АГЕНДА - iorrm.org.mk · Ревизијазаусогласеностсозаконот...

Ревизија за усогласеност со законотза заштита на лични податоци

Managing DirectorGoran Chamurovski BSc,MBACISA, CRISC, PMP, ITSM/ISMS LA

АГЕНДАУлоги и одговорностиРизик и СистемМатеријалност и опсегНеусогласеностиГлобализацијаДискусија

3 Мај -13 ДОВЕ РЛИВО

Што е приватност?

Широк спектар на значења и контексти на приватност• Личен податок како информација• Право на лична приватност• Приватност на клиентите, партнерите, вработенитеЛични информации• Хартиена и електронска документација• Класификација• Анонимизација

Духот на регулативата е во правец назаштита на слабиот имател на личниподатоци наспроти силнитеорганизации.

Улоги- Имател на личниподатоци

- Контролор- Офицер заприватност

- Дирекција- Обработувач- Трета страна

Улоги- Имател на личниподатоци

- Контролор- Офицер заприватност

- Дирекција- Обработувач- Трета страна


Право на сопственост на личнитеподатоци


Експлицитна согласност


ДИРЕКЦИЈА ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ

КОНТРОЛОРРЕВИЗОРСКО ТЕЛО

PrivacyOfficer Аудитори Аудитор

Имплементираконтроли

Делегираревизори

Запослуваревизори

Обезедувасертификација

Врширевизија

Врширевизија

Надгледува

Шема за надворешна ревизија


Фреквенција на проверките


Инспекција


Заканите се реални


Барања за имплементација на систем


Систем за заштита на личните податоци

Систем за заштита на личните податоци (Data Protection System) е збир од документирани политики, кодекси на практика, насоки, процедури и работни инструкции донесени од страна наконтролорот, а кои се во функција на спроведување на техничките иорганизациските мерки за обезбедување тајност и заштита наобработката на личните податоци согласно прописите за заштита наличните податоци.

Нивоа на технички и организациски меркиЧлен 5 (1) Контролорот треба да применува технички и организацискимерки, кои обезбедуваат тајност и заштита на обработката наличните податоци, соодветно на природата на податоците кои сеобработуваат и ризикот при нивната обработка.


Mодел на ризик

Ризици во однос на:• информациите, обработката, процесите, сервиситеЗакани по субјектите на лични податоци• Крадење на идентитет, прекршување на правата, снимање/надгледување

Закани по организацијата• Казни, негативен публицитет, финансиски загуби илидополнителни трошоци, нарушување на операциите, губење на клиенти


Анализа и евалуација на ризикот

Добро формулиран ризикДобро формулиран ризик

ШтетаКоја ештетатапоприватноста?

ВеројатностКолку е изгледнозаканите даги искористат слабостите?

Средства

Средства ЗаканиЗакани СлабостиСлабости Контрол

иКонтрол

и

“Ризикот е функција од веројатноста дадена закана да искористиодредена потенцијална слабост, што во одсуство на контроли ќерезултира со непосакувана штета по организациските средства.

Извор: NIST SP800-30


Личен податок и корелирани средства

Категориина средстваКатегориина средства

Средства заподдршка

Средства заподдршкаПримарни

средстваПримарнисредства

ДеловнипроцесиДеловнипроцеси

ЛичниподатоциЛични

податоци

Hardware

Software

Network

Вработени

локации

Организациска

структура

ДефиницијаДефиниција

Личен податок е било којаинформација која е или може да бидеповрзана со одредена индивидуа.

Личен податок е било којаинформација која е или може да бидеповрзана со одредена индивидуа.


Одговорности во однос на ризикот

ИТ

Организациски

одговорности

lВрвен

менаџмент

Организацискиединици

Техничкиризик

Технолошкиризик

Репутацискиризик

Expected

ИТ Сигурност

Информацискасигурност

Стратешкоуправување со

ризикот


Систем за управување со приватност…

Ризик по

приватноста

Воведувањена контроли

Ресурсно

ефективно

Сообраност сорегулативата

… воспоставување на равнотежа на следниве фактори…

…за да се задоволат регулаторните барања.

Privacy

VulnerabilityThreat


Инволута

Copyright © 2009 By INTEGRA Solution


Опсег на системот за заштита наПриватноста



Ефект од воведување на системот


Зошто Систем

Предностите на Систем за заштита на личните податоци:• Вклучување на клучните заинтересирани страни (поддршка одврвното раководство)

• Подобрување низ годините (одржливост)• Воспоставување на адекватни контроли (нема фрагментација)• Користење на ресурсите трошковно ефективно (приоретизација)• Креирањена Систем за управување (мерење на ризикот)• Можност да се изведе проверка базирана на ризик

(материјалност)• Дефинирање на улоги (алоцирање на одговорностите)• Интегрирање на сите засегнати страни во една иницијатива

(интегрирана имплементација)• Можност за презентирање на целите врз база на ризикотрелевантен за организацијата


Произлез на обврските

Контрола на информацискиот систем и информатичкатаинфраструктураЧлен 25 (1) Информацискиот систем и информатичката инфраструктура наконтролорот задолжително подлежат на внатрешна и надворешнаконтрола со цел да се провери дали постапките и упатстватасодржани во документацијата за технички и организациски мерки сеприменуваат и се во согласност со прописите за заштита на личнитеподатоци. (2) Контролорот врши надворешна контрола на информацискиотсистем и информатичката инфраструктура на секои три години, авнатрешна контрола секоја година.


Ревизија на приватност на податоци

План за контрола (Audit Plan) е систематска иструктуирана целина на активности кои мора да бидатизвршени од страна на лицето кое врши контрола соцел давање на мислење.Планирањето вклучува:• Класификација и приоретизиација на податоците• Проценка на ризикотПодготовката вклучува• Рзабирање на начините на обработка• Идентификација на заканите• Идентификација на контролите• Приоретизација на проверката


Контрола на системот за заштита на личните податоци (Personal Data Protection Audit) е систематско и независно испитување како би се утврдилодали активностите кои вклучуваат обработка на личните податоци се вршатсогласно документацијата за техничките и организациските мерки наконтролорот и дали оваа обработка ги исполнува барањата за заштита наличните податоци

Проверката (ревизија) за усогласеност со законот за заштита на личнитеподатоци е форма на проверка која се фокусира на сигурноста наинформацискиот ситем и информатичката инфраструктура со цел да гизаштити личните податоци.

Ревизија е испитување на системските записи и активности за да сеопредели адекватноста на системските контроли, да се испита дизајнот наконтролите, да се провери сообразност со воспоставените сигурносниполитики и процедури, да се детектираат неусогласености и да седокументираат наоди и согледувања кои се индикативни за подобрувањена контролите или воведување на нови контроли.

Ревизија за усогласеност созаконот за заштита на личните податоци


Што е аудит?

Систематски, независен и документиран процес заобезбедување на доказ за проверката и неговаобјективна евалуација со цел да се одреди до кое нивокритериумот за проверка е исполнет.

Изведување на процедури за проверкасо цел да се тестира ефективноста на

воспоставените контроли.


Барања за заштита на личните податоци (Data Protection Requirements) се условите кои ги одразуваат обврските наконтролорот за применување на соодветни технички иорганизациски мерки за обезбедување тајност и заштита наобработката на личните податоци при воспоставувањето насистем за заштита на личните податоци.

Критериум за проверка

Законот, подзаконските акти и сите обврскикои произлегуваат од нивнототоклкување и применување.


Материјалност

Дефиниција

Со цел да се намали ризикот од изведувањето наревизијата и да се обезбеди разумно уверување, ревизирот мора да стави акцент на процесите исистемите кои се отценува дека се материјални.

Процесот или системот се отценува дека ематеријален, доколку пропуст или грешка во него

може да влијае на заинтересираните страни.


Ефект на материјалност

Базиран на големината на организацијата


Опсегот на ревизијата го одредува рангот и границите напроверката; на пример локациите, организацискитеединици, активностите и процесите кои треба да бидатпроверувани како и временскиот период кој ревизијатаго покрива.

Опсегот на ревизијата треба да биде репрезентативенпримерок на опсегот на системот.

Опсег на ревизијата

Опсег на системот

Селекција на опсегот на ревизијата


Проверка на обработувачите


Проверка на обработувачите

Обработувач на збирка на лични податоциЧлен 3 Одредбите од членот 25 на овој правилник соодветно сеприменуваат и при проверката на постапувањето наобработувачот при обработката на личните податоци во смислана член 26 став 3 од Законот за заштита на личните податоци.

Член 26 Во договорот од ставот 2 на овој член, задолжително се определуваи начинот на проверка на постапувањето на обработувачот приобработката на личните податоци.


Разумно уверување

Аудиторот се труди да обезбеди разумно уверувањедека организацијата е без материјални репрезентациина неусогласности.

Доказа за разумното уверување се добива сооперативно тестирање на контролите.


Компетенции и евалуација на аудиторите

Доверливоста и разумното уверување во процесот наревизија зависи од компетенциите на тие кои јаизведуваат проверката.

Компетенција е однесување докажано преку знаење ипрактикување.

Ревизорите ги развиваат, одржуваат и подобруваатнивните компетенции преку континуиран тренинг и соредовен аудит.

Иницијалнасертификација

Професионалноискуство

Напреднасертификација

Искуствово ревизија


Tелото кое врши контрола е должно да има вработено нанеопределено работно време, најмалку три стручни лица (лица коивршат контрола) кои можат да бидат вклучени во процесот наконтрола на системот за заштита на личните податоци и дапоседуваат важечки еден или повеќе од следните сертификати:

1. CISM (Certified Information Security Manager),

2. CRISC (Certified in Risk and Information Systems Control),

3. IS0 27001 Lead Auditor,

4. CISA (Certified Information Systems Auditor),

5. CISSP (Certified Information Systems Security Professional)

6.Мислење од Дирекцијата за заштита на личните податоци заусогласеност со прописите за заштита на личните податоци

Сертификација


Комуникација со експертите

Ревизорското образование и искуство му овозможува на ревизоротда ги осознае прашањата во врска со работењето воопшто, но одревизорот не се бара да поседува експертско познавање со коиинаку располага лице образовано или квалификувано да бидеангажирано во праксата на некоја друга професија или занимање,...

Ревизорот нема исто експертско знаење па според тоа не можесекогаш да ги оспорува претпоставките и методите на експертот.Меѓутоа ревизорот треба да стекне преглед за претпоставките икористените методи, и да отцени дали се соодветни и логични, засновани на ревизирското познавање на деловното работење и нарезултатите од други ревизорски постапки.


Кога се утврдува потребата за користење на работа на некојексперт, ревизорот треба да ги разгледа:

значајноста на ставката во финансискиот извештај, која серазгледува;

ризикот од погрешни прикажувања засновани на природата исложеноста на прашањето кое се третира;

количеството и квалитетот на други докази на располагање.

Дури 40% од банките во светот, денес, за потребите насопствените IT ревизии ангажираат надворешниспецијалисти (KPMG)

Кога се планира користење работа на некој експерт, ревизороттреба да ја оцени професионалната и компентентност наекспертот

Потреба за користење на експерти


Принципи

Етичко

однесување

Фер

презентација

Професионална

грижа

Доверливост НезависностПристап базиран

на докази


Пристап базиран на доказ

Објективноевалуирана

Објективнообезбедена

Информација Доказ


Доказ на проверката

Записи, изјави или факти како информации кои серелевантни за критериумот на проверка и може да сепотврдат.

За време на контролата на системот за заштита наличните податоци, лицето кое врши контрола едолжно да направи доказно досие како дел одкомплетното досие за извршената контрола.


Документирање на неусогласеностите

Дефиниција

Неусогласеност е неисполнување на барањата накритериумот за проверка

Дали треба да имаме нивоа на неусогласености икако да ги дефинираме?• Голема Неусогласеност• Мала Неусогласеност• Согледување


Неколку дефиниции

Зборуваме ист јазик, но дали нашите зборовиимаат исто значење?


Двоумење

Целта на ревизијата е да ја потврди сообразноста а несамо да бара неусогласености

Ако не постои доказ за неусогласеностНема неусоглсеност

Но ако има доказ за неусогласеностНеусогласеноста мора да биде документирана


Мислење за извршена контрола (Audit Opinion) е целоснаоценка за предметот на контрола во однос наприменувањето на техничките и организациските меркиза обезбедување тајност и заштита на обработката наличните податоци согласно прописите за заштита наличните податоци

Испорачани документи


Хармонизација


Примери – Европска Унија

Барање Извор ОписDirective

1995/46/EC Parliament and

European CouncilProtection of individuals with regard to the processing of personal data and on the free movement of such data

Directive 2002/58/EC

Parliament and European Council

Protection of personal data and privacy in electronic communications

Regulation 45/2001


Protection of personal data by European bodies

Decision 92/242/CEE


Applicable definitions and sanctions concerning attacks targeting information systems



Community Framework for electronic signatures and certain certification services



Harmonization of copyright to evolutions in technologies


Што испорачуваме: управување надигиталниот ризик во регулирани околини.



Кому испорачуваме


Како испорачуваме: принцип надодадена вредност

Bill Malick, Gartner

Security is like the brakes on your car.

- Their function is to slow you down

- But their purpose is to allow you to go fast

www.integrasolution.com.mk

Thank you!

АГЕНДА - iorrm.org.mk · Ревизијазаусогласеностсозаконот...

Documents

Transcript of АГЕНДА - iorrm.org.mk · Ревизијазаусогласеностсозаконот...