Канада: «Конференция Седона» опубликовала рекомендации по информационной безопасности для юридических фирм
Статья сотрудника компании Borden Ladner Gervais LLP Кевина Лароша (Kevin LaRoche – на фото) была опубликована на сайте Mondaq 25 ноября 2015 года.
Мой комментарий: Североамериканская «Конференция Седона» (Sedona Conference) – очень авторитетный некоммерческий правовой идейный центр, в основном занимающийся вопросами э-раскрытия сохраняемой в электронном виде информации в ходе споров по гражданским делам. Рекомендации Седоны оказывают колоссальное влияние на формирование законодательства и судебной практики США и Канады. Я уже писала о работе над данным документом Седоны, см. http://rusrim.blogspot.ru/2015/07/blog-post_10.html .
13 ноября 2015 года Рабочая группа по вопросам хранения и представления электронных документов (Working Group on Electronic Document Retention and Production) «Конференции Седона» опубликовала «Комментарий Конференции Седона по принципам обеспечения неприкосновенности частной жизни и информационной безопасности и рекомендации для юристов, юридических фирм и других поставщиков юридических услуг» (The Sedona Conference Commentary on Privacy and Information Security: Principles and Guidelines for Lawyers, Law Firms, and Other Legal Service Providers, https://thesedonaconference.org/publication/The%20Sedona%20Conference%20Commentary%20on%20Privacy%20and%20Information%20Security ).
В Комментарии сформулированы принципы и рекомендации для юристов и юридических фирм. Ранее, в июле 2015 года, была опубликована версия этих рекомендаций для публичного обсуждения. Комментарий является еще одним примером применения подхода «принципов и рекомендаций», который ряд регуляторов и отраслевых ассоциаций использует в течение последних двух лет. Таким образом можно проделать значительную часть пути к установлению общеобязательных законодательных норм, отдельно для каждой отрасли. Не является исключением и данный Комментарий.
В Комментарии признаётся, что реальная неприкосновенность частной жизни, обеспечиваемая средствами информационной безопасности, зависит, среди прочего, от характера информации, потребностей клиента и условий хранения. Как следствие, нельзя предложить какое-то универсальное, «безразмерное» решение. В этой связи Комментарий устанавливает принципы, опираясь на которые отдельные поставщики услуг могут сформулировать собственные наилучшие политики и практики.
Первая глава документа содержит краткое изложение семи основных принципов, которые в совокупности признают обязанность поставщиков юридических услуг осознать свои обязательства в сфере защиты персональных данных, необходимость провести оценку рисков, а также необходимость разработать (на основе результатов этой оценки) разумные и соразмерные политики и практики. Подготовка оценок и разработка политик должны проводиться исходя из принципа «разумной предсказуемости». Политики должны требовать проведения регулярного обучения, непрерывного мониторинга и механизмов для проведения повторной оценки в будущем.
Во второй главе определены основные источники требований по защите персональных данных и конфиденциальной информации. В их число входят (в контексте США, для которого был написан документ) применимые к адвокатам этические нормы, федеральные законодательно-нормативные требования и требования штатов, зарубежные законодательно-нормативные требования, признаваемая прецедентным правом ответственность (common-law liability), а также договорные обязательства.
Третья глава содержит рекомендации по проведение оценки с точки зрения безопасности - в частности, по выполнению задачи выявления и оценки активов, профилирования и оценки рисков, а также обработки и смягчения рисков. Приведены полезные советы относительно того, каким образом выявлять и оценивать риски, и как ранжировать потребности в обеспечении безопасности.
В заключительной главе основной части документа сформулированы рекомендации, касающиеся политик и практик, связанных с защитой персональных данных и обеспечением информационной безопасности. Предлагается 6-этапный подход, который начинается с выявления типов и источников подлежащей защите информации. Далее разрабатываются политики и практики информационной безопасности и, на конечном этапе, ведётся «подготовка к худшему».
Комментарий включает в себя два приложения – одно по специфическим вопросам обеспечения неприкосновенности частной жизни и безопасности в сфере здравоохранения, и второе - по специфике отрасли финансовых услуг. В них обобщены применимые (в США) режимы нормативного регулирования, и обсуждаются последствия, которые эти режимы могут иметь для юридических фирм как поставщиков услуг.
В общем, Комментарий является очень полезным вкладом в арсенал инструментов, нужных юридическим фирмам для того, чтобы справляться с проблемами в области информационной безопасности и защиты персональных данных в условиях динамично меняющейся технологической среды. Он, возможно, станет основой для разработки других аналогичных документов. Комментарий представляет собой определенный шаг на пути к созданию стандарта должной предусмотрительности для поставщиков юридических услуг в целом.
Кевин Ларош (Kevin LaRoche)
Источник: сайт Mondaq
http://www.mondaq.com/canada/x/446506/data+protection/Sedona+Conference+Publishes+Information+Security+Guidelines+for+Law+Firms
Автор: Наташа Храмцовская
Опубликовал: Александр Абрамов (info@spbit.ru)
Ключевые слова: электронный документооборот