SlideShare una empresa de Scribd logo

Ey uisg iv privacy

Descargar como PPTX, PDF
Glib Pakharenko
Glib Pakharenko
1 de 15
Закон «О защите персональных данных» - мировой опыт и проблемы реализации Собрание Ukrainian Information Security Group IV Владимир Матвийчук, CISA, CISM,ITILF
Закон о персональных данных в мире(Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство
Законодательная база Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера Россия – Федеральный закон о персональных данных Нет единой методологической базы: ISPTA Privacy Management Reference Model Australian Privacy Principles APEC Privacy Framework AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP И много других похожих, но разных… Законодательство постоянно изменяется и пересматривается
Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством
Управление инцидентами Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения В Великобританиирегулятор имеет право взыскать штраф до £500.000 В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»
Управление инцидентами Для эффективного управления инцидентами компании должны: Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству
Облачные вычисления Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных Возникают дополнительные проблемы в следующих областях Договорные обязательства Требования безопасности и защиты персональных данных Управление инцидентами Передача данных заграницу
Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными Оценить последствия передачи данных заграницу при перенесении в «облако» Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако
Аудиты поставщиков услуг AICPA пересматривает организацию отчетности поставщиков услуг Отчет по SAS 70 отменяется Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization
Аудиты поставщиков услуг Компании, поставщики услуг должны : Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита
Шифрование Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях Nevada, Massachusetts, HITECH Act Великобритания и Евросоюз Необходимо зрелое и рациональное использование существующих процедур и решений Масштаб предприятия Единый подход вместо точечных
Шифрование Компаниям необходимо: Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса
Последствия несоответствия требованиям Рост количества регуляторных проверок Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов Большое количество поставщиков услуг не соответствует требованиям HITECH Act вСША Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований Клиенты требуют обеспечение более сильного контроля за персональными данными
Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: Оценить соответствие требованиям действующих регуляторных документов При необходимости привести процессы и контроли в соответствие
Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM,ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com

Recomendados

Защита персональных данных в облаке от Онланты
Защита персональных данных в облаке от ОнлантыЗащита персональных данных в облаке от Онланты
Защита персональных данных в облаке от ОнлантыZaur Abutalimov
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация
АттестацияАттестация
Аттестацияpesrox
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
Фабрика закупок - система размещения и поиска электронных заказов
Фабрика закупок - система размещения и поиска электронных заказовФабрика закупок - система размещения и поиска электронных заказов
Фабрика закупок - система размещения и поиска электронных заказовООО БТП
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентябряНадт Ассоциация
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиSecurity Code Ltd.
 

Recomendados

Защита персональных данных в облаке от Онланты
Защита персональных данных в облаке от ОнлантыЗащита персональных данных в облаке от Онланты
Защита персональных данных в облаке от ОнлантыZaur Abutalimov
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация
АттестацияАттестация
Аттестацияpesrox
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
Фабрика закупок - система размещения и поиска электронных заказов
Фабрика закупок - система размещения и поиска электронных заказовФабрика закупок - система размещения и поиска электронных заказов
Фабрика закупок - система размещения и поиска электронных заказовООО БТП
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентябряНадт Ассоциация
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиSecurity Code Ltd.
 
E estonia
E estoniaE estonia
E estoniaFund for Good Politics
 
Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0 Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0 Mark Scrimshire
 
Areas of Focus for Next Generation of EHRs
Areas of Focus for Next Generation of EHRsAreas of Focus for Next Generation of EHRs
Areas of Focus for Next Generation of EHRsAmirthavarshini Gunasekaran
 
Patient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical ReviewPatient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical ReviewZackary Berger
 
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcareHEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcareWisdom.To
 
EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов. EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов. MEDWIO
 
110607 denis priimagi egover.ppt
110607 denis priimagi egover.ppt110607 denis priimagi egover.ppt
110607 denis priimagi egover.pptvetalyano
 
Patient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education SolutionPatient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education SolutionKrames Patient Education
 
Socialmedrecruit
SocialmedrecruitSocialmedrecruit
SocialmedrecruitNachum Katz
 
Bmnabilah
BmnabilahBmnabilah
Bmnabilahbmnabilah
 
Government Order - Pathiramanal issue
Government Order - Pathiramanal issueGovernment Order - Pathiramanal issue
Government Order - Pathiramanal issuekeralawatchnews
 
Presentationครั้งที่6.1
Presentationครั้งที่6.1Presentationครั้งที่6.1
Presentationครั้งที่6.1Wesead Kawayapanik
 
Norymbergia
NorymbergiaNorymbergia
Norymbergiamg1knurow
 
ストリーミングCDN2001
ストリーミングCDN2001ストリーミングCDN2001
ストリーミングCDN2001Masaaki Nabeshima
 
Diseño editorial
Diseño editorialDiseño editorial
Diseño editorialRicardo Fonseca
 
Projets (Francais)
Projets (Francais)Projets (Francais)
Projets (Francais)Jorge Garcés
 
Persembahan seni 1
Persembahan seni 1Persembahan seni 1
Persembahan seni 1bmsiti10
 
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016John B. BABADARA
 
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc Vasile Calin Dragan
 
Limita maxima de incarcare
Limita maxima de incarcareLimita maxima de incarcare
Limita maxima de incarcareTransmix Romania
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0Vladimir Matviychuk
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 

Más contenido relacionado

Destacado

Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0 Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0 Mark Scrimshire
 
Patient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical ReviewPatient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical ReviewZackary Berger
 
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcareHEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcareWisdom.To
 
EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов. EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов. MEDWIO
 
110607 denis priimagi egover.ppt
110607 denis priimagi egover.ppt110607 denis priimagi egover.ppt
110607 denis priimagi egover.pptvetalyano
 
Patient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education SolutionPatient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education SolutionKrames Patient Education
 
Socialmedrecruit
SocialmedrecruitSocialmedrecruit
SocialmedrecruitNachum Katz
 
Government Order - Pathiramanal issue
Government Order - Pathiramanal issueGovernment Order - Pathiramanal issue
Government Order - Pathiramanal issuekeralawatchnews
 
Presentationครั้งที่6.1
Presentationครั้งที่6.1Presentationครั้งที่6.1
Presentationครั้งที่6.1Wesead Kawayapanik
 
ストリーミングCDN2001
ストリーミングCDN2001ストリーミングCDN2001
ストリーミングCDN2001Masaaki Nabeshima
 
Persembahan seni 1
Persembahan seni 1Persembahan seni 1
Persembahan seni 1bmsiti10
 
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016John B. BABADARA
 
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc Vasile Calin Dragan
 
Limita maxima de incarcare
Limita maxima de incarcareLimita maxima de incarcare
Limita maxima de incarcareTransmix Romania
 

Destacado (20)

E estonia
E estoniaE estonia
E estonia
 
Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0 Mobile and Social Media Information Exchange: Health 3.0
Mobile and Social Media Information Exchange: Health 3.0
 
Areas of Focus for Next Generation of EHRs
Areas of Focus for Next Generation of EHRsAreas of Focus for Next Generation of EHRs
Areas of Focus for Next Generation of EHRs
 
Patient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical ReviewPatient-Centered Communication: A Useful Clinical Review
Patient-Centered Communication: A Useful Clinical Review
 
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcareHEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
HEALTH 3.0 (National): A Wisdom Network to crowdcreate patient healthcare
 
EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов. EHR+CRM. Экосистемы персонализации здоровья пациентов.
EHR+CRM. Экосистемы персонализации здоровья пациентов.
 
110607 denis priimagi egover.ppt
110607 denis priimagi egover.ppt110607 denis priimagi egover.ppt
110607 denis priimagi egover.ppt
 
Patient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education SolutionPatient Centered Care: Investing in a Patient Education Solution
Patient Centered Care: Investing in a Patient Education Solution
 
Socialmedrecruit
SocialmedrecruitSocialmedrecruit
Socialmedrecruit
 
Bmnabilah
BmnabilahBmnabilah
Bmnabilah
 
Government Order - Pathiramanal issue
Government Order - Pathiramanal issueGovernment Order - Pathiramanal issue
Government Order - Pathiramanal issue
 
Presentationครั้งที่6.1
Presentationครั้งที่6.1Presentationครั้งที่6.1
Presentationครั้งที่6.1
 
Norymbergia
NorymbergiaNorymbergia
Norymbergia
 
ストリーミングCDN2001
ストリーミングCDN2001ストリーミングCDN2001
ストリーミングCDN2001
 
Diseño editorial
Diseño editorialDiseño editorial
Diseño editorial
 
Projets (Francais)
Projets (Francais)Projets (Francais)
Projets (Francais)
 
Persembahan seni 1
Persembahan seni 1Persembahan seni 1
Persembahan seni 1
 
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
Forensic and Investigation Management - Oct 08th to Nov. 26th, 2016
 
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
Arhimandritul Sofronie Sakharov - Un pasaj din Testamentul duhovnicesc
 
Limita maxima de incarcare
Limita maxima de incarcareLimita maxima de incarcare
Limita maxima de incarcare
 

Similar a Ey uisg iv privacy

Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Vsevolod Shabad
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пднpesrox
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
ульяна зинина
ульяна зининаульяна зинина
ульяна зининаguest449eb498
 
Логическая витрина для доступа к большим данным
Логическая витрина для доступа к большим даннымЛогическая витрина для доступа к большим данным
Логическая витрина для доступа к большим даннымSergey Gorshkov
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Security Code Ltd.
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...Infor-media
 
Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Patric Dahse
 
Юридические аспекты облачного бизнеса
Юридические аспекты облачного бизнесаЮридические аспекты облачного бизнеса
Юридические аспекты облачного бизнесаSaaS.ru Portal
 
Рекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данныхРекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данныхAndrey Kryvonos
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 

Similar a Ey uisg iv privacy (20)

Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
ульяна зинина
ульяна зининаульяна зинина
ульяна зинина
 
Логическая витрина для доступа к большим данным
Логическая витрина для доступа к большим даннымЛогическая витрина для доступа к большим данным
Логическая витрина для доступа к большим данным
 
Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
 
Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)
 
Юридические аспекты облачного бизнеса
Юридические аспекты облачного бизнесаЮридические аспекты облачного бизнеса
Юридические аспекты облачного бизнеса
 
Рекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данныхРекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данных
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
 

Más de Glib Pakharenko

Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risksGlib Pakharenko
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in UkraineGlib Pakharenko
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійGlib Pakharenko
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayGlib Pakharenko
 
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificatesGlib Pakharenko
 
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessmentGlib Pakharenko
 
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3Glib Pakharenko
 
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayGlib Pakharenko
 
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данныхGlib Pakharenko
 

Más de Glib Pakharenko (20)

Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risks
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
 
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in Ukraine
 
Fintech security
Fintech securityFintech security
Fintech security
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в Україні
 
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ay
 
Uisg5sponsorreport
Uisg5sponsorreportUisg5sponsorreport
Uisg5sponsorreport
 
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificates
 
Abra pocket office
Abra pocket officeAbra pocket office
Abra pocket office
 
Utm
UtmUtm
Utm
 
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessment
 
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3
 
Uisg opening
Uisg openingUisg opening
Uisg opening
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Kke
KkeKke
Kke
 
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
 
Uisg companies 4
Uisg companies 4Uisg companies 4
Uisg companies 4
 
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
 

Ey uisg iv privacy

  • 1. Закон «О защите персональных данных» - мировой опыт и проблемы реализации Собрание Ukrainian Information Security Group IV Владимир Матвийчук, CISA, CISM,ITILF
  • 2. Закон о персональных данных в мире(Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство
  • 3. Законодательная база Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера Россия – Федеральный закон о персональных данных Нет единой методологической базы: ISPTA Privacy Management Reference Model Australian Privacy Principles APEC Privacy Framework AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP И много других похожих, но разных… Законодательство постоянно изменяется и пересматривается
  • 4. Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством
  • 5. Управление инцидентами Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения В Великобританиирегулятор имеет право взыскать штраф до £500.000 В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»
  • 6. Управление инцидентами Для эффективного управления инцидентами компании должны: Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству
  • 7. Облачные вычисления Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных Возникают дополнительные проблемы в следующих областях Договорные обязательства Требования безопасности и защиты персональных данных Управление инцидентами Передача данных заграницу
  • 8. Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными Оценить последствия передачи данных заграницу при перенесении в «облако» Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако
  • 9. Аудиты поставщиков услуг AICPA пересматривает организацию отчетности поставщиков услуг Отчет по SAS 70 отменяется Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization
  • 10. Аудиты поставщиков услуг Компании, поставщики услуг должны : Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита
  • 11. Шифрование Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях Nevada, Massachusetts, HITECH Act Великобритания и Евросоюз Необходимо зрелое и рациональное использование существующих процедур и решений Масштаб предприятия Единый подход вместо точечных
  • 12. Шифрование Компаниям необходимо: Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса
  • 13. Последствия несоответствия требованиям Рост количества регуляторных проверок Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов Большое количество поставщиков услуг не соответствует требованиям HITECH Act вСША Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований Клиенты требуют обеспечение более сильного контроля за персональными данными
  • 14. Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: Оценить соответствие требованиям действующих регуляторных документов При необходимости привести процессы и контроли в соответствие
  • 15. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM,ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com