Презентация с вебинара про GDPR и ИБ

1. GDPR и ИБ
Прозоров Андрей, CISM
80na20.blogspot.ru
2018-06-19

2. «2018 GDPR Compliance report» by Alien Vault
2

3. General Data
Protection
Regulation
3

4. 4
Было: Directive 95/46/EC Стало: GDPR
Article 1. Object of the Directive
1. In accordance with this
Directive, Member States shall
protect the fundamental rights
and freedoms of natural persons,
and in particular their right to
privacy with respect to the
processing of personal data.
Article 1. Subject-matter and objectives
1. This Regulation lays down rules relating to the
protection of natural persons with regard to the
processing of personal data and rules relating to
the free movement of personal data.
2.This Regulation protects fundamental rights and
freedoms of natural persons and in particular
their right to the protection of personal data.
3.The free movement of personal data within the
Union shall be neither restricted nor prohibited
for reasons connected with the protection of
natural persons with regard to the processing of
personal data.

5. 5
Было: Directive 95/46/EC Стало: GDPR
Article 1. Object of the Directive
1. In accordance with this
Directive, Member States shall
protect the fundamental rights
and freedoms of natural persons,
and in particular their right to
privacy with respect to the
processing of personal data.
Article 1. Subject-matter and objectives
1. This Regulation lays down rules relating to the
protection of natural persons with regard to the
processing of personal data and rules relating to
the free movement of personal data.
2.This Regulation protects fundamental rights and
freedoms of natural persons and in particular
their right to the protection of personal data.
3.The free movement of personal data within the
Union shall be neither restricted nor prohibited
for reasons connected with the protection of
natural persons with regard to the processing of
personal data.
Кстати, 152-ФЗ – это тоже про
обработку, а не про защиту ПДн…

6. 6
Обеспечение ИБ – один из
принципов обработки ПДн по GDPR

7. Article 5. Principles relating to processing of
personal data
1. Personal data shall be:
…
(f) processed in a manner that ensures
appropriate security of the personal data,
including protection against unauthorised or
unlawful processing and against accidental
loss, destruction or damage, using
appropriate technical or organisational
measures (‘integrity and confidentiality’).
Статья 5. Принципы, связанные с
обработкой персональных данных
1. Персональные данные должны:
…
(f) обрабатываться способом,
обеспечивающим соответствующую
безопасность персональных данных,
включая защиту от несанкционированной
или незаконной обработки, а также от
случайной потери, повреждения или
уничтожения, с использованием
соответствующих технических и
организационных мер («целостность
и конфиденциальность»)
7

8. Article 5. Principles relating to processing of
personal data
1. Personal data shall be:
…
(f) processed in a manner that ensures
appropriate security of the personal data,
including protection against unauthorised or
unlawful processing and against accidental
loss, destruction or damage, using
appropriate technical or organisational
measures (‘integrity and confidentiality’).
Статья 5. Принципы, связанные с
обработкой персональных данных
1. Персональные данные должны:
…
(f) обрабатываться способом,
обеспечивающим соответствующую
безопасность персональных данных,
включая защиту от несанкционированной
или незаконной обработки, а также от
случайной потери, повреждения или
уничтожения, с использованием
соответствующих технических и
организационных мер («целостность
и конфиденциальность»)
8
Кстати, за нарушение принципов обработки ПДн предусмотрены
максимальные штрафы (20 000 000 евро / 4%)…

9. 9
• Экстерриториальный scope (Art.3)
• Базовые принципы обработки (Art.5)
• Согласие на обработку (Art.7)
• Специальные категории ПДн (Art.9)
• Право на доступ и исправление ПДн
(Art.15,16)
• Право на забвение (Art.17)
• Право на перенос / получение копии
данных (Art.20)
• Профилирование и мониторинг (Art.21,
22) + cookies (п.30)
• Контролер (Controller) и Обработчик
(Processor) (Art.24-31)
• Официальный представитель в ЕС
(Art.27)
• Записи об обработке ПДн (Art.30)
• Безопасность обработки (Art.32)
• Уведомление надзорного органа об
утечках (Art.33)
• Уведомление субъектов ПДн об
утечках (Art.34)
• Оценка воздействия (Data Protection
Impact Assessment, DPIA) и
предварительная консультация с
надзорным органом (Art.35, 36)
• Инспектор по защите данных (Data
protection officer, DPO) (Art.37-39)
• Сертификация защиты данных (Art.42)
• Право на компенсацию материального
и нематериального ущерба (Art.82)
• Штрафы и санкции (Art.58.2, 83)
Важные положения GDPR

10. 10
• Экстерриториальный scope (Art.3)
• Базовые принципы обработки (Art.5)
• Согласие на обработку (Art.7)
• Специальные категории ПДн (Art.9)
• Право на доступ и исправление ПДн
(Art.15,16)
• Право на забвение (Art.17)
• Право на перенос / получение копии
данных (Art.20)
• Профилирование и мониторинг (Art.21,
22) + cookies (п.30)
• Контролер (Controller) и Обработчик
(Processor) (Art.24-31)
• Официальный представитель в ЕС
(Art.27)
• Записи об обработке ПДн (Art.30)
• Безопасность обработки (Art.32)
• Уведомление надзорного органа об
утечках (Art.33)
• Уведомление субъектов ПДн об
утечках (Art.34)
• Оценка воздействия (Data Protection
Impact Assessment, DPIA) и
предварительная консультация с
надзорным органом (Art.35, 36)
• Инспектор по защите данных (Data
protection officer, DPO) (Art.37-39)
• Сертификация защиты данных (Art.42)
• Право на компенсацию материального
и нематериального ущерба (Art.82)
• Штрафы и санкции (Art.58.2, 83)
Важные положения GDPR по ИБ

11. Статья 32 Безопасность обработки
1. Принимая во внимание современный уровень развитие техники, затраты,
связанные с внедрением, а также характер, объем, контекст и цели обработки, а
равно и вероятностное возникновение рисков и опасности для прав и свобод
физических лиц, контролёр и обработчик должны осуществлять
соответствующие технические и организационные меры, обеспечивающие
надлежащий уровень безопасности соразмерный этим рискам, включая, среди
прочего, следующее:
• (a) псевдонимизация и криптографическая защита персональных данных;
• (b) средства для обеспечения постоянной конфиденциальности, целостности,
доступности и устойчивости систем обработки и услуг;
• (с) средства своевременного восстановления доступности и доступа к
персональным данным в случае природного или технического инцидента;
• (d) процедура регулярной проверки и оценки эффективности технических и
организационных мер, обеспечивающая безопасность обработки.
2. При определении надлежащего уровня безопасности, в расчет должны
приниматься в том числе риски, которые представляет собой сама обработка, в
особенности риски от случайного или неправомерного уничтожения, потери,
изменения, несанкционированного раскрытия или доступа к персональным
данным переданным, сохраненным либо или иным образом обработанным. …
11

12. Важные идеи по ИБ
1. Концепция «Data protection by design and by default»
(Проектируемая безопасность)
2. ИБ – это не только обеспечение КЦД (CIA), но и
устойчивость (resilience). По сути, фокус на управление
инцидентами ИБ (IM) и непрерывностью бизнеса (BCM)
3. Регулярная оценка и совершенствование ИБ
4. Меры защиты выбираются самостоятельно с учетом оценки
возможных рисков (требований по набору мер нет)
12

13. Из рекомендаций ICO (UK)
13
Physical security Cybersecurity
When considering physical security, you
should look at factors such as:
• the quality of doors and locks, and the
protection of your premises by such
means as alarms, security lighting or
CCTV;
• how you control access to your premises,
and how visitors are supervised;
• how you dispose of any paper and
electronic waste; and
• how you keep IT equipment, particularly
mobile devices, secure.
When considering cybersecurity, you should
look at factors such as:
• system security – the security of your
network and information systems,
including those which process personal
data;
• data security – the security of the data
you hold within your systems, eg
ensuring appropriate access controls are
in place and that data is held securely;
• online security – eg the security of your
website and any other online service or
application that you use; and
• device security – including policies on
Bring-your-own-Device (BYOD) if you
offer it.

14. Article 42
Certification
1. The Member States, the supervisory
authorities, the Board and the Commission
shall encourage, in particular at Union level,
the establishment of data protection
certification mechanisms and of data
protection seals and marks, for the purpose
of demonstrating compliance with this
Regulation of processing operations by
controllers and processors. The specific
needs of micro, small and medium-sized
enterprises shall be taken into account.
…
3. The certification shall be voluntary and
available via a process that is transparent.
Статья 42
Сертификация
1. Государства-члены, надзорные органы,
Совет и Европейская
Комиссия должны содействовать, в
частности на уровне Евросоюза,
внедрению механизмов сертификации
защиты данных, а также печатей и
маркировочных знаков для защиты
данных с целью подтверждения
соблюдения настоящего Регламента при
операциях обработки, контролёрами и
обработчиками. Конкретные потребности
микро, малых и средних предприятий
должны быть приняты во внимание.
…
3. Сертификация должна быть
добровольной и доступной посредством
прозрачного (транспарентного) процесса.
14

15. Возможные сертификации
15

16. GDPR: “(85) Утечка персональных данных, если она надлежащим образом и
своевременно не была устранена, может привести к физическому,
материальному или нематериальному ущербу для физических лиц, таким
как утрата контроля над персональными данными или ограничение их прав,
дискриминация, кража идентификационных данных или мошенничество с
персональными данными, финансовые потери, несанкционированный отказ
от псевдонимизации, ущерб репутации, нарушение конфиденциальности
персональных данных, защищённых профессиональной тайной, или любые
иные существенные экономические или социальные потери для
соответствующих физических лиц…”
16
Почему важно контролировать утечки?

17. Article 4
Definitions
(12) «Personal data breach» means a breach
of security leading to the accidental or
unlawful destruction, loss, alteration,
unauthorised disclosure of, or access to,
personal data transmitted, stored or
otherwise processed.
Статья 4
Понятийно-терминологическая основа
(12) «Утечка персональных данных» –
означает нарушение безопасности,
приводящее к случайному или
противозаконному уничтожению, потере,
изменению, несанкционированному
раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
17

18. Supervisory authority
(Надзорный орган)
Art.33
Data subjects
(Субъекты данных)
Art.34
18
Уведомление об утечках по GDPR

19. Уведомление надзорного органа Уведомление субъектов
Когда можно
НЕ уведомлять
• Если риск минимальный • Если риск НЕ большой
• Если приняты надлежащие
меры (например,
криптографическая защита)
• Если приняты адекватные
последующие меры
• Если требуются
несоразмерные усилия
Состав
уведомления
• Реквизиты DPO
• Возможные последствия
• Принятые меры
• Характер утечки (категории и
количество пострадавших
субъектов и записей)
• Реквизиты DPO
• Возможные последствия
• Принятые меры
Срок
уведомления
• Без неоправданной задержки
и, не позднее чем через
72 часа после выявления
• Без неоправданной
задержки
19

20. Вместо заключения
• GDPR – это не только про правильную
обработку, но и про защиту данных
• Конкретные меры защиты не определены, но
стоит присмотреться к ISO 27001
• Полезные средства ИБ: СКЗИ, IdM, CASB, DLP,
SIEM, EDR, WAF и пр. А вот UBA, кстати, попадает
под требования к «профилированию» (Art.21 и
22)
• Управление инцидентами – важнейший процесс
(ITSM нам в помощь)
20

21. Спасибо!
Прозоров Андрей, CISM
80na20.blogspot.ru
21