Search

Personal Data In Russia And Other Countries

Loading...

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

0 comments

Post a comment

    Post a comment
    Embed Video
    Edit your comment Cancel

    Notes on slide 1

    Favorites, Groups & Events

    Personal Data In Russia And Other Countries - Presentation Transcript

    1. Законодательство о персональных данных Россия vs. весь мир Алексей Лукацкий Бизнес-консультант по безопасности Cisco Emerging Markets Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 1/45
    2. Мы не первые Год принятия Страна Закон 1974 США The Privacy Act of 1974 1978 (с Франция Data Protection Act of 1978 изменениями в 2004) 1980 США Privacy Protection Act of 1980 1983 Канада The Privacy Act 1992 Венгрия Act LXIII of 1992 on the Protection of Personal Data and the Publicity of Data of Public Interests 1992 Швейцария The Federal Law on Data Protection of 1992 1993 Новая Зеландия Privacy Act, Privacy Amendment Act 1994 Корея Act on Personal Information Protection of Public Agencies Act on Information and Communication Network Usage 1995 Евросоюз European Union Data Protection Directive of 1995 1995 Гонконг Personal Data Ordinance (The "Ordinance") Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 2/45
    3. Мы не первые (продолжение) Год принятия Страна Закон 1995 Тайвань Computer Processed Personal data Protection Law 1996 Эстония Personal Data Protection Act 1996 Литва Law on Legal Protection of Personal Data 1997 Греция Law No.2472 on the Protection of Individuals with Regard to the Processing of Personal Data 1997 Италия Processing of Personal Data Act 1997 Польша Act of the Protection of Personal Data 1998 Австралия Privacy Act of 1988 1998 Чили Act on the Protection of Personal Data 1998 Швеция Personal Data Protection Act 1998 Португалия Act on the Protection of Personal Data Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 3/45
    4. Мы не первые (продолжение) Год принятия Страна Закон 1999 Словения Personal Data Protection Act 1999 Испания ORGANIC LAW on the Protection of Personal Data 2000 Аргентина Personal Data Protection Act of 2000 (он же Habeas Data) 2000 Австрия Data Protection Act 2000 2000 Чехия Act on Protection of Personal Data 2000 Канада Personal Information Protection and Electronic Data Act (PIPEDA) of 2000 (Bill C-6) 2000 Дания Act on Processing of Personal Data 2000 Финляндия Act on the Amedment of the Personal Data Act (хотя первые нормативные акты по защите ПДн в Финляндии появились еще в 1987 году) 2000 Исландия Act of Protection of Individual; Processing Personal Data 2000 Индия Information Technology Act Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 4/45
    5. Мы не первые (окончание) Год принятия Страна Закон 2000 Латвия Personal Data Protection Law 2000 Норвегия Personal Data Act 2000 Южная Корея The Act on Promotion of Information and Communications Network Utilization and Data Protection of 2000 2001 Германия Federal Data Protection Act of 2001 2002 Евросоюз EU Internet Privacy Law of 2002 (DIRECTIVE 2002/58/EC) 2002 Люксембург Law on the Protection of Persons with Regard to the Processing of Personal Data 2002 Мальта Data Protection Act 2002 Словакия Act No. 428 on Personal Data Protection 2003 Ирландия Data Protection (Amendment) Act 2003 Италия Data Protection Code of 2003 2003 Япония Personal Information Protection Law 2007 Дубай Data Protection Law of 2007 5/45 Personal Data © 2008 Cisco Systems, Inc. All rights reserved.
    6. О различиях в подходах Концептуальные неразрешимые Концептуальные разрешимые Стратегические разрешимые Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 6/45
    7. Неразрешимые различия Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 7/45
    8. Неразрешимые различия  Независимость уполномоченного органа  Саморегуляция и невмешательство государства  Определение персональных данных Россия Евросоюз США • Информация, • Любая • Может быть которая информация, закрытый непосредственно относящаяся к перечень ПДн характеризует субъекту или (зависит от субъекта затрагивающая штата) его интересы Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 8/45
    9. Саморегуляция  Необходимо рассмотреть возможность самого широкого применения механизмов персонификации ответственности на уровне операторов ПДн и опубликования ими своей политики в области ПДн, что является альтернативой правовому институту уведомления уполномоченного органа Рекомендации Рабочей группы 29-й статьи Евродирективы (аналог Консультативного совета при Роскомнадзоре)  27-я статья Евродирективы определяет, что Участие государства должно быть сведено к минимуму и общество и бизнес должны самостоятельно разрешать конфликты Государство не в состоянии самостоятельно разрешить все конфликты на отраслевом уровне и не понимает специфики отраслей Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 9/45
    10. Концептуальные разрешимые различия Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 10/45
    11. Ключевые отличия ФЗ-152 и Евроконвенции  Идентифицируемость субъекта ПДн  Принципы обработки  Исключения из получения согласия Преддоговорная работа Баланс интересов Обязанность оператора перед законом  Директ-маркетинг  Предоставление сведений субъекту ПДн  Безопасность ПДн  Уведомление уполномоченного органа Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 11/45
    12. О способах идентификации субъекта  «На счет 4509RUB78654787 получен платеж в размере 1 миллиона рублей» – это персональные данные? Для 6+ миллиардов жителей Земли это не ПДн Для ряда сотрудников конкретного банка, в котором открыт данный счет, – это ПДн Для уборщицы этого банка – это не ПДн  Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица Евродиректива Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 12/45
    13. Согласие субъекта ПДн: исключение Россия Европа • Только на основании • …или для принятия до договора заключения договора • В остальных случаях по просьбе субъекта приходится ПДн «выкручиваться» • Возможна обработка в • Важно понимание ГК в интересах третьего части сделок и лица, действующего в договоров рамках настоящего или будущего договора Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 13/45
    14. Выгодоприобретатели  Выгодоприобретатель – лицо, в пользу которого заключается сделка / договор Не является стороной сделки / договора  Примеры договоров с выгодоприобретателями Завещания Страхование Доверительное управление Аренда (лизинг) «Именные» вклады Переводы в пользу третьих лиц  Требуется получение согласия!!! Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 14/45
    15. Согласие субъекта ПДн: исключение  В Евроконвенции определен принцип «баланса интересов», при котором также не требуется согласие субъекта ПДн (в ФЗ его нет!) Обработка ПДн необходима в целях обеспечения законных интересов оператора или третьей стороны, которым раскрыты ПДн, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта ПДн, защита которых требуется согласно Статье 1(1)  Простые случаи для Евроконвенции, но не для ФЗ Видеонаблюдение Контроль Интернет-серфинга Получение и обмен информации о мошенничестве Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 15/45
    16. Продвижение продуктов и услуг  Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных ст.15 ФЗ-152 «О персональных данных»  Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено Без письменного согласия не обойтись Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 16/45
    17. Разница между ФЗ и Конвенцией Россия Европа • Прямой маркетинг • Сбор и обработка запрещен подчиняются принципу • Даже при условии opt-out наличия договора с • Можно обрабатывать при субъектом ПДн (если нет условии, что субъект доказательств согласия) может запретить такую • Предварительное обработку согласие при прямом • Уведомление о передаче маркетинге получить ПДн третьим лицам для практически невозможно целей прямого маркетинга • Можно не уведомлять субъекта если это требует непропорциональных усилий Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 17/45
    18. Предоставление сведений субъекту Россия Европа • Если ПДн получены не от • Тоже самое условие, но субъекта ПДн, за Евродиректива дает его исключением случаев, разъяснение если ПДн были • Это можно не делать, предоставлены оператору если обработка для на основании ФЗ или статистики, исторических, являются научных исследований общедоступными, • Также если оператор обязан предоставление предоставить субъекту оказывается ПДн информацию… невозможным или может повлечь непропорциональные усилия Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 18/45
    19. Условия непредоставления  Для целей журналистики и т.п. Румыния  Для исторических, статистических и т.п. исследований Испания, Польша, Лихтенштейн, Португалия, Франция, Румыния, Германия  В случае одноразового использования Польша  В случае прямого маркетинга Испания  Сделанные общедоступными самими субъектами ПДн Польша Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 19/45
    20. Условия непропорциональности  Большое число субъектов ПДн Испания, Германия  Стоимость контакта с субъектом ПДн Лихтенштейн, Испания  Возраст ПДн Испания  Цели обработки ПДн Франция Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 20/45
    21. Об уведомлении Роскомнадзора Россия Европа • Уведомление касается • Уведомление можно не типов операторов посылать для некоторых (работодатель, владелец операций по обработке, общедоступного которые едва ли могут источника ПДн и т.д.) нарушить права субъекта • Позволяет без • Также если назначено уведомления лицо, ответственное за обрабатывать особые защиту ПДн ПДн • Рекомендует обязательно уведомлять об обработке специальных ПДн  Основная задача Евродирективы – защита прав субъектов при соблюдении интереса оператора не уведомлять уполномоченный орган при непропорциональных усилиях с его стороны Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 21/45
    22. Безопасность ПДн Россия Европа / США • Требования определяют • Учитывает природу регуляторы (для ПДн, возможности обработки средствами нарушителя, автоматизации) возможности • Никакой привязки к технологии обработки, природе ПДн, адекватность стоимости технологиям обработки, системы защиты адекватности затрат наносимому ущербу • Гибкий подход  Как защищать «тонких» клиентов?  Может ли стоимость защиты превышать ущерб? Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 22/45
    23. Кто вырабатывает требования по защите ПДн в Европе?  Специально созданные независимые бюро по защите персональных данных (Data Protection Agency)  DPA публикуют руководящие документы и рекомендации для операторов с учетом сбалансированных интересов всех сторон Нигде не требуется специальных мер по защите, кроме общепринятых (например, по ISO 27002) В Великобритании рекомендуется использовать BSI 7799 ISO разрабатывает стандарт по защите ПДн  В ряде стран требования являются обязательными Но не избыточными и не выходящими за адекватные рекомендации Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 23/45
    24. Пример: защита ПДн в Латвии  Обязательные технические и организационные требования к защите системы обработки личных данных Латвийская Республика, Кабинет Министров, Правила №40 30.01.2001. Рига  Логичные и понятные требования Использование паролей (и нет требования по их длинам и по хранению неудачно введенных паролей) Использование шифрования (и не важно DES, AES там или ГОСТ) Контроль и регистрация доступа к ПДн Разработка регламентов и документов Ежегодный аудит Уведомление лиц, работающих с ПДн, о защитных мерах Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 24/45
    25. Как правильно обрабатывать ПДн? Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 25/45
    26. Западные стандарты по ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 26/45
    27. Ключевые различия Россия Европа / США • Найти «что не так» • Помочь устранить «что • Отсутствие не так» рекомендаций • Большое количество • Жесткость требований советов и рекомендаций • Презумпция виновности • Презумпция • Абсолютизация прав добросовестности субъекта ПДн • Баланс интересов • Защита всего и по субъекта и оператора максимуму ПДн • Минимизация ПДн с последующей защитой остатков Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 27/45
    28. Рекомендации АРБ / Банка России • Принципы обработки ПДн ФЗ-152 • Шаблоны документов • … • Технические и организационные СТО меры по защите • Методика оценки соответствия  Направления разрабатываются параллельно  Данные рекомендации дополняют предложения АРБ и Банка России по изменению 152-ФЗ и связанных с ним законов Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 28/45
    29. Рекомендации АРБ Часть I Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 29/45
    30. Концепция части I рекомендаций  Выработка принципов обработки персональных данных  Определение обрабатываемых персональных данных  Определение информационной системы  Оценка возможности обезличивания персональных данных  Разработка частной модели угроз  Документирование процесса обработки персональных данных  Защита оставшихся после обезличивания персональных данных Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 30/45
    31. Перечень ПДн Сроки Персональные Категория Цель обработки обработки данные (хранения)  Срок обработки (хранения) В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства и нормативными актами Банка России Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 31/45
    32. Цель обработки ПДн Осуществление возложенных на кредитную организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета работников кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 32/45
    33. Классификация ИСПДн  Все ИСПДн являются специальными  Часть ИСПДн могут не классифицироваться в связи с попаданием под ПП-687 и ПП-512 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 33/45
    34. Обезличивание ПДн  Обезличивание - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных ст.3 ФЗ-152 «О персональных данных» Обезличивание приводит к тому, что персональные данные перестают быть персональными и требования ФЗ к ним уже неприменимы  Там, где это возможно, обезличивание может принести свои плоды и снизить затраты на защиту ПДн (оставшихся после обезличивания) Прежде чем рассматривать данный сценарий, уточните у разработчиков системы, возможно ли безболезненное и прозрачное изменение работы АБС Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 34/45
    35. Обезличивание (по NIST SP800-122)  Абстрагирование ПДн – сделать их менее точными Например, путем группирования общих или непрерывных характеристик  Скрытие ПДн – удалить всю или часть записи ПДн ПДн не должны быть избыточными по отношению к цели  Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн  Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи  Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 35/45
    36. Обезличивание (по NIST SP800-122)  Разделение ПДн на части – использование таблиц перекрестных ссылок Например, две таблицы – одна с ФИО и идентификатором субъекта ПДн, вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн  Использование специальных алгоритмов Например, маскирование ПДн или подмена отдельных символов другими Идеальным вариантом является использование алгоритмов криптографического хэширования, но в России это относится к криптографии, которая является лицензируемым видом деятельности и связана с определенными трудностями Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 36/45
    37. Обезличивание (окончание)  Стандарт ISO 25237-2008: Health informatics – Pseudonymization  Псевдонимизация – специфичный тип обезличивания, который удаляет ассоциацию с субъектом ПДн и добавляет ассоциацию между набором особенностей, касающихся субъекта ПДн и одним или более псевдонимами Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 37/45
    38. Документирование обработки ПДн  Категории документов Документы, требуемые по ФЗ, ПП и Приказу трех Документы, требуемые согласно документов ФСТЭК и ФСБ Документы, требуемые РКН Документы, требуемые проектами нормативных документов  Требуется свыше 40 различных документов п/п Наименование документа Основание для разработки Примечание Приказ о назначении ответственного за п.13 ПП-781 Приложение 5 безопасность ПДн Приказ об утверждении списка лиц, п.14 ПП-781 Приложение 6 которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 38/45
    39. Частная модель угроз  Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»  Планируется разработка частной модели угроз (или нескольких) Для разных ключевых ИСПДн (РКО, процессинг, ДБО и т.д.) Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 39/45
    40. Частная модель угроз  Методика ФСТЭК или Банка России? Непринципиально, т.к. в основу положены общие принципы – оценка вероятности реализации угрозы и ущерба от него СТП нарушения ИБ СВР угроз ИБ минимальная средняя высокая критическая нереализуемая допустимый допустимый допустимый допустимый минимальная допустимый допустимый допустимый недопустимый средняя допустимый допустимый недопустимый недопустимый высокая допустимый недопустимый недопустимый недопустимый критическая недопустимый недопустимый недопустимый недопустимый Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 40/45
    41. Как правильно защищать ПДн? Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 41/45
    42. Что дальше?  Избежание риска Устранение источника угрозы…  Принятие риска Бороться себе дороже  Передача риска Аутсорсинг, страхование…  Снижение рисков Реализация защитных мер… Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 42/45
    43. Защитные мероприятия  Перечень предлагаемых защитных мер будет соответствовать разработанной модели угроз и будет строиться на основе СТО БР ИББС-1.х Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 43/45
    44. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 44/45
    45. Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 45/45

    + Alexey LukatskyAlexey Lukatsky, 2 weeks ago

    custom

    573 views, 0 favs, 5 embeds more stats

    More info about this document

    © All Rights Reserved

    Go to text version

    • Total Views 573
      • 373 on SlideShare
      • 200 from embeds
    • Comments 0
    • Favorites 0
    • Downloads 25
    Most viewed embeds
    • 196 views on http://lukatsky.blogspot.com
    • 1 views on http://gproxyru.appspot.com
    • 1 views on http://xss.yandex.net
    • 1 views on http://prodam.slando.ru
    • 1 views on http://www.lukatsky.blogspot.com

    more

    All embeds
    • 196 views on http://lukatsky.blogspot.com
    • 1 views on http://gproxyru.appspot.com
    • 1 views on http://xss.yandex.net
    • 1 views on http://prodam.slando.ru
    • 1 views on http://www.lukatsky.blogspot.com

    less

    Flagged as inappropriate Flag as inappropriate
    Flag as inappropriate

    Select your reason for flagging this presentation as inappropriate. If needed, use the feedback form to let us know more details.

    Cancel
    File a copyright complaint
    Having problems? Go to our helpdesk?

    Categories

    Tags

    -->
    Search
    RSS Feed
    What's new?

    © 2009 SlideShare Inc. All Rights Reserved