Ey uisg iv privacy

15
Закон «О защите персональных данных» - мировой опыт и проблемы реализации Собрание Ukrainian Information Security Group IV Владимир Матвийчук, CISA, CISM, ITILF

description

 

Transcript of Ey uisg iv privacy

Page 1: Ey uisg iv privacy

Закон «О защите персональных данных» - мировой опыт и проблемы реализации

Собрание Ukrainian Information Security Group IVВладимир Матвийчук, CISA, CISM, ITILF

Page 2: Ey uisg iv privacy

Страница 2 Собрание Ukrainian Information Security Group IV

Закон о персональных данных в мире(Ernst & Young Top privacy issues for 2010)

Национальный закон

Другой существенный закон

Формирующееся законодательство

Page 3: Ey uisg iv privacy

Страница 3 Собрание Ukrainian Information Security Group IV

Законодательная база

► Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса:► США – не имеют всеобъемлющего закона по персональным данным.

Требования отличаются от штата к штату► Европа – конвенция о защите частных лиц в отношении автоматизированной

обработки данных личного характера► Россия – Федеральный закон о персональных данных

► Нет единой методологической базы:► ISPTA Privacy Management Reference Model► Australian Privacy Principles► APEC Privacy Framework► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP► И много других похожих, но разных…

► Законодательство постоянно изменяется и пересматривается

Page 4: Ey uisg iv privacy

Страница 4 Собрание Ukrainian Information Security Group IV

Законодательная база

Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо:► Регулярно отслеживать изменения в законодательстве и

проводить оценку соответствия изменившимся/новым требованиям

► Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством

Page 5: Ey uisg iv privacy

Страница 5 Собрание Ukrainian Information Security Group IV

Управление инцидентами

► Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций► В США требуется уведомление в случае масштабных утечек персональных

данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах

► В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения

► В Великобритании регулятор имеет право взыскать штраф до £500.000► В России «В случае выявления неправомерных действий с персональными

данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»

Page 6: Ey uisg iv privacy

Страница 6 Собрание Ukrainian Information Security Group IV

Управление инцидентами

Для эффективного управления инцидентами компании должны:► Внедрить эффективные процедуры и контроли для

предотвращения инцидентов, связанных с персональными данными

► Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству

Page 7: Ey uisg iv privacy

Страница 7 Собрание Ukrainian Information Security Group IV

Облачные вычисления

► Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных

► Возникают дополнительные проблемы в следующих областях► Договорные обязательства► Требования безопасности и защиты персональных данных► Управление инцидентами► Передача данных заграницу

Page 8: Ey uisg iv privacy

Страница 8 Собрание Ukrainian Information Security Group IV

Облачные вычисления

Перед принятием решения об использовании облачных вычислений компании должны:

► Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными

► Оценить последствия передачи данных заграницу при перенесении в «облако»

► Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако

Page 9: Ey uisg iv privacy

Страница 9 Собрание Ukrainian Information Security Group IV

Аудиты поставщиков услуг

► AICPA пересматривает организацию отчетности поставщиков услуг► Отчет по SAS 70 отменяется► Разрешается включение контролей не относящихся к обеспечению

целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных

► Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг

► Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization

Page 10: Ey uisg iv privacy

Страница 10 Собрание Ukrainian Information Security Group IV

Аудиты поставщиков услуг

Компании, поставщики услуг должны :► Определить какие контроли безопасности персональных

данных необходимо включить в оценку при проведении аудита

Page 11: Ey uisg iv privacy

Страница 11 Собрание Ukrainian Information Security Group IV

Шифрование

► Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях

► Nevada, Massachusetts, HITECH Act► Великобритания и Евросоюз

► Необходимо зрелое и рациональное использование существующих процедур и решений► Масштаб предприятия► Единый подход вместо точечных

Page 12: Ey uisg iv privacy

Страница 12 Собрание Ukrainian Information Security Group IV

Шифрование

Компаниям необходимо:► Определить решения по шифрованию мобильных устройств и

коммуникаций, содержащих персональные данные► Унифицировать решения по шифрованию для повышения

удобства использования и оптимизации затрат► Провести инвентаризацию систем и информации и

определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса

Page 13: Ey uisg iv privacy

Страница 13 Собрание Ukrainian Information Security Group IV

Последствия несоответствия требованиям

► Рост количества регуляторных проверок► Растущее число законов и регуляторных документов, и в отдельных

случаях регуляторов► Большое количество поставщиков услуг не соответствует

требованиям HITECH Act в США► Требования уведомления об инцидентах практически открыли дорогу

для последующих аудитов и расследований► Клиенты требуют обеспечение более сильного контроля за

персональными данными

Page 14: Ey uisg iv privacy

Страница 14 Собрание Ukrainian Information Security Group IV

Последствия несоответствия требованиям

В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны:

► Оценить соответствие требованиям действующих регуляторных документов

► При необходимости привести процессы и контроли в соответствие

Page 15: Ey uisg iv privacy

Страница 15 Собрание Ukrainian Information Security Group IV

Вопросы?

Спасибо за внимание!

Владимир Матвийчук, CISA, CISM, ITILF

Услуги в области информационных технологий и ИТ рисков

+38 (067) 536-0-536

[email protected]