikacji przez Urząd Ochrony Danych Osobowych. Oznacza to, że samo posiadanie certyfikatu ISO 27001 nie zwalnia firmy z odpowiedzialności wynikającej z przepisów RODO.
Jak poprawnie wdrożyć ISO 27001 w kontekście niszczenia danych?
Jeśli planują Państwo wdrożenie normy ISO 27001, należy zadbać o to, by proces niszczenia danych został w niej szczegółowo opisany. Powinno się określić m.in.:
- Normy dotyczące fizycznego niszczenia (np. DIN 66399),
- Czy nośniki mogą opuszczać teren firmy,
- Jakie są procedury transportu i przechowywania przed zniszczeniem,
- Sposób dokumentowania i weryfikacji procesu.
W ten sposób możliwe jest późniejsze porównanie rzeczywistego poziomu zabezpieczeń oferowanego przez firmę niszczącą z przyjętymi w normie wymaganiami — analogicznie jak porównuje się np. wymagania dotyczące polityki haseł.
Alternatywa: PN-EN 15713
W kontekście przemysłowego niszczenia danych warto zwrócić uwagę na PN-EN 15713 – europejską normę dotyczącą niszczenia informacji w sposób bezpieczny. Uwzględnia ona m.in. transport, identyfikowalność, certyfikację procesów oraz wymagania dla wykonawców usług niszczenia danych.
