Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Публикации

Новая технология контроля и разграничения прав доступа к данным в информационных системах  / 
К.А. Щеглов, А.Ю. Щеглов //  ИСПДн.ру. -  2014 -  сентябрь

Сертификация средств защиты персональных данных: революция или эволюция?  / 
А.С.Марков, М.Ю.Никулин, В.Л.Цирлов //  Защита информации. Инсайд. -  2008. -  №5.

Проблемы и решения по защите персональных данных в информационных системах персональных данных  / 
А.Марков и Б.Сухинин //  Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . -  2009. -  Ч.II. - C.241-244.

Защита персональных данных: откладывать больше нельзя  / 
В.Левцов, И.Новиков //  CNews.ru. -  2009. -  15 мая.

Персональные данные. Будни банковской безопасности  / 
Е.Царев //  Интеллектуальный банк. -  2009 -  13 июля.

Защита персональных данных в кредитно-финансовых организациях  / 
В.Сердюк  //  Интеллектуальный банк. -  2009. -  13 июля.

Обработка персональных данных в информационных системах: как обеспечить безопасность  / 
А.Бажанов, И.Назаров, Ю.Язов //  Connect! Мир Связи. -  2009. -  №1.

Информационные системы персональных данных  / 
М.Емельянников //  CIO. -  2008. -  15 октября.

Постатейный комментарий к Федеральному закону "О персональных данных"  / 
М.И.Петров //  ЮД "Юстицинформ". -  2007. -  65с.

Защита персональных данных  / 
О.Слепов //  Jet Info. -  2009. -  5 (192).

Защита персональных данных: проблемы и решения  / 
В.Коржов //  www.osp.ru. -  2009. -  7 сентября.

Защита персональных данных от вредоносных программ  / 
А.Ю.Щеглов //  ИСПДн.ру. -  2009 -  5 августа

Сетевая безопасность персональных данных  / 
С.Рябко  //  Connect! Мир Связи. -  2009. -  7.

Обработка персональных данных в медицинских организациях  / 
А.Столбов //  PCWeek/RE. -  2009. -  6 октября.

Как защитить персональные данные. Подборка статей LETA IT-company  / 
О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев //  www.leta.ru. -  2009. -  октябрь.

Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя  / 
А.Иванов, И.Назаров, Ю.Язов, Е.Остроухова //  Информация и Безопасность. -  2009. -  №1.

Защита персональных данных: если наступит завтра  / 
А.Сабанов, Н.Комарова, О.Плотников //  cnews.ru. -  2009. -  ноябрь.

В противовес "ленивым"  / 
А.Марков //  Защита информации. Инсайд.. -  2009. -  6.

Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“  / 
LETA IT-company //  www.leta.ru. -  2010. -  C. 80.

Почему не заработал закон "О персональных данных"?  / 
М.Ю.Емельянников //  Финансовые известия. -  2010 -  22.04.2010

Защита конфиденциальности персональных данных с помощью обезличивания  / 
И.Ю.Кучин //  Вестник АГТУ. -  2010. -  №2.

Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных  / 
И.Шахалов //  Защита информации. Инсайд. -  2010. -  2.

Ветер перемен: и регулятор может ошибаться  / 
Е.Царев, А.Санин //  IT Manager . -  2010. -  апрель.

Защита персональных данных: пригодится ли нам британский опыт?  / 
А.Волков, Е.Царев //  cnews.ru. -  2010 -  июль

Двадцать популярных заблуждений операторов персональных данных  / 
П.Шмелев //  fz152.ru. -  2010. -  часть 1, 2.

Готовность к силе закона  / 
О.Седов //  Директор ИС. -  2010 -  11.

Процедура обезличивания персональных данных  / 
Е. А.Саксонов, Р. В.Шередин //  Наука и образование: электронное научно-техническое издание. -  2011 -  №3 (март).

О подходах по минимизации выполнения требований закона «О персональных данных»  / 
В.Омаров //  ИСПДн.ру. -  2011. -  июль.


Публикации 1 - 28 из 28
Начало | Пред. | 1 | След. | Конец Все

 

Защита персональных данных: пригодится ли нам британский опыт?


Тип публикации:  Статья
Текст публикации: 

Защита персональных данных: пригодится ли нам британский опыт?

Алексей Волков, Евгений Царев

cnews.ru, 27.07.10 

 

 

2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными. Возможно ли использование нового стандарта в России? Поможет ли он операторам персональных данных соответствовать требованиям российского законодательства?

 

Стандарты важны в любой системе управления: в них определяются цели, которых необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.

 


   

                Госкомитет Великобритании по стандартизации разработал первый в мире стандарт на систему управления персональными данными*    

 

Несмотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и персональных данных, который способна реализовать любая организация в любой стране мира, отсутствует и по сей день. Такое положение дел связано с наличием у многих государств собственных законов о защите персональных данных, значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне).

 

Тем не менее вопрос защиты персональных данных является весьма актуальным во всем мире. BSI Group, вместо того чтобы сводить воедино требования законодательства различных государств, в стандарте BS 10012:2009 описала систему управления персональными данными (СУПД) – ряд основных процессов инфраструктуры безопасной обработки персональных данных в соответствии с британским законом о защите данных (Data Protection Act – DPA).

 

Получается, что этот стандарт описывает только систему управления и  федеральному закону "О персональных данных" не соответствует? Попробуем разобраться.

 

 

Data Protection Act и 152-ФЗ

 

 

Data Protection Act ("Закон о защите данных") был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований директивы Европарламента и Совета Европы "О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных". Прародительницей этой директивы является конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят  федеральный закон № 152-ФЗ "О персональных данных"
 

 

Между DPA и 152-ФЗ можно найти определенное сходство. Так, например, DPA дает следующее определение понятию "персональные данные": "Персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных". Не смотря на то, что 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательству РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. "Контролер персональных данных" в DPA есть ни кто иной, как "оператор персональных данных" в российском законодательстве.

 

Согласно DPA, любая организация, обрабатывающая персональные данные, является оператором таких данных и должна регистрировать свою деятельность в уполномоченном органе, который, в свою очередь, контролирует исполнение организацией восьми принципов обработки личных данных (будут приведены далее). Статьей 5 закона 152 определены 5 принципов обработки таких сведений, хотя в тексте закона, так или иначе, присутствуют все 8 принципов DPA.

 

При этом DPA в принципе не содержит и не ссылается на какие-либо инфраструктурные или технические требования к обработке данных, реализовав которые, организация-контроллер обеспечила бы выполнение принципов обработки личных сведений. Именно поэтому каждый контроллер самостоятельно разрабатывал собственные нормативные документы, описывавшие требования к системе управления персональными данными. Приводило это к многочисленным "дырам" в системе безопасности, которые порождали серьезные утечки и, как следствие, судебные иски, разбирательства и штрафы.

 

Поэтому перед BSI Group стояла задача устранить разрыв в законодательстве Соединенного Королевства и предложить операторам персональных данных требования для построения эффективной системы управления ими, основанные на лучших практиках стандарта ISO 27001 и отвечающие нормам DPA.

 

Очевидно, британские эксперты по защите ПДн озабочены теми же вопросами, что и отечественные, а стандарт для РФ не совсем подходит, несмотря на сходство в законодательстве. Попробуем разобраться, как и в какой мере отечественные операторы персональных данных могут использовать для себя этот документ.

 

Мы связали 8 принципов DPA с требованиями стандарта BS 10012:2009 и закона 152-ФЗ. Результат приведен в таблице.

  

  

Сопоставление требований DPA, BS 10012:2009 и 152-ФЗ, 2010

 

DPABS 10012:2009152-ФЗ
Персональные данные должны:Реализуемые процедуры должны обеспечивать:Обработка персональных данных:
Обрабатываться честно и законноПерсональная информация должна обрабатываться честно и законно; соответствующие юридические основания должны быть идентифицированы до начала обработки, включая сбор и обработку персональной информации; регистрацию и хранение уведомлений и соглашений; получение уведомлений и соглашений до начала сбора данных; доступность уведомлений и соглашений; получение данных от третьей стороны.Законность целей и способов обработки персональных данных и добросовестность (ст. 5 п. 1 пп. 1).
Получаться строго с определенными целями и не должны обрабатываться способами, несовместимыми с этими целямиПерсональная информация собирается с одной или несколькими строго определенными целями, и не должна обрабатываться в целях, не совместимых с ними, что требует: юридических оснований для установленных процессов обработки; согласия на обработку в соответствующих целях; согласия на групповую обработку данных; подписания уведомлений и согласий для соответствующих данных.Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (ст. 5 п. 1 пп. 2).
Быть адекватными, соответствующими целям и не избыточнымиПерсональная информация является адекватной, соотносящейся с целями и не является избыточной, путем: регулярного пересмотра технологий и процессов; реализации процедур для обеспечения отсутствия в обработке несоответствующих и избыточных данных.

Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (ст. 5 п. 1 пп.3).

Достоверность персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных (ст. 5 п. 1 пп.4).

Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных (ст. 5 п. 1 пп. 5).

Быть точными и своевременно обновляемымиПерсональная информация должна быть достоверной и, при необходимости, постоянно обновляемой, включая: реализацию процедур и обучение персонала для обеспечения достоверности; методы подтверждения достоверности данных и их корректировки для субъектов данных; передача исправлений третьей стороне; пересмотр новых систем на предмет достоверности данных. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование (ст. 21 п. 2).
Не храниться дольше, чем необходимоПерсональная информация не должна храниться дольше, чем необходимо, что решается путем разработки и реализации расписаний хранения данных; обеспечения безопасности процедур обработки данных. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5 п. 2).
Полностью соблюдать права физического лица, включая право на доступ к данным.Соблюдение прав физических лиц путем установки временных ограничений на обработку запросов; создания методологии для работы с жалобами и обращениями в процессе обработки запросов.Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (ст. 14 п. 1).
Соблюдать безопасностьПерсональная информация должна быть защищена от модификации и уничтожения, а также от несанкционированной или незаконной обработки путем реализации соответствующих технических и организационных мер безопасности, включая реализацию механизмов управления безопасностью в соответствии с BS ISO/IEC 27001; безопасное хранение и обработку; безопасную передачу; соответствующее управление доступом; программы оценки и улучшения безопасности; управление и документирование инцидентов безопасности, и уведомление о них уполномоченного органа.Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ст. 19 п. 1).
Не передаваться за пределы ЕС без адекватной защитыПерсональная информация, передаваемая за пределы ЕС, должна иметь адекватный уровень защиты, например, включение соответствующих условий в договоры; проверка реквизитов организации, например, организация из США имеет подтверждение Федеральной Торговой Комиссии США на соответствие принципам Safe Harbour; определение, была ли страна или территория оценена Еврокомиссией как обеспечивающая адекватную защиту; проверка третьей стороны на предмет знания и выполнения требований по защите данных; перевод подрядчиков на типовые контракты.До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных (ст. 12 п. 1).

Источник: Leta Group, 2010

  

 

Как видно, требования документов вполне совместимы, и при некоторых оговорках стандарт BS 10012:2009, в принципе, может применяться и российскими операторами ПДн для реализации организационных мер по обработке персональных данных, создания СУПД и их последующей интеграции в имеющиеся СУИБ. Однако BS 10012:2009 не перекрывает всех требований законодательства РФ к организации процесса обработки личной информации и совсем не затрагивает техническую защиту персональных данных.

 

 

Недостатки стандарта

 

 

Выпуск стандарта BS10012, безусловно, является важным шагом на пути к международной стандартизации обработки персональных данных, но первая версия этого документа еще далека от совершенства и уж тем более не является панацеей. С этим мнением согласен и член комитета BSI, эксперт по защите личных данных Тоби Стивенс, который в своем блоге пишет: "Я сомневаюсь, что этот документ получит широкую поддержку и уж тем более будет массово внедряться в организациях. Любой стандарт должен пройти путь от создания до созревания – и для этого данный документ должен был быть издан. Аналогичная ситуация была и со стандартом BS7799, который впоследствии стал ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2006 - ред.): первая его версия вызвала много критики и нареканий, и широкое принятие и распространение этот стандарт получил лишь после нескольких итераций".

 

Самый главный недостаток примененного в BS 10012 подхода заключается в том, что стандарт не предусматривает процедуру оценки применимости требований на основе анализа рисков, и поэтому его требования являются жестко регламентирующими. Смысл пункта 4.4 стандарта "Оценка рисков" сводится лишь к наличию этой процедуры у организации в принципе, и результаты анализа рисков фактически не оказывают никакого влияния на требования, предъявляемые к СУПД. Тоби Стивенс также отмечает этот недостаток и пишет следующее: "Мы, вероятно, будем получать очень много жалоб на то, что в стандарте не применяются методы оценки воздействия на частную жизнь и вообще какая-либо оценка рисков в принципе, и в результате требования стандарта являются завышенными и трудно реализуемыми для большинства организаций. В следующие версии стандарта обязательно должны быть включены процедуры оценки рисков, а требования должны быть пропорциональными рискам и масштабируемыми для организаций любого уровня".

 

С этим мнением трудно не согласиться, тем более что аналогичные недостатки свойственны и всей российской нормативно-правовой базе в области защиты персональных данных.

 

Что ж, остается ждать, надеяться и верить в то, что со временем появится новый документ, и может быть тогда отечественные законодатели и регуляторы увидят здравый смысл предложенного BSI подхода к построению систем управления информационной безопасностью вообще и систем управления персональными данными в частности. Пока же применение российскими операторами личных сведений стандарта BS 10012 в полной мере как самостоятельного документа не имеет смысла.

  

 

 

* - Государственный комитет Великобритании по стандартизации (BSI Group) был основан в 1901 году. Сегодня это ведущая независимая организация по предоставлению деловых услуг, разрабатывающая стандарты и реализующая решения на их основе в 140 странах мира.