Информационная безопасность. Опыт ведущих стран Азии

В связи со стремительным развитием ИКТ ежедневно увеличивается объем работ по подготовке, хранению, передаче и обработке данных. Известно, что эти данные нуждаются в защите, поэтому во всем мире актуальной успела стать проблема обеспечения защиты информации. Во всех странах исходя из сложившихся особенностей разрабатываются cоответствующие регулирующие документы в сфере информационной безопасности (ИБ). Ниже мы рассмотрим опыт таких ведущих стран Азии, как Индонезия, Сингапур и Малайзия, касательно разработки документов в области ИБ. 

ИНДОНЕЗИЯ

В Индонезии пока еще не принят специальный закон о защите данных, однако существуют некоторые регулирующие документы, в которых определены правила, касающиеся использования электронных данных. Основными актами по управлению электронной информацией и транзакциями являются закон «Об электронной информации и сделках» №11 от 2008 года, постановление правительства «Об утверждении Положения об электронных системах и сделках» №82 от 2012 года, постановление министра связи и информатики «О защите персональных данных в электронной системе» №20 от 2016 года («Регламент MOCI»).

В настоящее время обсуждается проект закона «О защите частных персональных
данных» и есть основания полагать, что этот законопроект может быть утвержден
в текущем 2017 году. На сегодняшний день законопроект рассматривается Палатой
представителей. В случае принятия данного акта он станет первым всеобъемлющим
законом Индонезии, в котором конкретно рассматривается вопрос о персональных
данных.

В дополнение к вышеуказанным документам существует также ряд норм, которые также охватывают отдельные положения, относящиеся к защите данных.

1. СЕКТОР ТЕЛЕКОММУНИКАЦИЙ
Статья 40 закона «О телекоммуникациях» №36 от 1999 года предусматривает, что любому лицу запрещаются любые виды прослушивания информации, передаваемой через любые виды телекоммуникационной сети. Более того, статья 42 закона предусматривает, что любой оператор телекоммуникационных услуг должен
сохранять конфиденциальность любой информации, которая передается и/или
получается абонентом телекоммуникационных услуг через телекоммуникационные
сети и/или телекоммуникационные услуги, предоставляемые оператором.
2. СЕКТОР ОБЩЕСТВЕННОЙ ИНФОРМАЦИИ

В статье 6 закона «О раскрытии публичной информации» №14 от 2008 года предусматривается, что информация, касающаяся личных прав, не может быть
раскрыта государственными органами. Кроме того, статья 17 настоящего закона
запрещает раскрытие частной информации любого лица. Запрет, в частности,
касается семейной жизни, медицинской истории, финансовой информации (включая активы, доходы и банковские записи) и многого другого.

3. БАНКОВСКОЕ ДЕЛО И РЫНКИ КАПИТАЛА

Конфиденциальность данных в этой сфере регулируется законом «О банковской деятельности» №7 от 1992 года и законом «О рынках капитала» №8 от 1995 года. При этом требования законов применяются как к личным, так и к корпоративным данным.

СИНГАПУР

В Сингапуре личные данные защищены законом «О защите персональных данных», принятым в 2012 году. Настоящий закон устанавливает правила, регулирующие сбор, использование, раскрытие и хранение персональных данных. Он обеспечивает права отдельных лиц на защиту своих личных данных, включая право доступа и исправления, а также удовлетвjрение потребностей организаций в сборе, использовании или раскрытии личных данных. Закон предусматривает создание национального реестра «Do not Call» (DNC). Реестр DNC позволяет зарегистрировать свои телефонные номера таким образом, чтобы отказаться от получения маркетинговых телефонных звонков, мобильных текстовых сообщений и факсов от организаций.

Закон «О защите персональных данных» обеспечивает базовый стандарт защиты персональных данных в экономике, дополняя отраслевые законодательные и нормативные акты. В закон включены следующие концепции:

  • Согласие. Организации могут собирать, использовать или раскрывать личные
    данные только с согласия человека (за некоторыми исключениями);
  • Разумность. Организации могут собирать, использовать или раскрывать личные данные только для целей, которые будут считаться обоснованными.

Закон «О защите персональных данных» охватывает личные данные, хранящиеся в электронных и неэлектронных формах. Положения закона о защите данных обычно не применяются:

  • к сотруднику, действующему исходя из служебных обязанностей;
  • к любому государственному учреждению в процессе деятельности от имени государственного органа в отношении сбора, использования или раскрытия
    личных данных;
  • к контактной информации для бизнеса. Это относится к имени, названию лица, служебному номеру телефона, деловому адресу, деловому электронному почтовому адресу или номеру факса.

Эти правила предназначены для базового закона, который действует как часть законодательства Сингапура. Он не отменяет такие существующие акты, как закон «О банковской деятельности» или закон «О страховании», но работает совместно с ними. Принятие закона «О защите персональных данных» позволило организациям принять свои внутреннюю политику и методы защиты персональных данных.

МАЛАЙЗИЯ

Закон «О защите персональных данных», вступивший в силу 15 ноября 2013 года, содержит всеобъемлющую межсекторальную структуру для защиты персональных данных в отношении коммерческих транзакций. Этот закон рассматривался как
ключевой инструмент, облегчающий электронную торговлю и деловые операции,
следовательно, он применяется только к коммерческим сделкам. Закон рассматривается как необходимый шаг для борьбы с мошенничеством с кредитными картами, кражей личных данных и продажей персональных данных без согласия клиента.

Согласно закону, обязательства по защите данных были распределены между определенными секторальными обязательствами по секретности и конфиденциальности, в то время как личная информация защищалась только как конфиденциальная информация посредством контрактных обязательств или гражданских действий за нарушение доверия. Закон предъявляет строгие требования к любому лицу, которое собирает или обрабатывает личные данные и предоставляет индивидуальные права субъектам данных.

Закон «О защите персональных данных» приводит принцип безопасности как
один из главнейших принципов защиты данных. В соответствии с этим принципом
организация должна обеспечить наличие как технических, так и организационных мер безопасности для обеспечения личной идентифицируемой информации, которую они обрабатывают. Система управления информационной безопасностью ISO/IEC 27001 (ISMS) – это международный стандарт, который касается таких рисков, как хакерские атаки, вирусы, вредоносное ПО и кража данных, а также является ведущим стандартом управления киберрисками в Малайзии.

Такой секторальный регулирующий орган, как, например, Комиссия по ценным бумагам Малайзии также активно занимается вопросами, связанными с кибер-
безопасностью, издавая руководящие принципы и устанавливая соответствующие стандарты. Пересечение конфиденциальности и кибербезопасности также проявляется в уровне доверия к государственному надзору: закон «О защите персональных данных» не ограничивает доступ правительства к личным данным. Причины, позволяющие обосновать широкий доступ и использование государственного административного ресурса, включают национальную безопасность, правоохранительную деятельность и борьбу с терроризмом.

После многоразовых консультаций с общественностью 23 декабря 2015 года в Малайзии были приняты Стандарты по защите персональных данных. Стандарты
являются теми минимальными мерами, которые должны соблюдаться компаниями при обработке персональных данных клиентов и сотрудников.

Наш обзор показывает, что каждая страна испытывает необходимость в принятии регулирующих документов в сфере защиты информации. Какой бы статус ни имели эти документы (закон, постановление, приказ или др.) и в какой бы стране они ни принимались, в основе своей данные акты устанавливают основные принципы и порядок создания баз данных, определяют правила передачи, обработки,
пользования и хранения информации как в государственных учреждениях, так и
частных компаниях. В регулирующих документах также определены нормы по обеспечению информационной безопасности персональной информации населения.

В связи с этим вышеприведенный опыт ведущих стран Азии может считаться полезным для его использования при дальнейшей разработке регулирующих и регламентирующих документов в сфере защиты информации в Узбекистане.

Шохрух Рахмат,
начальник Департамента развития нормативно-правовой базы по информационной безопасности Центра обеспечения информационной безопасности