Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Техническая защита
персональных данных
Как соблюсти GDPR и ФЗ-152

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Готовность к
GDPR?
59% 29% 9% 3%
Готовы Готовы
через
< 1 год
Готовы
через
> 1 год
GDPR не
применим

Готовность к GDPR по странам

Вы знали?
Число пострадавших
записей ПДн
% тех, кто столкнулся
с инцидентами
% тех, кто имел ущерб
> $500,000 Время простоя систем

Программа по защите персональных данных
Политики
и стандарты
Идентификация
и классификация
Риски данных и
зрелость организации
Реагирование
на инциденты
Надзор
и контроль
Приватность Безопасность Повышение
осведомленности

Принимая во внимание уровень
техники, расходы на
осуществление и характер,
объем, контекст и цели
обработки, а также различные
степени вероятности и тяжести
рисков в отношении прав и
свобод физических лиц,
контроллер и процессор
осуществляют соответствующие
технические и организационные
меры для обеспечения такого
уровня безопасности, который
соответствует рискам
Оператор при обработке
персональных данных обязан
принимать необходимые правовые,
организационные и технические
меры или обеспечивать их
принятие для защиты персональных
данных от неправомерного или
случайного доступа к ним,
уничтожения, изменения,
блокирования, копирования,
предоставления, распространения
персональных данных, а также от
иных неправомерных действий в
отношении персональных данных
GDPR ФЗ-152

1. Определение угроз безопасности ПДн
2. Применение организационных и технических мер по
обеспечению безопасности ПДн при их обработке в
ИСПДн, необходимых для выполнения требований к
защите ПДн, исполнение которых обеспечивает
установленные Правительством Российской Федерации
уровни защищенности ПДн
3. Применение прошедших в установленном порядке
процедуру оценки соответствия средств защиты
информации
4. Оценка эффективности принимаемых мер по
обеспечению безопасности ПДн до ввода в эксплуатацию
ИСПДн
5. Учет машинных носителей ПДн
6. Обнаружение фактов несанкционированного доступа к
ПДн и принятием мер
7. Восстановление ПДн, модифицированных или
уничтоженных вследствие несанкционированного доступа
к ним
8. Установление правил доступа к ПДн, обрабатываемым в
ИСПДн, а также обеспечением регистрации и учета всех
действий, совершаемых с ПДн в ИСПДн
9. Контроль за принимаемыми мерами по обеспечению
безопасности ПДнд и уровня защищенности ИСПДн
GDPR ФЗ-152
1. Псевдонимизация и шифрование
2. Способность обеспечить постоянную
конфиденциальность, целостность,
доступность и устойчивость систем и
услуг, связанных с обработкой
3. Способность своевременно
восстанавливать доступность и доступ к
персональным данным в случае
возникновения физического или
технического инцидента
4. Процесс для регулярного тестирования,
оценки эффективности технических и
организационных мер с целью оценки
уверенности в безопасности обработки
Ст.19Ст.32

4 элемента безопасности персональных данных
ИБ инфраструктуры
Обеспечение «классической»
ИБ (МСЭ, IPS, EDR, контроль
доступа и т.п.), но в
распределенной среде
ИБ управления
данными
Обеспечение безопасного
хранения данных и регистрация
доступа к ним на всех этапах
жизненного цикла данных
Целостность и
реактивная ИБ
Мониторинг ИБ, включая
реагирование на инциденты и
расследование их
Privacy
Все аспекты выполнения
законодательных и отраслевых
требований по обеспечению
приватности данных
* - у всех участников процесса

1. Меры безопасности зависят от
актуальных угроз
2. Защита может быть реализована или с
помощью лицензиата ФСТЭК
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует, но есть
базовый (рекомендуемый) набор
5. Установлены обязательные требования
по защитным мерам ПДн, допускающие
гибкий их выбор (каталог мер защиты) –
приказ ФСТЭК №21
6. Требования по оценке соответствия
средств защиты обязательны, в отличие
от сертификации
GDPR ФЗ-152
1. Меры безопасности зависят от
актуальных рисков
2. Защита может быть реализована или
с помощью внешней организации
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует
5. Методические рекомендации по
защитным мерам ПДн отсутствуют,
исключая советы национальных DPA
или международные/региональные
стандарты (ISO 270xx, ISO 290xx,
CEH, ENISA и т.д.)
6. Требования по оценке соответствия
средств защиты отсутствуют

Каталог защитных мер ПДн от ФСТЭК
Защитная мера ПДн
Идентификация и аутентификация субъектов доступа и объектов доступа +
Управление доступом субъектов доступа к объектам доступа +
Ограничение программной среды +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ +
Регистрация событий безопасности +
Антивирусная защита +
Обнаружение (предотвращение) вторжений +
Контроль (анализ) защищенности персональных данных +
Обеспечение целостности информационной системы и КИ +
Обеспечение доступности персональных данных +
Защита среды виртуализации +
Защита технических средств +
Защита информационной системы, ее средств, систем связи и передачи данных +

Каталог защитных мер ПДн от ФСТЭК
Защитная мера ПДн
Управление инцидентами +
Управление конфигурацией информационной системы и системы защиты КИ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
Управление обновлениями программного обеспечения
Планирование мероприятий по обеспечению защиты информации
Обеспечение действий в нештатных (непредвиденных) ситуациях
Информирование и обучение пользователей
Анализ угроз безопасности информации и рисков от их реализации

• Выбор мер по обеспечению безопасности ПДн,
подлежащих реализации в системе защиты ПДн,
включает
• определение базового набора мер
• адаптацию базового набора мер с учетом структурно-
функциональных характеристик ИСПДн, ИТ,
особенностей функционирования ИСПДн
• уточнение адаптированного базового набора с учетом не
выбранных ранее мер
• дополнение уточненного адаптированного базового
набора мер по обеспечению безопасности ПДн
дополнительными мерами, установленными иными
нормативными актами
Как определяются защитные меры?
Базовые меры
Адаптация базового
набора
Уточнение
адаптированного набора
Дополнение уточненного
адаптированного набора
Компенсационные меры

• Меры по обеспечению безопасности персональных данных
реализуются в том числе посредством применения в
информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств
необходимо для нейтрализации актуальных угроз безопасности
Оценка соответствия средств защиты

Финальный ответ от ФСТЭК

• Операторы и иные лица, получившие доступ
к ПДн, обязаны не раскрывать третьим лицам
и не распространять ПДн без согласия
субъекта ПДн, если иное не предусмотрено
федеральным законом
• Конфиденциальность информации -
обязательное для выполнения лицом,
получившим доступ к определенной
информации, требование не передавать
такую информацию третьим лицам без
согласия ее обладателя
А что у нас с шифрованием?
Законы
Конфиденциальность
Шифрование
НПА регуляторов

• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
• Согласно ст.7 под конфиденциальностью ПДн понимается
обязанность операторами и иными лицами, получивших доступ к
персональным данным:
• Не раскрывать ПДн третьим лицам
• Не распространять ПДн без согласия субъекта персональных данных
• Если иное не предусмотрено федеральным законом
• Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
• Ст.19
ФЗ-152 требует не шифрования

• Получить согласие субъекта на передачу ПДн в открытом виде
• Сделать ПДн общедоступными
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
• Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
• Переложить задачу обеспечения конфиденциальности на оператора
связи
• Передавать в канал связи обезличенные данные
• Использовать СКЗИ для защиты ПДн
Как обеспечить конфиденциальность ПДн?

• ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
• Никаких оговорок про выполнение
требований законодательства
• Никакой защиты передаваемых данных
• Если это позволено регулятору в
области защиты (и в частности
шифрования) персональных данных, то
почему это не позволено вам?
Как поступает сама ФСБ?

Как поступают в Правительстве, МКС, ФСТЭК, у
Президента и в ФНС?

• РКН собирает персональные данные через
форму обратной связи на своем сайте
• Стандартная оговорка о соблюдении
законодательства в области персональных
данных
• Никакой защиты передаваемых данных
• Если это позволено уполномоченному органу
по защите прав субъектов персональных
данных, то почему это не позволено вам?
Как поступает РКН?

• РКН раньше на своем сайте,
а портал госуслуг до сих пор
вынуждает вас отказаться от
конфиденциальности
• У вас есть выбор – или
соглашаться, или не
использовать
соответствующий сервис
• Шифрование в таком случае
не нужно
Как поступает РКН - 2?
Ответ Роскомнадзора

• РЖД делает
регистрационные данные
пользователей своего сайта
общедоступными
• РКН не против
• Шифрование в таком случае
не нужно
А если сделать их общедоступными?

Неужели можно не использовать СКЗИ?

Еще четыре сценария
Обезличивание
• Обезличивание из
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа

Финальный ответ от ФСБ

• Правоприменительная практика в области выполнения мер
защиты ПДн отсутствует – у регуляторов нет полномочий
• Подходы к защите ПДн в GDPR и ФЗ-152 схожи
• Гибкий выбор защитных мер в соответствие с лучшими
практиками (ISO, CEH, Пр21 и др.)
• Приказ ФСТЭК №21 является хорошим каталогом защитных мер,
признаваемый российским регулятором в области защиты ПДн
• Средства защиты ПДн могут быть любыми, исключая особое
мнение ФСБ касательно средств шифрования
Выводы

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

More Related Content

What's hot

Similar to Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

More from Aleksey Lukatskiy