Закон «О защите персональных
данных» - мировой опыт и
проблемы реализации
LegalCamp 2.0
Владимир Матвийчук, CISA, CISM, IT...
Немного о законе

►   № 2273 "О защите персональных данных" – принят Верховной
    радой 1-го июня во втором чтении
►   Вс...
О терминологии

►   Персональные данные – сведения или совокупность сведений о
    физическом лице, которое идентифицирова...
Что есть в законе?

►   Организация доступа к персональным данным
►   Ведение государственного реестра
►   Отношение с упо...
Революция в законодательстве?


►   Информация о персоне – совокупность документированных
    или публично объявленных све...
Новое – хорошо забытое старое


►   Информация о персоне – совокупность документированных
    или публично объявленных све...
Чего нет в Украинском законе?


►    Категорий персональных данных
►    Детальных требований и подходов по организации защ...
Закон о персональных данных в мире
(Ernst & Young Top privacy issues for 2010)




                     Национальный закон...
Модель управления персональными
данными

                          Корпоративное управление                               ...
Основные проблемы
         реализации и их решение




Page 9
Законодательная база


►    Не смотря на многолетнюю историю законодательства по
     персональным данным, нет единого под...
Законодательная база


Для того, чтобы соответствовать постоянно изменяющимся
требованиям компаниям необходимо:
► Регулярн...
Управление инцидентами


►    Эффективное и своевременное управление событиями и
     инцидентами, связанными с персональн...
Управление инцидентами


Для эффективного управления инцидентами компании должны:
  ► Внедрить эффективные процедуры и кон...
Облачные вычисления


►    Облачные вычисления и подобные сервисы делают
     неэффективными традиционные подходы к контро...
Облачные вычисления


Перед принятием решения об использовании облачных вычислений
компании должны:
   ► Провести инвентар...
Аудиты поставщиков услуг


►    AICPA пересматривает организацию отчетности поставщиков
     услуг
     ►    Отчет по SAS ...
Аудиты поставщиков услуг


Компании, поставщики услуг должны :
  ► Определить какие контроли безопасности персональных
   ...
Шифрование


►    Законодательство требует, чтобы определенные категории
     информации шифровались при определенных усло...
Шифрование


Компаниям необходимо:
  ► Определить решения по шифрованию мобильных устройств и
     коммуникаций, содержащи...
Последствия несоответствия требованиям


►    Рост количества регуляторных проверок
     ►    Растущее число законов и рег...
Последствия несоответствия требованиям


В ожидании ужесточения требований соблюдения требований и
повышения штрафов за не...
Что же дальше?


           Что делать                       Чего не делать
►    Ждать выхода нормативно-       ►   Не под...
Вопросы?




          Спасибо за внимание!

     Владимир Матвийчук, CISA, CISM, ITILF
     Услуги в области информационн...
Upcoming SlideShare
Loading in...5
×

Legalcamp 2.0

769

Published on

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
769
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Transcript of "Legalcamp 2.0"

  1. 1. Закон «О защите персональных данных» - мировой опыт и проблемы реализации LegalCamp 2.0 Владимир Матвийчук, CISA, CISM, ITILF
  2. 2. Немного о законе ► № 2273 "О защите персональных данных" – принят Верховной радой 1-го июня во втором чтении ► Вступает в силу с 1-го января 2011 ► Регулирует отношения, связанные с защитой персональных данных во время их обработки Page 1 Legalcamp 2.0 Владимир Матвийчук
  3. 3. О терминологии ► Персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано ► База персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных ► Обработка персональных данных – любое действие или совокупность действий, выполненных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, дополнением, использованием и распространением, обезличиванием, уничтожением данных о физическом лице Page 2 Legalcamp 2.0 Владимир Матвийчук
  4. 4. Что есть в законе? ► Организация доступа к персональным данным ► Ведение государственного реестра ► Отношение с уполномоченным государственным органом по вопросам защиты персональных данных ► Требования к обработке данных ► Отношения с субъектами персональных данных ► Требование обеспечения защиты персональных данных Page 3 Legalcamp 2.0 Владимир Матвийчук
  5. 5. Революция в законодательстве? ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 4 Legalcamp 2.0 Владимир Матвийчук
  6. 6. Новое – хорошо забытое старое ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 5 Legalcamp 2.0 Владимир Матвийчук
  7. 7. Чего нет в Украинском законе? ► Категорий персональных данных ► Детальных требований и подходов по организации защиты ► Типового порядка обработки персональных данных ► Требований по уведомлению субъектов персональных данных в случае инцидентов Page 6
  8. 8. Закон о персональных данных в мире (Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство Page 7 Top privacy issues for 2010
  9. 9. Модель управления персональными данными Корпоративное управление ► Уровень бизнес-процессов описывает использование Управление рисками и комплайенс персональных данных в бизнес- процессах компании и Полномочия/ рассматривает инфраструктуру Соответствие Границы Цели Стоимость Границы систем и третьи стороны. ► Уровень Управление рисками и Определение Операционная Распределение Обучение и комплайенс определяет людей, Люди профессиональное навыков модель навыков развитие процессы и технологии которые используются для защиты и управления обработкой Исполняющие Политики, Отношения с Управление Обучение и персональных данных в процедуры и третьими повышение процессы контроли сторонами инцидентами осведомленности организации. ► Уровень Корпоративное Информационная Юридическое управление определяет как Поддерживающие Комплайенс Внутренний аудит процессы безопасность обеспечение этим управлять. Уровень бизнес-процессов Page 8
  10. 10. Основные проблемы реализации и их решение Page 9
  11. 11. Законодательная база ► Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: ► США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату ► Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера ► Россия – Федеральный закон о персональных данных ► Нет единой методологической базы: ► ISPTA Privacy Management Reference Model ► Australian Privacy Principles ► APEC Privacy Framework ► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP ► И много других похожих, но разных… ► Законодательство постоянно изменяется и пересматривается Page 10
  12. 12. Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: ► Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям ► Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством Page 11
  13. 13. Управление инцидентами ► Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций ► В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах ► В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения ► В Великобритании регулятор имеет право взыскать штраф до £500.000 ► В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных» Page 12
  14. 14. Управление инцидентами Для эффективного управления инцидентами компании должны: ► Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными ► Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству Page 13
  15. 15. Облачные вычисления ► Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных ► Возникают дополнительные проблемы в следующих областях ► Договорные обязательства ► Требования безопасности и защиты персональных данных ► Управление инцидентами ► Передача данных заграницу Page 14
  16. 16. Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: ► Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными ► Оценить последствия передачи данных заграницу при перенесении в «облако» ► Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако Page 15
  17. 17. Аудиты поставщиков услуг ► AICPA пересматривает организацию отчетности поставщиков услуг ► Отчет по SAS 70 отменяется ► Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных ► Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг ► Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization Page 16
  18. 18. Аудиты поставщиков услуг Компании, поставщики услуг должны : ► Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита Page 17
  19. 19. Шифрование ► Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях ► Nevada, Massachusetts, HITECH Act ► Великобритания и Евросоюз ► Необходимо зрелое и рациональное использование существующих процедур и решений ► Масштаб предприятия ► Единый подход вместо точечных Page 18
  20. 20. Шифрование Компаниям необходимо: ► Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные ► Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат ► Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса Page 19
  21. 21. Последствия несоответствия требованиям ► Рост количества регуляторных проверок ► Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов ► Большое количество поставщиков услуг не соответствует требованиям HITECH Act в США ► Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований ► Клиенты требуют обеспечение более сильного контроля за персональными данными Page 20
  22. 22. Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: ► Оценить соответствие требованиям действующих регуляторных документов ► При необходимости привести процессы и контроли в соответствие Page 21
  23. 23. Что же дальше? Что делать Чего не делать ► Ждать выхода нормативно- ► Не поддаваться панике правовых актов с конкретными ► Не спешить внедрять подходы требованиями других стран – наши могут ► Провести инвентаризацию отличаться информационных ресурсов и ► Не спешить привлекать определить персональную консультантов, имеющих опыт информацию внедрения требований закона ► Если уже проведена ранее – «там», пока они не получат опыт реклассифицировать в Украине (консалтинговые персональные данные как компании тоже должны информацию «с ограниченным соответствовать) ☺ доступом» Page 22
  24. 24. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com Page 23

×