1/45© 2008 Cisco Systems, Inc. All rights reserved.Personal Data

Законодательство о персональных данныхРоссия vs. весь мир

Алексей Лукацкий

Бизнес-консультант по безопасности

Cisco Emerging Markets

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/45

Мы не первые

Год принятия Страна Закон

1974 США The Privacy Act of 1974

1978 (с

изменениями

в 2004)

Франция Data Protection Act of 1978

1980 США Privacy Protection Act of 1980

1983 Канада The Privacy Act

1992 Венгрия Act LXIII of 1992 on the Protection of Personal

Data and the Publicity of Data of Public Interests

1992 Швейцария The Federal Law on Data Protection of 1992

1993 Новая Зеландия Privacy Act, Privacy Amendment Act

1994 Корея Act on Personal Information Protection of Public

Agencies Act on Information and Communication

Network Usage

1995 Евросоюз European Union Data Protection Directive of 1995

1995 Гонконг Personal Data Ordinance (The "Ordinance")

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 3/45

Мы не первые (продолжение)

Год принятия Страна Закон

1995 Тайвань Computer Processed Personal data Protection

Law

1996 Эстония Personal Data Protection Act

1996 Литва Law on Legal Protection of Personal Data

1997 Греция Law No.2472 on the Protection of Individuals with

Regard to the Processing of Personal Data

1997 Италия Processing of Personal Data Act

1997 Польша Act of the Protection of Personal Data

1998 Австралия Privacy Act of 1988

1998 Чили Act on the Protection of Personal Data

1998 Швеция Personal Data Protection Act

1998 Португалия Act on the Protection of Personal Data

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 4/45

Мы не первые (продолжение)

Год принятия Страна Закон

1999 Словения Personal Data Protection Act

1999 Испания ORGANIC LAW on the Protection of Personal Data

2000 Аргентина Personal Data Protection Act of 2000 (он же

Habeas Data)

2000 Австрия Data Protection Act 2000

2000 Чехия Act on Protection of Personal Data

2000 Канада Personal Information Protection and Electronic

Data Act (PIPEDA) of 2000 (Bill C-6)

2000 Дания Act on Processing of Personal Data

2000 Финляндия Act on the Amedment of the Personal Data Act

(хотя первые нормативные акты по защите

ПДн в Финляндии появились еще в 1987 году)

2000 Исландия Act of Protection of Individual; Processing

Personal Data

2000 Индия Information Technology Act

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 5/45

Мы не первые (окончание)

Год принятия Страна Закон

2000 Латвия Personal Data Protection Law

2000 Норвегия Personal Data Act

2000 Южная Корея The Act on Promotion of Information and

Communications Network Utilization and Data

Protection of 2000

2001 Германия Federal Data Protection Act of 2001

2002 Евросоюз EU Internet Privacy Law of 2002 (DIRECTIVE

2002/58/EC)

2002 Люксембург Law on the Protection of Persons with Regard to

the Processing of Personal Data

2002 Мальта Data Protection Act

2002 Словакия Act No. 428 on Personal Data Protection

2003 Ирландия Data Protection (Amendment) Act

2003 Италия Data Protection Code of 2003

2003 Япония Personal Information Protection Law

2007 Дубай Data Protection Law of 2007

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 6/45

О различиях в подходах

Концептуальные неразрешимые

Концептуальные разрешимые

Стратегические разрешимые

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 7/45

Неразрешимые различия

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 8/45

Неразрешимые различия

Независимость уполномоченного органа

Саморегуляция и невмешательство государства

Определение персональных данных

Россия

• Информация, которая непосредственно характеризует субъекта

Евросоюз

• Любая информация, относящаяся к субъекту или затрагивающая его интересы

США

• Может быть закрытый перечень ПДн(зависит от штата)

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 9/45

Саморегуляция

Необходимо рассмотреть возможность самого широкого применения механизмов персонификации ответственности на уровне операторов ПДн и опубликования ими своей политики в области ПДн, что является альтернативой правовому институту уведомления уполномоченного органа

Рекомендации Рабочей группы 29-й статьи Евродирективы(аналог Консультативного совета при Роскомнадзоре)

27-я статья Евродирективы определяет, что

Участие государства должно быть сведено к минимуму и общество и бизнес должны самостоятельно разрешать конфликты

Государство не в состоянии самостоятельно разрешить все конфликты на отраслевом уровне и не понимает специфики отраслей

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 10/45

Концептуальные разрешимые различия

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 11/45

Ключевые отличия ФЗ-152 и Евроконвенции

Идентифицируемость субъекта ПДн

Принципы обработки

Исключения из получения согласия

Преддоговорная работа

Баланс интересов

Обязанность оператора перед законом

Директ-маркетинг

Предоставление сведений субъекту ПДн

Безопасность ПДн

Уведомление уполномоченного органа

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 12/45

О способах идентификации субъекта

«На счет 4509RUB78654787 получен платеж в размере 1 миллиона рублей» – это персональные данные?

Для 6+ миллиардов жителей Земли это не ПДн

Для ряда сотрудников конкретного банка, в котором открыт данный счет, – это ПДн

Для уборщицы этого банка – это не ПДн

Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица

Евродиректива

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 13/45

Согласие субъекта ПДн: исключение

Россия

• Только на основании договора

• В остальных случаях приходится «выкручиваться»

• Важно понимание ГК в части сделок и договоров

Европа

• …или для принятия до заключения договора по просьбе субъекта ПДн

• Возможна обработка в интересах третьего лица, действующего в рамках настоящего или будущего договора

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 14/45

Выгодоприобретатели

Выгодоприобретатель – лицо, в пользу которого заключается сделка / договор

Не является стороной сделки / договора

Примеры договоров с выгодоприобретателями

Завещания

Страхование

Доверительное управление

Аренда (лизинг)

«Именные» вклады

Переводы в пользу третьих лиц

Требуется получение согласия!!!

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 15/45

Согласие субъекта ПДн: исключение

В Евроконвенции определен принцип «баланса интересов», при котором также не требуется согласие субъекта ПДн (в ФЗ его нет!)

Обработка ПДн необходима в целях обеспечения законных интересов оператора или третьей стороны, которым раскрыты ПДн, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта ПДн, защита которых требуется согласно Статье 1(1)

Простые случаи для Евроконвенции, но не для ФЗ

Видеонаблюдение

Контроль Интернет-серфинга

Получение и обмен информации о мошенничестве

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 16/45

Продвижение продуктов и услуг

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных

ст.15 ФЗ-152 «О персональных данных»

Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено

Без письменного согласия не обойтись

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 17/45

Разница между ФЗ и Конвенцией

Россия

• Прямой маркетинг запрещен

• Даже при условии наличия договора с субъектом ПДн (если нет доказательств согласия)

• Предварительное согласие при прямом маркетинге получить практически невозможно

Европа

• Сбор и обработка подчиняются принципу opt-out

• Можно обрабатывать при условии, что субъект может запретить такую обработку

• Уведомление о передаче ПДн третьим лицам для целей прямого маркетинга

• Можно не уведомлять субъекта если это требует непропорциональных усилий

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 18/45

Предоставление сведений субъекту

Россия

• Если ПДн получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены оператору на основании ФЗ или являются общедоступными, оператор обязан предоставить субъекту ПДн информацию…

Европа

• Тоже самое условие, но Евродиректива дает его разъяснение

• Это можно не делать, если обработка для статистики, исторических, научных исследований

• Также если предоставление оказывается невозможным или может повлечь непропорциональные усилия

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 19/45

Условия непредоставления

Для целей журналистики и т.п.

Румыния

Для исторических, статистических и т.п. исследований

Испания, Польша, Лихтенштейн, Португалия, Франция, Румыния, Германия

В случае одноразового использования

Польша

В случае прямого маркетинга

Испания

Сделанные общедоступными самими субъектами ПДн

Польша

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 20/45

Условия непропорциональности

Большое число субъектов ПДн

Испания, Германия

Стоимость контакта с субъектом ПДн

Лихтенштейн, Испания

Возраст ПДн

Испания

Цели обработки ПДн

Франция

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 21/45

Об уведомлении Роскомнадзора

Россия

• Уведомление касается типов операторов (работодатель, владелец общедоступного источника ПДн и т.д.)

• Позволяет без уведомления обрабатывать особые ПДн

Европа

• Уведомление можно не посылать для некоторых операций по обработке, которые едва ли могут нарушить права субъекта

• Также если назначено лицо, ответственное за защиту ПДн

• Рекомендует обязательно уведомлять об обработке специальных ПДн

Основная задача Евродирективы – защита прав субъектов при соблюдении интереса оператора не уведомлять уполномоченный орган при непропорциональных усилиях с его стороны

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 22/45

Как защищать «тонких» клиентов?

Может ли стоимость защиты превышать ущерб?

Безопасность ПДн

Россия

• Требования определяют регуляторы (для обработки средствами автоматизации)

• Никакой привязки к природе ПДн, технологиям обработки, адекватности затрат

Европа / США

• Учитывает природу ПДн, возможности нарушителя, возможности технологии обработки, адекватность стоимости системы защиты наносимому ущербу

• Гибкий подход

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 23/45

Кто вырабатывает требования по защите ПДн в Европе?

Специально созданные независимые бюро по защите персональных данных (Data Protection Agency)

DPA публикуют руководящие документы и рекомендации для операторов с учетом сбалансированных интересов всех сторон

Нигде не требуется специальных мер по защите, кроме общепринятых (например, по ISO 27002)

В Великобритании рекомендуется использовать BSI 7799

ISO разрабатывает стандарт по защите ПДн

В ряде стран требования являются обязательными

Но не избыточными и не выходящими за адекватные рекомендации

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 24/45

Пример: защита ПДн в Латвии

Обязательные технические и организационные требования к защите системы обработки личных данных

Латвийская Республика, Кабинет Министров, Правила №40

30.01.2001. Рига

Логичные и понятные требования

Использование паролей (и нет требования по их длинам и по хранению неудачно введенных паролей)

Использование шифрования (и не важно DES, AES там или ГОСТ)

Контроль и регистрация доступа к ПДн

Разработка регламентов и документов

Ежегодный аудит

Уведомление лиц, работающих с ПДн, о защитных мерах

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 25/45

Как правильно обрабатывать ПДн?

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 26/45

Западные стандарты по ПДн

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 27/45

Ключевые различия

Россия

• Найти «что не так»

• Отсутствие рекомендаций

• Жесткость требований

• Презумпция виновности

• Абсолютизация прав субъекта ПДн

• Защита всего и по максимуму

Европа / США

• Помочь устранить «что не так»

• Большое количество советов и рекомендаций

• Презумпция добросовестности

• Баланс интересов субъекта и оператора ПДн

• Минимизация ПДн с последующей защитой остатков

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 28/45

Рекомендации АРБ / Банка России

Направления разрабатываются параллельно

Данные рекомендации дополняют предложения АРБ и Банка России по изменению 152-ФЗ и связанных с ним законов

• Принципы обработки ПДн

• Шаблоны документов

• …ФЗ-152

• Технические и организационные меры по защите

• Методика оценки соответствияСТО

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 29/45

Рекомендации АРБЧасть I

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 30/45

Концепция части I рекомендаций

Выработка принципов обработки персональных данных

Определение обрабатываемых персональных данных

Определение информационной системы

Оценка возможности обезличивания персональных данных

Разработка частной модели угроз

Документирование процесса обработки персональных данных

Защита оставшихся после обезличивания персональных данных

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 31/45

Перечень ПДн

Срок обработки (хранения)

В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства и нормативными актами Банка России

Персональные

данныеКатегория Цель обработки

Сроки

обработки

(хранения)

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 32/45

Цель обработки ПДн

Осуществление возложенных на кредитную организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета работников кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 33/45

Классификация ИСПДн

Все ИСПДн являются специальными

Часть ИСПДн могут не классифицироваться в связи с попаданием под ПП-687 и ПП-512

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 34/45

Обезличивание ПДн

Обезличивание - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных

ст.3 ФЗ-152 «О персональных данных»

Обезличивание приводит к тому, что персональные данные перестают быть персональными и требования ФЗ к ним уже неприменимы

Там, где это возможно, обезличивание может принести свои плоды и снизить затраты на защиту ПДн (оставшихся после обезличивания)

Прежде чем рассматривать данный сценарий, уточните у разработчиков системы, возможно ли безболезненное и прозрачное изменение работы АБС

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 35/45

Обезличивание (по NIST SP800-122)

Абстрагирование ПДн – сделать их менее точными

Например, путем группирования общих или непрерывных характеристик

Скрытие ПДн – удалить всю или часть записи ПДн

ПДн не должны быть избыточными по отношению к цели

Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн

Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи

Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 36/45

Обезличивание (по NIST SP800-122)

Разделение ПДн на части – использование таблиц перекрестных ссылок

Например, две таблицы – одна с ФИО и идентификатором субъекта ПДн, вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн

Использование специальных алгоритмов

Например, маскирование ПДн или подмена отдельных символов другими

Идеальным вариантом является использование алгоритмов криптографического хэширования, но в России это относится к криптографии, которая является лицензируемым видом деятельности и связана с определенными трудностями

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 37/45

Обезличивание (окончание)

Стандарт ISO 25237-2008: Health informatics – Pseudonymization

Псевдонимизация – специфичный тип обезличивания, который удаляет ассоциацию с субъектом ПДн и добавляет ассоциацию между набором особенностей, касающихся субъекта ПДн и одним или более псевдонимами

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 38/45

Документирование обработки ПДн

Категории документов

Документы, требуемые по ФЗ, ПП и Приказу трех

Документы, требуемые согласно документов ФСТЭК и ФСБ

Документы, требуемые РКН

Документы, требуемые проектами нормативных документов

Требуется свыше 40 различных документов

п/п Наименование документа Основание для разработки Примечание

Приказ о назначении ответственного за

безопасность ПДн

п.13 ПП-781 Приложение 5

Приказ об утверждении списка лиц,

которым необходим доступ к ПДн,

обрабатываемым в ИСПДн, для

выполнения служебных (трудовых)

обязанностей

п.14 ПП-781 Приложение 6

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 39/45

Частная модель угроз

Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»

Планируется разработка частной модели угроз (или нескольких)

Для разных ключевых ИСПДн (РКО, процессинг, ДБО и т.д.)

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 40/45

Частная модель угроз

Методика ФСТЭК или Банка России?

Непринципиально, т.к. в основу положены общие принципы –оценка вероятности реализации угрозы и ущерба от него

СВР угроз ИБ

СТП нарушения ИБ

минимальная средняя высокая критическая

нереализуемая допустимый допустимый допустимый допустимый

минимальная допустимый допустимый допустимый недопустимый

средняя допустимый допустимый недопустимый недопустимый

высокая допустимый недопустимый недопустимый недопустимый

критическая недопустимый недопустимый недопустимый недопустимый

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 41/45

Как правильно защищать ПДн?

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 42/45

Что дальше?

Избежание риска

Устранение источника угрозы…

Принятие риска

Бороться себе дороже

Передача риска

Аутсорсинг, страхование…

Снижение рисков

Реализация защитных мер…

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 43/45

Защитные мероприятия

Перечень предлагаемых защитных мер будет соответствовать разработанной модели угроз и будет строиться на основе СТО БР ИББС-1.х

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 44/45

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.comили по телефону: +7 495 961-1410

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 45/45