SlideShare uma empresa Scribd logo

Legalcamp 2.0

Vladimir Matviychuk
Vladimir Matviychuk
EducaçãoTecnologiaNotícias e política
1 de 24
Закон «О защите персональных данных» - мировой опыт и проблемы реализации LegalCamp 2.0 Владимир Матвийчук, CISA, CISM, ITILF
Немного о законе ► № 2273 "О защите персональных данных" – принят Верховной радой 1-го июня во втором чтении ► Вступает в силу с 1-го января 2011 ► Регулирует отношения, связанные с защитой персональных данных во время их обработки Page 1 Legalcamp 2.0 Владимир Матвийчук
О терминологии ► Персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано ► База персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных ► Обработка персональных данных – любое действие или совокупность действий, выполненных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, дополнением, использованием и распространением, обезличиванием, уничтожением данных о физическом лице Page 2 Legalcamp 2.0 Владимир Матвийчук
Что есть в законе? ► Организация доступа к персональным данным ► Ведение государственного реестра ► Отношение с уполномоченным государственным органом по вопросам защиты персональных данных ► Требования к обработке данных ► Отношения с субъектами персональных данных ► Требование обеспечения защиты персональных данных Page 3 Legalcamp 2.0 Владимир Матвийчук
Революция в законодательстве? ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 4 Legalcamp 2.0 Владимир Матвийчук
Новое – хорошо забытое старое ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 5 Legalcamp 2.0 Владимир Матвийчук
Чего нет в Украинском законе? ► Категорий персональных данных ► Детальных требований и подходов по организации защиты ► Типового порядка обработки персональных данных ► Требований по уведомлению субъектов персональных данных в случае инцидентов Page 6
Закон о персональных данных в мире (Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство Page 7 Top privacy issues for 2010
Модель управления персональными данными Корпоративное управление ► Уровень бизнес-процессов описывает использование Управление рисками и комплайенс персональных данных в бизнес- процессах компании и Полномочия/ рассматривает инфраструктуру Соответствие Границы Цели Стоимость Границы систем и третьи стороны. ► Уровень Управление рисками и Определение Операционная Распределение Обучение и комплайенс определяет людей, Люди профессиональное навыков модель навыков развитие процессы и технологии которые используются для защиты и управления обработкой Исполняющие Политики, Отношения с Управление Обучение и персональных данных в процедуры и третьими повышение процессы контроли сторонами инцидентами осведомленности организации. ► Уровень Корпоративное Информационная Юридическое управление определяет как Поддерживающие Комплайенс Внутренний аудит процессы безопасность обеспечение этим управлять. Уровень бизнес-процессов Page 8
Основные проблемы реализации и их решение Page 9
Законодательная база ► Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: ► США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату ► Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера ► Россия – Федеральный закон о персональных данных ► Нет единой методологической базы: ► ISPTA Privacy Management Reference Model ► Australian Privacy Principles ► APEC Privacy Framework ► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP ► И много других похожих, но разных… ► Законодательство постоянно изменяется и пересматривается Page 10
Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: ► Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям ► Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством Page 11
Управление инцидентами ► Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций ► В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах ► В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения ► В Великобритании регулятор имеет право взыскать штраф до £500.000 ► В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных» Page 12
Управление инцидентами Для эффективного управления инцидентами компании должны: ► Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными ► Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству Page 13
Облачные вычисления ► Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных ► Возникают дополнительные проблемы в следующих областях ► Договорные обязательства ► Требования безопасности и защиты персональных данных ► Управление инцидентами ► Передача данных заграницу Page 14
Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: ► Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными ► Оценить последствия передачи данных заграницу при перенесении в «облако» ► Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако Page 15
Аудиты поставщиков услуг ► AICPA пересматривает организацию отчетности поставщиков услуг ► Отчет по SAS 70 отменяется ► Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных ► Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг ► Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization Page 16
Аудиты поставщиков услуг Компании, поставщики услуг должны : ► Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита Page 17
Шифрование ► Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях ► Nevada, Massachusetts, HITECH Act ► Великобритания и Евросоюз ► Необходимо зрелое и рациональное использование существующих процедур и решений ► Масштаб предприятия ► Единый подход вместо точечных Page 18
Шифрование Компаниям необходимо: ► Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные ► Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат ► Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса Page 19
Последствия несоответствия требованиям ► Рост количества регуляторных проверок ► Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов ► Большое количество поставщиков услуг не соответствует требованиям HITECH Act в США ► Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований ► Клиенты требуют обеспечение более сильного контроля за персональными данными Page 20
Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: ► Оценить соответствие требованиям действующих регуляторных документов ► При необходимости привести процессы и контроли в соответствие Page 21
Что же дальше? Что делать Чего не делать ► Ждать выхода нормативно- ► Не поддаваться панике правовых актов с конкретными ► Не спешить внедрять подходы требованиями других стран – наши могут ► Провести инвентаризацию отличаться информационных ресурсов и ► Не спешить привлекать определить персональную консультантов, имеющих опыт информацию внедрения требований закона ► Если уже проведена ранее – «там», пока они не получат опыт реклассифицировать в Украине (консалтинговые персональные данные как компании тоже должны информацию «с ограниченным соответствовать) ☺ доступом» Page 22
Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com Page 23

Recomendados

организационно правовая-защита-11
организационно правовая-защита-11организационно правовая-защита-11
организационно правовая-защита-11trenders
 
управление электронными данными ограниченного доступа
управление электронными данными ограниченного доступауправление электронными данными ограниченного доступа
управление электронными данными ограниченного доступаExpolink
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
1
11
1a_a_a
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Юрий Ж
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
ISACA_Slides_Plaschevoj_16 December 2011
ISACA_Slides_Plaschevoj_16 December 2011ISACA_Slides_Plaschevoj_16 December 2011
ISACA_Slides_Plaschevoj_16 December 2011Lily Nabochenko
 

Recomendados

организационно правовая-защита-11
организационно правовая-защита-11организационно правовая-защита-11
организационно правовая-защита-11trenders
 
управление электронными данными ограниченного доступа
управление электронными данными ограниченного доступауправление электронными данными ограниченного доступа
управление электронными данными ограниченного доступаExpolink
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
1
11
1a_a_a
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Юрий Ж
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
ISACA_Slides_Plaschevoj_16 December 2011
ISACA_Slides_Plaschevoj_16 December 2011ISACA_Slides_Plaschevoj_16 December 2011
ISACA_Slides_Plaschevoj_16 December 2011Lily Nabochenko
 
Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)Citeck Citeck
 
защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
защита информации 10
защита информации 10защита информации 10
защита информации 10aepetelin
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 
Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD. Cisco Russia
 
иб
ибиб
ибmitta21
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)sinbi 장상미
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010Vladimir Matviychuk
 
Il Funzionario
Il FunzionarioIl Funzionario
Il Funzionariolanzulu
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피sinbi 장상미
 
Sorochenkovapresentation
SorochenkovapresentationSorochenkovapresentation
SorochenkovapresentationSorochenkova
 
Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)Vladimir Matviychuk
 
I L B R 1^ I N
I L B R 1^ I NI L B R 1^ I N
I L B R 1^ I Nlanzulu
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 
Sports massage sydney - Shin splints
Sports massage sydney - Shin splintsSports massage sydney - Shin splints
Sports massage sydney - Shin splintsmike
 
Центр шотландской культуры
Центр шотландской культурыЦентр шотландской культуры
Центр шотландской культурыSorochenkova
 

Mais conteúdo relacionado

Mais procurados

Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)Citeck Citeck
 
защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
защита информации 10
защита информации 10защита информации 10
защита информации 10aepetelin
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 
Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD. Cisco Russia
 

Mais procurados (9)

Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)Решения для страховых компаний (Alfresco, Liferay)
Решения для страховых компаний (Alfresco, Liferay)
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in Ukraine
 
Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD.
 
иб
ибиб
иб
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 

Destaque

Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)sinbi 장상미
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010Vladimir Matviychuk
 
Il Funzionario
Il FunzionarioIl Funzionario
Il Funzionariolanzulu
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피sinbi 장상미
 
Sorochenkovapresentation
SorochenkovapresentationSorochenkovapresentation
SorochenkovapresentationSorochenkova
 
I L B R 1^ I N
I L B R 1^ I NI L B R 1^ I N
I L B R 1^ I Nlanzulu
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 
Sports massage sydney - Shin splints
Sports massage sydney - Shin splintsSports massage sydney - Shin splints
Sports massage sydney - Shin splintsmike
 
Центр шотландской культуры
Центр шотландской культурыЦентр шотландской культуры
Центр шотландской культурыSorochenkova
 

Destaque (13)

Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacks
 
소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)소셜미디어와 사회운동 (20101021)
소셜미디어와 사회운동 (20101021)
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010
 
Il Funzionario
Il FunzionarioIl Funzionario
Il Funzionario
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
 
쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피
 
Sorochenkovapresentation
SorochenkovapresentationSorochenkovapresentation
Sorochenkovapresentation
 
Effective risk management
Effective risk managementEffective risk management
Effective risk management
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)
 
I L B R 1^ I N
I L B R 1^ I NI L B R 1^ I N
I L B R 1^ I N
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный Slа
 
Sports massage sydney - Shin splints
Sports massage sydney - Shin splintsSports massage sydney - Shin splints
Sports massage sydney - Shin splints
 
Центр шотландской культуры
Центр шотландской культурыЦентр шотландской культуры
Центр шотландской культуры
 

Semelhante a Legalcamp 2.0

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Patric Dahse
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...Deloitte CIS
 
Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренкоguest5a2f763
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологииOlena Sukhina
 
Современные технологии автоматизации документооборота. Практический опыт повы...
Современные технологии автоматизации документооборота. Практический опыт повы...Современные технологии автоматизации документооборота. Практический опыт повы...
Современные технологии автоматизации документооборота. Практический опыт повы...Андрей Кучеров
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 

Semelhante a Legalcamp 2.0 (20)

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Ey uisg iv privacy
Ey uisg iv privacyEy uisg iv privacy
Ey uisg iv privacy
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)Russian: Webcast Security Anonymization (TDA)
Russian: Webcast Security Anonymization (TDA)
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другое
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
КСИБ
КСИБКСИБ
КСИБ
 
Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...
Глобальная практика «Делойта» по предотвращению финансовых преступлений. О пр...
 
Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренко
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологии
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологии
 
Современные технологии автоматизации документооборота. Практический опыт повы...
Современные технологии автоматизации документооборота. Практический опыт повы...Современные технологии автоматизации документооборота. Практический опыт повы...
Современные технологии автоматизации документооборота. Практический опыт повы...
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 

Mais de Vladimir Matviychuk

Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 

Mais de Vladimir Matviychuk (11)

дети в интернете
дети в интернетедети в интернете
дети в интернете
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcm
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscape
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011
 
BCP intro
BCP introBCP intro
BCP intro
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
Continious auditing
Continious auditingContinious auditing
Continious auditing
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 

Legalcamp 2.0

  • 1. Закон «О защите персональных данных» - мировой опыт и проблемы реализации LegalCamp 2.0 Владимир Матвийчук, CISA, CISM, ITILF
  • 2. Немного о законе ► № 2273 "О защите персональных данных" – принят Верховной радой 1-го июня во втором чтении ► Вступает в силу с 1-го января 2011 ► Регулирует отношения, связанные с защитой персональных данных во время их обработки Page 1 Legalcamp 2.0 Владимир Матвийчук
  • 3. О терминологии ► Персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано ► База персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных ► Обработка персональных данных – любое действие или совокупность действий, выполненных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, дополнением, использованием и распространением, обезличиванием, уничтожением данных о физическом лице Page 2 Legalcamp 2.0 Владимир Матвийчук
  • 4. Что есть в законе? ► Организация доступа к персональным данным ► Ведение государственного реестра ► Отношение с уполномоченным государственным органом по вопросам защиты персональных данных ► Требования к обработке данных ► Отношения с субъектами персональных данных ► Требование обеспечения защиты персональных данных Page 3 Legalcamp 2.0 Владимир Матвийчук
  • 5. Революция в законодательстве? ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 4 Legalcamp 2.0 Владимир Матвийчук
  • 6. Новое – хорошо забытое старое ► Информация о персоне – совокупность документированных или публично объявленных сведений о персоне ► Все организации, собирающие информацию о гражданах, обязаны до начала работы с информацией осуществить в установленном Кабинетом Министров Украины порядке государственную регистрацию соответствующих баз данных ► Граждане имеют право знать в период сбора информации, какие сведения про них собираются и с какой целью они используются ► … Page 5 Legalcamp 2.0 Владимир Матвийчук
  • 7. Чего нет в Украинском законе? ► Категорий персональных данных ► Детальных требований и подходов по организации защиты ► Типового порядка обработки персональных данных ► Требований по уведомлению субъектов персональных данных в случае инцидентов Page 6
  • 8. Закон о персональных данных в мире (Ernst & Young Top privacy issues for 2010) Национальный закон Другой существенный закон Формирующееся законодательство Page 7 Top privacy issues for 2010
  • 9. Модель управления персональными данными Корпоративное управление ► Уровень бизнес-процессов описывает использование Управление рисками и комплайенс персональных данных в бизнес- процессах компании и Полномочия/ рассматривает инфраструктуру Соответствие Границы Цели Стоимость Границы систем и третьи стороны. ► Уровень Управление рисками и Определение Операционная Распределение Обучение и комплайенс определяет людей, Люди профессиональное навыков модель навыков развитие процессы и технологии которые используются для защиты и управления обработкой Исполняющие Политики, Отношения с Управление Обучение и персональных данных в процедуры и третьими повышение процессы контроли сторонами инцидентами осведомленности организации. ► Уровень Корпоративное Информационная Юридическое управление определяет как Поддерживающие Комплайенс Внутренний аудит процессы безопасность обеспечение этим управлять. Уровень бизнес-процессов Page 8
  • 10. Основные проблемы реализации и их решение Page 9
  • 11. Законодательная база ► Не смотря на многолетнюю историю законодательства по персональным данным, нет единого подхода по регулированию данного вопроса: ► США – не имеют всеобъемлющего закона по персональным данным. Требования отличаются от штата к штату ► Европа – конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера ► Россия – Федеральный закон о персональных данных ► Нет единой методологической базы: ► ISPTA Privacy Management Reference Model ► Australian Privacy Principles ► APEC Privacy Framework ► AICPA/CICA 10 Generally Accepted Privacy Principles - GAPP ► И много других похожих, но разных… ► Законодательство постоянно изменяется и пересматривается Page 10
  • 12. Законодательная база Для того, чтобы соответствовать постоянно изменяющимся требованиям компаниям необходимо: ► Регулярно отслеживать изменения в законодательстве и проводить оценку соответствия изменившимся/новым требованиям ► Регулярно обновлять политики и процедуры в соответствии с изменившимся законодательством Page 11
  • 13. Управление инцидентами ► Эффективное и своевременное управление событиями и инцидентами, связанными с персональными данными, остается критически необходимым для всех организаций ► В США требуется уведомление в случае масштабных утечек персональных данных о состоянии здоровья, номеров социального страхования, информации о банковских счетах ► В Европе большое количество новых регуляторных требований, касательно уведомления об инцидентах, предусматривающие штрафные санкции в случае невыполнения ► В Великобритании регулятор имеет право взыскать штраф до £500.000 ► В России «В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения» «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных» Page 12
  • 14. Управление инцидентами Для эффективного управления инцидентами компании должны: ► Внедрить эффективные процедуры и контроли для предотвращения инцидентов, связанных с персональными данными ► Оценить процесс управления событиями и инцидентами, связанными с персональными данными на предмет соответствия текущему законодательству Page 13
  • 15. Облачные вычисления ► Облачные вычисления и подобные сервисы делают неэффективными традиционные подходы к контролю и защите персональных данных ► Возникают дополнительные проблемы в следующих областях ► Договорные обязательства ► Требования безопасности и защиты персональных данных ► Управление инцидентами ► Передача данных заграницу Page 14
  • 16. Облачные вычисления Перед принятием решения об использовании облачных вычислений компании должны: ► Провести инвентаризацию своих процессов и систем и оценить возможность вынесения их в «облако» на основании их подверженности рискам, связанным с персональными данными ► Оценить последствия передачи данных заграницу при перенесении в «облако» ► Определить условия, на которых, с точки зрения информационной безопасности, компания может выносить информацию в «облако Page 15
  • 17. Аудиты поставщиков услуг ► AICPA пересматривает организацию отчетности поставщиков услуг ► Отчет по SAS 70 отменяется ► Разрешается включение контролей не относящихся к обеспечению целостности финансовой отчетности, следовательно появляется возможность оценить контроли защиты персональных данных ► Поддерживается AICPA Generally Accepted Privacy Principles для аудита организаций – поставщиков услуг ► Соответствует новому международному стандарту ISAE 3402, Assurance Reports on Controls at a Service Organization Page 16
  • 18. Аудиты поставщиков услуг Компании, поставщики услуг должны : ► Определить какие контроли безопасности персональных данных необходимо включить в оценку при проведении аудита Page 17
  • 19. Шифрование ► Законодательство требует, чтобы определенные категории информации шифровались при определенных условиях ► Nevada, Massachusetts, HITECH Act ► Великобритания и Евросоюз ► Необходимо зрелое и рациональное использование существующих процедур и решений ► Масштаб предприятия ► Единый подход вместо точечных Page 18
  • 20. Шифрование Компаниям необходимо: ► Определить решения по шифрованию мобильных устройств и коммуникаций, содержащих персональные данные ► Унифицировать решения по шифрованию для повышения удобства использования и оптимизации затрат ► Провести инвентаризацию систем и информации и определить где использование решений по шифрованию наиболее уместно с точки зрения управления рисками и комплайенса Page 19
  • 21. Последствия несоответствия требованиям ► Рост количества регуляторных проверок ► Растущее число законов и регуляторных документов, и в отдельных случаях регуляторов ► Большое количество поставщиков услуг не соответствует требованиям HITECH Act в США ► Требования уведомления об инцидентах практически открыли дорогу для последующих аудитов и расследований ► Клиенты требуют обеспечение более сильного контроля за персональными данными Page 20
  • 22. Последствия несоответствия требованиям В ожидании ужесточения требований соблюдения требований и повышения штрафов за несоответствие компании должны: ► Оценить соответствие требованиям действующих регуляторных документов ► При необходимости привести процессы и контроли в соответствие Page 21
  • 23. Что же дальше? Что делать Чего не делать ► Ждать выхода нормативно- ► Не поддаваться панике правовых актов с конкретными ► Не спешить внедрять подходы требованиями других стран – наши могут ► Провести инвентаризацию отличаться информационных ресурсов и ► Не спешить привлекать определить персональную консультантов, имеющих опыт информацию внедрения требований закона ► Если уже проведена ранее – «там», пока они не получат опыт реклассифицировать в Украине (консалтинговые персональные данные как компании тоже должны информацию «с ограниченным соответствовать) ☺ доступом» Page 22
  • 24. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com Page 23