1. Закон «О защите персональных данных» - мировой опыт и проблемы реализации Собрание Ukrainian Information Security Group IV Владимир Матвийчук, CISA, CISM,ITILF
2. Закон о персональных данных в мире(Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство
3. Законодательная база Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера Россия – Федеральный закон о персональных данных Нет единой методологической базы: ISPTA Privacy Management Reference Model Australian Privacy Principles APEC Privacy Framework AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP И много других похожих, но разных… Законодательство постоянно изменяется и пересматривается
4. Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством
5. Управление инцидентами Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения В Великобританиирегулятор имеет право взыскать штраф до £500.000 В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных»
6. Управление инцидентами Для эффективного управления инцидентами компании должны: Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству
7. Облачные вычисления Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных Возникают дополнительные проблемы в следующих областях Договорные обязательства Требования безопасности и защиты персональных данных Управление инцидентами Передача данных заграницу
8. Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными Оценить последствия передачи данных заграницу при перенесении в «облако» Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако
9. Аудиты поставщиков услуг AICPA пересматривает организацию отчетности поставщиков услуг Отчет по SAS 70 отменяется Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization
10. Аудиты поставщиков услуг Компании, поставщики услуг должны : Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита
11. Шифрование Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях Nevada, Massachusetts, HITECH Act Великобритания и Евросоюз Необходимо зрелое и рациональное использование существующих процедур и решений Масштаб предприятия Единый подход вместо точечных
12. Шифрование Компаниям необходимо: Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса
13. Последствия несоответствия требованиям Рост количества регуляторных проверок Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов Большое количество поставщиков услуг не соответствует требованиям HITECH Act вСША Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований Клиенты требуют обеспечение более сильного контроля за персональными данными
14. Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: Оценить соответствие требованиям действующих регуляторных документов При необходимости привести процессы и контроли в соответствие
15. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM,ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com