Константин Корсун - Общественная организация UISG: что это и для чего?
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
1. Европейский опыт в защите персональных
данных
Анализируя
BRITISH STANDARD BS 10012:2009
Data protection –
Specification for a personal information management
system
Артем Гончар, Специалист с организации
информационной безопасности
Агентство Активного Аудита
UISGv7
2. Общее
Защита персональных данных при их обработке –
отдельная задача, требующая особого внимания.
В идеале мы должны создать
целую структуру для
обработки и управления
персональными данными.
Она должна соответствовать
требованиям закона и
вписываться в наш СУИБ.
14.12.2011 Артем Гончар 2
3. Ущерб
• Злоумышленники похитили компьютер с
личными данными 4,2 млн. пациентов
американских больниц
(http://www.securitylab.ru/news/410194.php)
• Взломаны крупнейшие социальные сети
Кореи: похищены личные данные 35
миллионов человек (http://www.xakep.ru/post/56352/)
• Похищены личные данные 35 миллионов
клиентов Epson
(http://www.securitylab.ru/news/406936.php)
14.12.2011 Артем Гончар 3
4. Мотивы
• информация в руках мошенника превращается
в орудие преступления
• информация в руках уволенного сотрудника –
средство мщения
• информация в руках инсайдера – товар для
продажи конкуренту…
Именно поэтому персональные
данные нуждаются в самой
серьезной защите.
14.12.2011 Артем Гончар 4
5. Немного истории
• В США до сих пор отсутствует общее (федеральное)
законодательство о персональных данных
• В 1977 г. Одним из первых в мире принимается
Федеральный закон ФРГ «О защите персональных
данных»
• 2 июля 2009 года в Британии вышла первая версия
стандарта BS10012:2009 "Защита данных –
Спецификация системы управления персональными
данными". Этот документ стал первым в мире
стандартом на систему управления персональными
данными.
14.12.2011 Артем Гончар 5
6. Принципы
Для обработки персональные данные должны
соответствовать определённым условиям*:
• Законно собранными
• Соответствуют указанным целям(то что мы
написали в заявлении на регистрацию баз
ПДн)
• Точные и актуальные
• Не хранятся дольше, чем это необходимо.
*Детальнее можно ознакомиться в BS 10012:2009 Раздел 0.2
14.12.2011 Артем Гончар 6
7. Цели организации
Цели которые ставят на западе при обработке
персональных данных:
• Удовлетворить требования закона при обработке
ПДн;
• Соответствовать целям организации;
• Соответствовать
законодательным актам;
• Соответствовать
интересам граждан и других
заинтересованных сторон
14.12.2011 Артем Гончар 7
8. Куда же без политики
Поскольку задача системы довольно объемная
необходимо написать политику обработки ПДн.
Несколько выдержек с политики*:
• Обработка персональных данных только там,
где это строго необходимые для законных
целей организации;
• Хранить все ПДн в
безопасности;
*Основные разделы можно прочесть
в стандарте BS 10012:2009 Раздел 3.4
14.12.2011 Артем Гончар 8
9. Раздаем ответственность:
Если существует система то нужны и лица
которые будут ею управлять и поддерживать.
Член правления должен быть ответственен за
обработку ПДн. Он должен следить за:
• Утверждением политики в правлении;
• Разработкой и реализацией СУПДн в
соответствии с требованиями политики;
• Управлением безопасностью и рисками в
соответствии с политикой;
• Выделяемыми ресурсами.
14.12.2011 Артем Гончар 9
10. Продолжаем
Нужен персонал который будет изо дня в день
поддерживать нашу систему. Их обязанности
включают*:
• Разрабатывать и анализировать политику;
• Обеспечивать реализацию политики;
• Проводить обучение, тренинги как того
требует политика.
*Детальнее можно ознакомиться в BS 10012:2009 Раздел 4.1.2
14.12.2011 Артем Гончар 10
11. А теперь в соответствии с политикой
Стандарт детально описывает необходимые процедуры
для внедрения и работы СУИБ*.
Например:
• Создание реестра ПДн;
• Провести оценку рисков;
• Создать процедуры извещения, сбора и обработки
ПДн;
• Процедуры хранения Пдн;
• Процедуры удаления ПДн.
*Полный перечень процедур можно прочесть в BS 10012:2009 Раздел 4
14.12.2011 Артем Гончар 11
12. Аудит
Аудит является неотъемлемой частью любой
системы безопасности. Для персональных
данных нет ничего нового. Главными целями
аудита СУПДн является:
• работает ли система в соответствии с
политикой и созданными процедурами;
• внедрена ли и поддерживается в соответствии
с технологическим требованиям.
14.12.2011 Артем Гончар 12
13. Улучшение
После каждого аудита наступает фаза
улучшения*. Мы должны позаботиться о том
чтобы разработать и внедрить процедуры
которые охватывают следующие:
• Профилактические действия
• Корректирующие действия
*Детальнее в BS 10012:2009 Раздел 6
14.12.2011 Артем Гончар 13
14. И самое сложное
Тренинги, обучение и общая осознанность при
работе с персональными данными. В
зависимости от роли которую выполняет
сотрудник, нужно создать
программу обучения и
донести суть защиты
персональных данных
конкретно для каждого
сотрудника.
14.12.2011 Артем Гончар 14