View
272
Download
4
Category
Preview:
DESCRIPTION
Citation preview
Закон «О защите персональных данных» - мировой опыт и проблемы реализации
Собрание Ukrainian Information Security Group IVВладимир Матвийчук, CISA, CISM, ITILF
Страница 2 Собрание Ukrainian Information Security Group IV
Закон о персональных данных в мире(Ernst & Young Top privacy issues for 2010)
Национальный закон
Другой существенный закон
Формирующееся законодательство
Страница 3 Собрание Ukrainian Information Security Group IV
Законодательная база
► Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса:► США – не имеют всеобъемлющего закона по персональным данным.
Требования отличаются от штата к штату► Европа – конвенция о защите частных лиц в отношении автоматизированной
обработки данных личного характера► Россия – Федеральный закон о персональных данных
► Нет единой методологической базы:► ISPTA Privacy Management Reference Model► Australian Privacy Principles► APEC Privacy Framework► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP► И много других похожих, но разных…
► Законодательство постоянно изменяется и пересматривается
Страница 4 Собрание Ukrainian Information Security Group IV
Законодательная база
Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо:► Регулярно отслеживать изменения в законодательстве и
проводить оценку соответствия изменившимся/новым требованиям
► Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством
Страница 5 Собрание Ukrainian Information Security Group IV
Управление инцидентами
► Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций► В США требуется уведомление в случае масштабных утечек персональных
данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах
► В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения
► В Великобритании регулятор имеет право взыскать штраф до £500.000► В России «В случае выявления неправомерных действий с персональными
данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»
Страница 6 Собрание Ukrainian Information Security Group IV
Управление инцидентами
Для эффективного управления инцидентами компании должны:► Внедрить эффективные процедуры и контроли для
предотвращения инцидентов, связанных с персональными данными
► Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству
Страница 7 Собрание Ukrainian Information Security Group IV
Облачные вычисления
► Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных
► Возникают дополнительные проблемы в следующих областях► Договорные обязательства► Требования безопасности и защиты персональных данных► Управление инцидентами► Передача данных заграницу
Страница 8 Собрание Ukrainian Information Security Group IV
Облачные вычисления
Перед принятием решения об использовании облачных вычислений компании должны:
► Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными
► Оценить последствия передачи данных заграницу при перенесении в «облако»
► Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако
Страница 9 Собрание Ukrainian Information Security Group IV
Аудиты поставщиков услуг
► AICPA пересматривает организацию отчетности поставщиков услуг► Отчет по SAS 70 отменяется► Разрешается включение контролей не относящихся к обеспечению
целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных
► Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг
► Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization
Страница 10 Собрание Ukrainian Information Security Group IV
Аудиты поставщиков услуг
Компании, поставщики услуг должны :► Определить какие контроли безопасности персональных
данных необходимо включить в оценку при проведении аудита
Страница 11 Собрание Ukrainian Information Security Group IV
Шифрование
► Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях
► Nevada, Massachusetts, HITECH Act► Великобритания и Евросоюз
► Необходимо зрелое и рациональное использование существующих процедур и решений► Масштаб предприятия► Единый подход вместо точечных
Страница 12 Собрание Ukrainian Information Security Group IV
Шифрование
Компаниям необходимо:► Определить решения по шифрованию мобильных устройств и
коммуникаций, содержащих персональные данные► Унифицировать решения по шифрованию для повышения
удобства использования и оптимизации затрат► Провести инвентаризацию систем и информации и
определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса
Страница 13 Собрание Ukrainian Information Security Group IV
Последствия несоответствия требованиям
► Рост количества регуляторных проверок► Растущее число законов и регуляторных документов, и в отдельных
случаях регуляторов► Большое количество поставщиков услуг не соответствует
требованиям HITECH Act в США► Требования уведомления об инцидентах практически открыли дорогу
для последующих аудитов и расследований► Клиенты требуют обеспечение более сильного контроля за
персональными данными
Страница 14 Собрание Ukrainian Information Security Group IV
Последствия несоответствия требованиям
В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны:
► Оценить соответствие требованиям действующих регуляторных документов
► При необходимости привести процессы и контроли в соответствие
Страница 15 Собрание Ukrainian Information Security Group IV
Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
Recommended