АГЕНДА - iorrm.org.mk · Ревизијазаусогласеностсозаконот...
Transcript of АГЕНДА - iorrm.org.mk · Ревизијазаусогласеностсозаконот...
Ревизија за усогласеност со законотза заштита на лични податоци
Managing DirectorGoran Chamurovski BSc,MBACISA, CRISC, PMP, ITSM/ISMS LA
АГЕНДАУлоги и одговорностиРизик и СистемМатеријалност и опсегНеусогласеностиГлобализацијаДискусија
3 Мај -13 ДОВЕ РЛИВО
Што е приватност?
Широк спектар на значења и контексти на приватност• Личен податок како информација• Право на лична приватност• Приватност на клиентите, партнерите, вработенитеЛични информации• Хартиена и електронска документација• Класификација• Анонимизација
Духот на регулативата е во правец назаштита на слабиот имател на личниподатоци наспроти силнитеорганизации.
Улоги- Имател на личниподатоци
- Контролор- Офицер заприватност
- Дирекција- Обработувач- Трета страна
Улоги- Имател на личниподатоци
- Контролор- Офицер заприватност
- Дирекција- Обработувач- Трета страна
4 Мај -13 ДОВЕ РЛИВО
Право на сопственост на личнитеподатоци
5 Мај -13 ДОВЕ РЛИВО
Експлицитна согласност
6 Мај -13 ДОВЕ РЛИВО
ДИРЕКЦИЈА ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
КОНТРОЛОРРЕВИЗОРСКО ТЕЛО
PrivacyOfficer Аудитори Аудитор
Имплементираконтроли
Делегираревизори
Запослуваревизори
Обезедувасертификација
Врширевизија
Врширевизија
Надгледува
Шема за надворешна ревизија
7 Мај -13 ДОВЕ РЛИВО
Фреквенција на проверките
8 Мај -13 ДОВЕ РЛИВО
Инспекција
9 Мај -13 ДОВЕ РЛИВО
Заканите се реални
10 Мај -13 ДОВЕ РЛИВО
Барања за имплементација на систем
11 Мај -13 ДОВЕ РЛИВО
Систем за заштита на личните податоци
Систем за заштита на личните податоци (Data Protection System) е збир од документирани политики, кодекси на практика, насоки, процедури и работни инструкции донесени од страна наконтролорот, а кои се во функција на спроведување на техничките иорганизациските мерки за обезбедување тајност и заштита наобработката на личните податоци согласно прописите за заштита наличните податоци.
Нивоа на технички и организациски меркиЧлен 5 (1) Контролорот треба да применува технички и организацискимерки, кои обезбедуваат тајност и заштита на обработката наличните податоци, соодветно на природата на податоците кои сеобработуваат и ризикот при нивната обработка.
12 Мај -13 ДОВЕ РЛИВО
Mодел на ризик
Ризици во однос на:• информациите, обработката, процесите, сервиситеЗакани по субјектите на лични податоци• Крадење на идентитет, прекршување на правата, снимање/надгледување
Закани по организацијата• Казни, негативен публицитет, финансиски загуби илидополнителни трошоци, нарушување на операциите, губење на клиенти
13 Мај -13 ДОВЕ РЛИВО
Анализа и евалуација на ризикот
Добро формулиран ризикДобро формулиран ризик
ШтетаКоја ештетатапоприватноста?
ВеројатностКолку е изгледнозаканите даги искористат слабостите?
Средства
Средства ЗаканиЗакани СлабостиСлабости Контрол
иКонтрол
и
“Ризикот е функција од веројатноста дадена закана да искористиодредена потенцијална слабост, што во одсуство на контроли ќерезултира со непосакувана штета по организациските средства.
Извор: NIST SP800-30
14 Мај -13 ДОВЕ РЛИВО
Личен податок и корелирани средства
Категориина средстваКатегориина средства
Средства заподдршка
Средства заподдршкаПримарни
средстваПримарнисредства
ДеловнипроцесиДеловнипроцеси
ЛичниподатоциЛични
податоци
Hardware
Software
Network
Вработени
локации
Организациска
структура
ДефиницијаДефиниција
Личен податок е било којаинформација која е или може да бидеповрзана со одредена индивидуа.
Личен податок е било којаинформација која е или може да бидеповрзана со одредена индивидуа.
15 Мај -13 ДОВЕ РЛИВО
Одговорности во однос на ризикот
ИТ
Организациски
одговорности
lВрвен
менаџмент
Организацискиединици
Техничкиризик
Технолошкиризик
Репутацискиризик
Expected
ИТ Сигурност
Информацискасигурност
Стратешкоуправување со
ризикот
16 Мај -13 ДОВЕ РЛИВО
Систем за управување со приватност…
Ризик по
приватноста
Воведувањена контроли
Ресурсно
ефективно
Сообраност сорегулативата
… воспоставување на равнотежа на следниве фактори…
…за да се задоволат регулаторните барања.
Privacy
VulnerabilityThreat
17 Мај -13 ДОВЕ РЛИВО
Инволута
Copyright © 2009 By INTEGRA Solution
18 Мај -13 ДОВЕ РЛИВО
Опсег на системот за заштита наПриватноста
Copyright © 2006 By INTEGRA Solution
19 Мај -13 ДОВЕ РЛИВО
Ефект од воведување на системот
20 Мај -13 ДОВЕ РЛИВО
Зошто Систем
Предностите на Систем за заштита на личните податоци:• Вклучување на клучните заинтересирани страни (поддршка одврвното раководство)
• Подобрување низ годините (одржливост)• Воспоставување на адекватни контроли (нема фрагментација)• Користење на ресурсите трошковно ефективно (приоретизација)• Креирањена Систем за управување (мерење на ризикот)• Можност да се изведе проверка базирана на ризик
(материјалност)• Дефинирање на улоги (алоцирање на одговорностите)• Интегрирање на сите засегнати страни во една иницијатива
(интегрирана имплементација)• Можност за презентирање на целите врз база на ризикотрелевантен за организацијата
21 Мај -13 ДОВЕ РЛИВО
Произлез на обврските
Контрола на информацискиот систем и информатичкатаинфраструктураЧлен 25 (1) Информацискиот систем и информатичката инфраструктура наконтролорот задолжително подлежат на внатрешна и надворешнаконтрола со цел да се провери дали постапките и упатстватасодржани во документацијата за технички и организациски мерки сеприменуваат и се во согласност со прописите за заштита на личнитеподатоци. (2) Контролорот врши надворешна контрола на информацискиотсистем и информатичката инфраструктура на секои три години, авнатрешна контрола секоја година.
22 Мај -13 ДОВЕ РЛИВО
Ревизија на приватност на податоци
План за контрола (Audit Plan) е систематска иструктуирана целина на активности кои мора да бидатизвршени од страна на лицето кое врши контрола соцел давање на мислење.Планирањето вклучува:• Класификација и приоретизиација на податоците• Проценка на ризикотПодготовката вклучува• Рзабирање на начините на обработка• Идентификација на заканите• Идентификација на контролите• Приоретизација на проверката
23 Мај -13 ДОВЕ РЛИВО
Контрола на системот за заштита на личните податоци (Personal Data Protection Audit) е систематско и независно испитување како би се утврдилодали активностите кои вклучуваат обработка на личните податоци се вршатсогласно документацијата за техничките и организациските мерки наконтролорот и дали оваа обработка ги исполнува барањата за заштита наличните податоци
Проверката (ревизија) за усогласеност со законот за заштита на личнитеподатоци е форма на проверка која се фокусира на сигурноста наинформацискиот ситем и информатичката инфраструктура со цел да гизаштити личните податоци.
Ревизија е испитување на системските записи и активности за да сеопредели адекватноста на системските контроли, да се испита дизајнот наконтролите, да се провери сообразност со воспоставените сигурносниполитики и процедури, да се детектираат неусогласености и да седокументираат наоди и согледувања кои се индикативни за подобрувањена контролите или воведување на нови контроли.
Ревизија за усогласеност созаконот за заштита на личните податоци
24 Мај -13 ДОВЕ РЛИВО
Што е аудит?
Систематски, независен и документиран процес заобезбедување на доказ за проверката и неговаобјективна евалуација со цел да се одреди до кое нивокритериумот за проверка е исполнет.
Изведување на процедури за проверкасо цел да се тестира ефективноста на
воспоставените контроли.
25 Мај -13 ДОВЕ РЛИВО
Барања за заштита на личните податоци (Data Protection Requirements) се условите кои ги одразуваат обврските наконтролорот за применување на соодветни технички иорганизациски мерки за обезбедување тајност и заштита наобработката на личните податоци при воспоставувањето насистем за заштита на личните податоци.
Критериум за проверка
Законот, подзаконските акти и сите обврскикои произлегуваат од нивнототоклкување и применување.
26 Мај -13 ДОВЕ РЛИВО
Материјалност
Дефиниција
Со цел да се намали ризикот од изведувањето наревизијата и да се обезбеди разумно уверување, ревизирот мора да стави акцент на процесите исистемите кои се отценува дека се материјални.
Процесот или системот се отценува дека ематеријален, доколку пропуст или грешка во него
може да влијае на заинтересираните страни.
27 Мај -13 ДОВЕ РЛИВО
Ефект на материјалност
Базиран на големината на организацијата
28 Мај -13 ДОВЕ РЛИВО
Опсегот на ревизијата го одредува рангот и границите напроверката; на пример локациите, организацискитеединици, активностите и процесите кои треба да бидатпроверувани како и временскиот период кој ревизијатаго покрива.
Опсегот на ревизијата треба да биде репрезентативенпримерок на опсегот на системот.
Опсег на ревизијата
Опсег на системот
Селекција на опсегот на ревизијата
29 Мај -13 ДОВЕ РЛИВО
Проверка на обработувачите
30 Мај -13 ДОВЕ РЛИВО
Проверка на обработувачите
Обработувач на збирка на лични податоциЧлен 3 Одредбите од членот 25 на овој правилник соодветно сеприменуваат и при проверката на постапувањето наобработувачот при обработката на личните податоци во смислана член 26 став 3 од Законот за заштита на личните податоци.
Член 26 Во договорот од ставот 2 на овој член, задолжително се определуваи начинот на проверка на постапувањето на обработувачот приобработката на личните податоци.
31 Мај -13 ДОВЕ РЛИВО
Разумно уверување
Аудиторот се труди да обезбеди разумно уверувањедека организацијата е без материјални репрезентациина неусогласности.
Доказа за разумното уверување се добива сооперативно тестирање на контролите.
32 Мај -13 ДОВЕ РЛИВО
Компетенции и евалуација на аудиторите
Доверливоста и разумното уверување во процесот наревизија зависи од компетенциите на тие кои јаизведуваат проверката.
Компетенција е однесување докажано преку знаење ипрактикување.
Ревизорите ги развиваат, одржуваат и подобруваатнивните компетенции преку континуиран тренинг и соредовен аудит.
Иницијалнасертификација
Професионалноискуство
Напреднасертификација
Искуствово ревизија
33 Мај -13 ДОВЕ РЛИВО
Tелото кое врши контрола е должно да има вработено нанеопределено работно време, најмалку три стручни лица (лица коивршат контрола) кои можат да бидат вклучени во процесот наконтрола на системот за заштита на личните податоци и дапоседуваат важечки еден или повеќе од следните сертификати:
1. CISM (Certified Information Security Manager),
2. CRISC (Certified in Risk and Information Systems Control),
3. IS0 27001 Lead Auditor,
4. CISA (Certified Information Systems Auditor),
5. CISSP (Certified Information Systems Security Professional)
6.Мислење од Дирекцијата за заштита на личните податоци заусогласеност со прописите за заштита на личните податоци
Сертификација
34 Мај -13 ДОВЕ РЛИВО
Комуникација со експертите
Ревизорското образование и искуство му овозможува на ревизоротда ги осознае прашањата во врска со работењето воопшто, но одревизорот не се бара да поседува експертско познавање со коиинаку располага лице образовано или квалификувано да бидеангажирано во праксата на некоја друга професија или занимање,...
Ревизорот нема исто експертско знаење па според тоа не можесекогаш да ги оспорува претпоставките и методите на експертот.Меѓутоа ревизорот треба да стекне преглед за претпоставките икористените методи, и да отцени дали се соодветни и логични, засновани на ревизирското познавање на деловното работење и нарезултатите од други ревизорски постапки.
35 Мај -13 ДОВЕ РЛИВО
Кога се утврдува потребата за користење на работа на некојексперт, ревизорот треба да ги разгледа:
значајноста на ставката во финансискиот извештај, која серазгледува;
ризикот од погрешни прикажувања засновани на природата исложеноста на прашањето кое се третира;
количеството и квалитетот на други докази на располагање.
Дури 40% од банките во светот, денес, за потребите насопствените IT ревизии ангажираат надворешниспецијалисти (KPMG)
Кога се планира користење работа на некој експерт, ревизороттреба да ја оцени професионалната и компентентност наекспертот
Потреба за користење на експерти
36 Мај -13 ДОВЕ РЛИВО
Принципи
Етичко
однесување
Фер
презентација
Професионална
грижа
Доверливост НезависностПристап базиран
на докази
37 Мај -13 ДОВЕ РЛИВО
Пристап базиран на доказ
Објективноевалуирана
Објективнообезбедена
Информација Доказ
38 Мај -13 ДОВЕ РЛИВО
Доказ на проверката
Записи, изјави или факти како информации кои серелевантни за критериумот на проверка и може да сепотврдат.
За време на контролата на системот за заштита наличните податоци, лицето кое врши контрола едолжно да направи доказно досие како дел одкомплетното досие за извршената контрола.
39 Мај -13 ДОВЕ РЛИВО
Документирање на неусогласеностите
Дефиниција
Неусогласеност е неисполнување на барањата накритериумот за проверка
Дали треба да имаме нивоа на неусогласености икако да ги дефинираме?• Голема Неусогласеност• Мала Неусогласеност• Согледување
40 Мај -13 ДОВЕ РЛИВО
Неколку дефиниции
Зборуваме ист јазик, но дали нашите зборовиимаат исто значење?
41 Мај -13 ДОВЕ РЛИВО
Двоумење
Целта на ревизијата е да ја потврди сообразноста а несамо да бара неусогласености
Ако не постои доказ за неусогласеностНема неусоглсеност
Но ако има доказ за неусогласеностНеусогласеноста мора да биде документирана
42 Мај -13 ДОВЕ РЛИВО
Мислење за извршена контрола (Audit Opinion) е целоснаоценка за предметот на контрола во однос наприменувањето на техничките и организациските меркиза обезбедување тајност и заштита на обработката наличните податоци согласно прописите за заштита наличните податоци
Испорачани документи
43 Мај -13 ДОВЕ РЛИВО
Хармонизација
44 Мај -13 ДОВЕ РЛИВО
Примери – Европска Унија
Барање Извор ОписDirective
1995/46/EC Parliament and
European CouncilProtection of individuals with regard to the processing of personal data and on the free movement of such data
Directive 2002/58/EC
Parliament and European Council
Protection of personal data and privacy in electronic communications
Regulation 45/2001
Parliament and European Council
Protection of personal data by European bodies
Decision 92/242/CEE
Parliament and European Council
Applicable definitions and sanctions concerning attacks targeting information systems
Directive 1999/93/EC
Parliament and European Council
Community Framework for electronic signatures and certain certification services
Directive 2001/29/EC
Parliament and European Council
Harmonization of copyright to evolutions in technologies
45 Мај -13 ДОВЕ РЛИВО
Што испорачуваме: управување надигиталниот ризик во регулирани околини.
Copyright © 2008 By INTEGRA Solution
46 Мај -13 ДОВЕ РЛИВО
Кому испорачуваме
47 Мај -13 ДОВЕ РЛИВО
Како испорачуваме: принцип надодадена вредност
Bill Malick, Gartner
Security is like the brakes on your car.
- Their function is to slow you down
- But their purpose is to allow you to go fast
www.integrasolution.com.mk
Thank you!