1. Закон «О защите персональных
данных» - мировой опыт и
проблемы реализации
LegalCamp 2.0
Владимир Матвийчук, CISA, CISM, ITILF
2. Немного о законе
► № 2273 "О защите персональных данных" – принят Верховной
радой 1-го июня во втором чтении
► Вступает в силу с 1-го января 2011
► Регулирует отношения, связанные с защитой персональных
данных во время их обработки
Page 1 Legalcamp 2.0 Владимир Матвийчук
3. О терминологии
► Персональные данные – сведения или совокупность сведений о
физическом лице, которое идентифицировано или может быть
конкретно идентифицировано
► База персональных данных – именованная совокупность
упорядоченных персональных данных в электронной форме
и/или в форме карточек персональных данных
► Обработка персональных данных – любое действие или
совокупность действий, выполненных полностью или частично в
информационной (автоматизированной) системе и/или в
картотеках персональных данных, которые связаны со сбором,
регистрацией, накоплением, хранением, адаптацией,
изменением, дополнением, использованием и распространением,
обезличиванием, уничтожением данных о физическом лице
Page 2 Legalcamp 2.0 Владимир Матвийчук
4. Что есть в законе?
► Организация доступа к персональным данным
► Ведение государственного реестра
► Отношение с уполномоченным государственным органом по
вопросам защиты персональных данных
► Требования к обработке данных
► Отношения с субъектами персональных данных
► Требование обеспечения защиты персональных данных
Page 3 Legalcamp 2.0 Владимир Матвийчук
5. Революция в законодательстве?
► Информация о персоне – совокупность документированных
или публично объявленных сведений о персоне
► Все организации, собирающие информацию о гражданах,
обязаны до начала работы с информацией осуществить в
установленном Кабинетом Министров Украины порядке
государственную регистрацию соответствующих баз
данных
► Граждане имеют право знать в период сбора информации,
какие сведения про них собираются и с какой целью они
используются
► …
Page 4 Legalcamp 2.0 Владимир Матвийчук
6. Новое – хорошо забытое старое
► Информация о персоне – совокупность документированных
или публично объявленных сведений о персоне
► Все организации, собирающие информацию о гражданах,
обязаны до начала работы с информацией осуществить в
установленном Кабинетом Министров Украины порядке
государственную регистрацию соответствующих баз
данных
► Граждане имеют право знать в период сбора информации,
какие сведения про них собираются и с какой целью они
используются
► …
Page 5 Legalcamp 2.0 Владимир Матвийчук
7. Чего нет в Украинском законе?
► Категорий персональных данных
► Детальных требований и подходов по организации защиты
► Типового порядка обработки персональных данных
► Требований по уведомлению субъектов персональных данных в
случае инцидентов
Page 6
8. Закон о персональных данных в мире
(Ernst & Young Top privacy issues for 2010)
Национальный закон
Другой существенный закон
Формирующееся законодательство
Page 7 Top privacy issues for 2010
9. Модель управления персональными
данными
Корпоративное управление ► Уровень бизнес-процессов
описывает использование
Управление рисками и комплайенс персональных данных в бизнес-
процессах компании и
Полномочия/ рассматривает инфраструктуру
Соответствие Границы Цели Стоимость
Границы систем и третьи стороны.
► Уровень Управление рисками и
Определение Операционная Распределение
Обучение и комплайенс определяет людей,
Люди профессиональное
навыков модель навыков
развитие
процессы и технологии которые
используются для защиты и
управления обработкой
Исполняющие
Политики, Отношения с
Управление
Обучение и персональных данных в
процедуры и третьими повышение
процессы
контроли сторонами
инцидентами
осведомленности организации.
► Уровень Корпоративное
Информационная Юридическое
управление определяет как
Поддерживающие
Комплайенс Внутренний аудит
процессы безопасность обеспечение этим управлять.
Уровень бизнес-процессов
Page 8
11. Законодательная база
► Не смотря на многолетнюю историю законодательства по
персональным данным, нет единого подхода по регулированию
данного вопроса:
► США – не имеют всеобъемлющего закона по персональным данным.
Требования отличаются от штата к штату
► Европа – конвенция о защите частных лиц в отношении автоматизированной
обработки данных личного характера
► Россия – Федеральный закон о персональных данных
► Нет единой методологической базы:
► ISPTA Privacy Management Reference Model
► Australian Privacy Principles
► APEC Privacy Framework
► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP
► И много других похожих, но разных…
► Законодательство постоянно изменяется и пересматривается
Page 10
12. Законодательная база
Для того, чтобы соответствовать постоянно изменяющимся
требованиям компаниям необходимо:
► Регулярно отслеживать изменения в законодательстве и
проводить оценку соответствия изменившимся/новым
требованиям
► Регулярно обновлять политики и процедуры в соответствии с
изменившимся законодательством
Page 11
13. Управление инцидентами
► Эффективное и своевременное управление событиями и
инцидентами, связанными с персональными данными, остается
критически необходимым для всех организаций
► В США требуется уведомление в случае масштабных утечек персональных
данных о состоянии здоровья, номеров социального страхования,
информации о банковских счетах
► В Европе большое количество новых регуляторных требований, касательно
уведомления об инцидентах, предусматривающие штрафные санкции в
случае невыполнения
► В Великобритании регулятор имеет право взыскать штраф до £500.000
► В России «В случае выявления неправомерных действий с персональными
данными оператор в срок, не превышающий трех рабочих дней с даты такого
выявления, обязан устранить допущенные нарушения» «Об устранении
допущенных нарушений или об уничтожении персональных данных оператор
обязан уведомить субъекта персональных данных»
Page 12
14. Управление инцидентами
Для эффективного управления инцидентами компании должны:
► Внедрить эффективные процедуры и контроли для
предотвращения инцидентов, связанных с персональными
данными
► Оценить процесс управления событиями и инцидентами,
связанными с персональными данными на предмет
соответствия текущему законодательству
Page 13
15. Облачные вычисления
► Облачные вычисления и подобные сервисы делают
неэффективными традиционные подходы к контролю и защите
персональных данных
► Возникают дополнительные проблемы в следующих областях
► Договорные обязательства
► Требования безопасности и защиты персональных данных
► Управление инцидентами
► Передача данных заграницу
Page 14
16. Облачные вычисления
Перед принятием решения об использовании облачных вычислений
компании должны:
► Провести инвентаризацию своих процессов и систем и
оценить возможность вынесения их в «облако» на основании
их подверженности рискам, связанным с персональными
данными
► Оценить последствия передачи данных заграницу при
перенесении в «облако»
► Определить условия, на которых, с точки зрения
информационной безопасности, компания может выносить
информацию в «облако
Page 15
17. Аудиты поставщиков услуг
► AICPA пересматривает организацию отчетности поставщиков
услуг
► Отчет по SAS 70 отменяется
► Разрешается включение контролей не относящихся к обеспечению
целостности финансовой отчетности, следовательно появляется
возможность оценить контроли защиты персональных данных
► Поддерживается AICPA Generally Accepted Privacy Principles для
аудита организаций – поставщиков услуг
► Соответствует новому международному стандарту ISAE 3402,
Assurance Reports on Controls at a Service Organization
Page 16
18. Аудиты поставщиков услуг
Компании, поставщики услуг должны :
► Определить какие контроли безопасности персональных
данных необходимо включить в оценку при проведении аудита
Page 17
19. Шифрование
► Законодательство требует, чтобы определенные категории
информации шифровались при определенных условиях
► Nevada, Massachusetts, HITECH Act
► Великобритания и Евросоюз
► Необходимо зрелое и рациональное использование
существующих процедур и решений
► Масштаб предприятия
► Единый подход вместо точечных
Page 18
20. Шифрование
Компаниям необходимо:
► Определить решения по шифрованию мобильных устройств и
коммуникаций, содержащих персональные данные
► Унифицировать решения по шифрованию для повышения
удобства использования и оптимизации затрат
► Провести инвентаризацию систем и информации и
определить где использование решений по шифрованию
наиболее уместно с точки зрения управления рисками и
комплайенса
Page 19
21. Последствия несоответствия требованиям
► Рост количества регуляторных проверок
► Растущее число законов и регуляторных документов, и в отдельных
случаях регуляторов
► Большое количество поставщиков услуг не соответствует
требованиям HITECH Act в США
► Требования уведомления об инцидентах практически открыли дорогу
для последующих аудитов и расследований
► Клиенты требуют обеспечение более сильного контроля за
персональными данными
Page 20
22. Последствия несоответствия требованиям
В ожидании ужесточения требований соблюдения требований и
повышения штрафов за несоответствие компании должны:
► Оценить соответствие требованиям действующих
регуляторных документов
► При необходимости привести процессы и контроли в
соответствие
Page 21
23. Что же дальше?
Что делать Чего не делать
► Ждать выхода нормативно- ► Не поддаваться панике
правовых актов с конкретными ► Не спешить внедрять подходы
требованиями других стран – наши могут
► Провести инвентаризацию отличаться
информационных ресурсов и ► Не спешить привлекать
определить персональную консультантов, имеющих опыт
информацию внедрения требований закона
► Если уже проведена ранее – «там», пока они не получат опыт
реклассифицировать в Украине (консалтинговые
персональные данные как компании тоже должны
информацию «с ограниченным соответствовать) ☺
доступом»
Page 22
24. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
Page 23