СВОИ ДАННЫЕ ЧУЖИМИ РУКАМИ PwC риски аутсорсинга при защите персональных данных Владимир Наймарк

реклама
СВОИ ДАННЫЕ ЧУЖИМИ РУКАМИ
риски аутсорсинга при защите персональных данных
Владимир Наймарк
PwC
Татьяна Коротаева
О проекте
– Приведение систем и процессов обработки
персональных данных в соответствие с ФЗ-152
– Поддержание Системы Защиты Персональных
Данных в актуальном состоянии
Принципиальные условия
– Минимально отвлекать внутренние ресурсы
– Максимально использовать имеющиеся средства и
процессы защиты информации
Почему внешний поставщик?
– Дешевле
– Не создаются временные рабочие места
– Независимый взгляд
Этапы проекта
Этап
Ресурсы
Инвентаризация ИСПДн
своими силами в рамках текущих
процессов ИБ
Классификация ИСПДн
внешняя компания с привлечением
внутренних ресурсов
Проектирование и внедрение СЗПДн
внешняя компания с привлечением
внутренних ресурсов
Поддержка СЗПДн
внутренняя команда с привлечением
внешнего поставщика услуг
РИСКИ
взгляд руководителя проекта
Неуправляемый объём
документации и
процессов
1.
Укрупнить и объединить ИСПДн
2.
Задачи поставщика:
 разработать МИНИМУМ документов
 использовать имеющиеся процессы ИБ
(управление рисками и др.)
Несовместимость СЗПДн
с реалиями заказчика
1. Участие представителей ключевых отделов
2. Консолидация поддержки ИСПДн
3. Задача поставщика:
 минимальное вторжение в текущие процессы
Невыполнимые
требования по защите
ПДн
1. Исключить ненужные данные из
обработки
2. Изолировать особо критичные
ИСПДн, минимизировать
количество пользователей
Принятые меры не
удовлетворяют
требованиям закона
Привлечь к дальнейшей поддержке СЗПДн того же
поставщика
РИСКИ
взгляд юриста
Юридические вопросы
пытаются решать ИТ
специалисты
1. Юрист в команде поставщика услуг
2. Контроль со стороны внутреннего или
независимого юриста
Разветвлённая
структура организации
1. Хорошее знание структуры клиента поставщиком!
2. Внешний лицензиат для технической защиты ПДн
3. Типовой набор документов
4. ОСОБОЕ ВНИМАНИЕ – тех. защита информации в
компаниях с холдинговой и сетевой структурами
Иллюзия
безответственности
Генеральный Директор – ответственность
неизбежна
Изменения не
внедряются
1. Обучение сотрудников
2. Включение положений в трудовые контракты
3. Обновление договоров с поставщиками и
клиентами
4. Уведомление субъектов ПДн
Выводы
1. Выбирать поставщика наиболее ориентированного
на нужды клиента
2. Самим хорошо разбираться в вопросе
3. Ориентировать поставщика на конкретные критерии
успеха:
–
минимальное вторжение в текущие процессы
–
максимальное использование имеющихся средств и процессов
–
чем меньше бумаг – тем лучше
4. Сделать поставщика ответственным за результаты
его работы – привлечь к дальнейшей поддержке
Спасибо за внимание!
Ваши вопросы?
Татьяна Коротаева, юрисконсульт
тел. + 7 (495) 967 6000
[email protected]
Владимир Наймарк, старший менеджер по ИБ
тел. + 7 (495) 967 6000
моб. +7 (906) 789 6110
[email protected]
Настоящая презентация подготовлена исключительно для создания общего представления об
обсуждаемом в ней предмете и не является профессиональной консультацией. Не рекомендуется
действовать на основании информации, представленной в настоящей брошюре, без предварительного
обращения к профессиональным консультантам. Не предоставляется никаких гарантий, прямо
выраженных или подразумеваемых, что информация, представленная в настоящей публикации, является
полной. Сеть PricewaterhouseCoopers, ее члены, сотрудники и агенты не несут никакой ответственности
за последствия чьих-либо действий или отказа от действий, основанных на информации, содержащейся в
настоящей публикации, или за принятие решений на основании информации, представленной в
настоящей публикации.
© [2010] "ПрайсвотерхаусКуперс Раша Б.В.". Все права защищены.
Под "ПрайсвотерхаусКуперс" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в
зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний PricewaterhouseCoopers
International Limited, каждая из которых является самостоятельным юридическим лицом
Скачать