Документ обсуждает угрозы кибербезопасности и влияние нового регламента GDPR на защиту персональных данных. Подробно описываются основные положения GDPR, его цели и потенциальные риски для российских компаний. Также рассматриваются вопросы соблюдения требований GDPR и оценка воздействия на бизнес в контексте новых угроз и технологий.

1. Информационная
безопасность
Прозоров Андрей, CISM
Solar Security
• Мой блог: 80na20.blogspot.com
• Мой твиттер: twitter.com/3dwave
2018-03-30

2. SOLAR SECURITY Информационная безопасность, GDPR
2

3. SOLAR SECURITY Информационная безопасность, GDPR
3

4. SOLAR SECURITY Информационная безопасность, GDPR
4
• Больше векторов атак («цифровая эпоха») и
новых рисков (в т.ч. privacy)
• Угроз меньше не становится
• Стоимость атак снижается
• Массовые атаки все сложнее и целевых атак
все больше
• Атаки сложно (и дорого) обнаруживать
• Киберкриминал – это организованный бизнес
• Ожидаем кибервойны (может они уже и идут)
• «Бумажная» безопасность не защищает
• Смещается фокус от предупреждения угроз к
реагированию на инциденты ИБ
• ИБ начинает опаздывать?
• …
Почему ИБ все актуальнее? И что будет дальше?

5. SOLAR SECURITY Информационная безопасность, GDPR
5
А при чем тут GDPR? И что это?

6. SOLAR SECURITY Информационная безопасность, GDPR
6
Что такое GDPR?
• General Data Protection Regulation (GDPR) –
это новый европейский регламент по
защите персональных данных, единый для
28 стран ЕС
• Заменяет собой Directive 95/46/EC (1995)
• Принят 27 April 2016
• Вступает в силу 25 May 2018
• Регулятор: European Parliament, Council of
the European Union
• Ссылка на текст - http://bit.ly/1TlgbjI
• Очень много положений про «цифровые
технологии» (IoT, профилирование, BigData,
cookies и пр.)

7. SOLAR SECURITY Информационная безопасность, GDPR
7
Назначение и цели GDPR
Статья 1. Предмет и цели
1. Настоящий Регламент устанавливает нормы, связанные с
защитой физических лиц в отношении обработки
персональных данных и нормы, касающиеся свободного
перемещения персональных данных.
2. Настоящий Регламент защищает основные права и
свободы физических лиц, и, в частности, их право на защиту
персональных данных.
3. Свободное перемещение персональных данных в рамках
Евросоюза не должно быть ни ограничено, ни запрещено
для целей защиты физических лиц в отношении обработки
персональных данных.

8. SOLAR SECURITY Информационная безопасность, GDPR
8
«Контролёр» (controller) – означает физическое или
юридическое лицо, государственный орган, агентство
или иной орган, который самостоятельно или совместно
с другими, определяет цели и средства обработки
персональных данных; в случае, когда цели и средства
такой обработки определяются правом Евросоюза или
государства-члена, контролёр, либо конкретные
критерии для его выдвижения, могут быть
предусмотрены правом Евросоюза или государства-
члена.
«Обработчик» (processor) – означает физическое или
юридическое лицо, государственный орган, агентство
или иной орган, который обрабатывает персональные
данные от имени и по поручению контролёра.

9. SOLAR SECURITY Информационная безопасность, GDPR
9
• Экстерриториальный scope (Art.3)
• Базовые принципы обработки (Art.5)
• Согласие на обработку (Art.7)
• Специальные категории ПДн (Art.9)
• Право на доступ и исправление ПДн
(Art.15,16)
• Право на забвение (Art.17)
• Право на перенос / получение копии
данных (Art.20)
• Профилирование и мониторинг (Art.21,
22) + cookies (п.30)
• Контролер (Controller) и Обработчик
(Processor) (Art.24-31)
• Официальный представитель в ЕС
(Art.27)
• Проектируемая безопасность / «Data
protection by design and by default»
(Art.32)
• Уведомление надзорного органа об
утечках (Art.33)
• Уведомление субъектов ПДн об
утечках (Art.34)
• Оценка воздействия (Data Protection
Impact Assessment, DPIA) и
предварительная консультация с
надзорным органом (Art.35, 36)
• Инспектор по защите данных (Data
protection officer, DPO) (Art.37-39)
• Сертификация защиты данных (Art.42)
• Право на компенсацию материального
и нематериального ущерба (Art.82)
• Штрафы и санкции (Art.58.2, 83)
Важные положения GDPR

10. SOLAR SECURITY Информационная безопасность, GDPR
10
Важные вопросы GDPR в России
1. Как GDPR повлияет на ИБ?
2. А будет ли распространяться GDPR на российские
компании? На какие?
3. Какие риски несет GDPR для российских компаний?
4. Мы выполняем требования 152-ФЗ, что еще надо
сделать? Какие есть сложные моменты? Как можно
оптимизировать расходы?
5. Нужно торопиться или стоит подождать?

11. SOLAR SECURITY Информационная безопасность, GDPR
11
Безопасность ПДн
Статья 32 Безопасность обработки
1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а
также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и
опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять
соответствующие технические и организационные меры, обеспечивающие надлежащий уровень
безопасности соразмерный этим рискам, включая, среди прочего, следующее:
• (a) псевдонимизация и криптографическая защита персональных данных;
• (b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и
устойчивости систем обработки и услуг;
• (с) средства своевременного восстановления доступности и доступа к персональным данным в
случае природного или технического инцидента;
• (d) процедура регулярной проверки и оценки эффективности технических и организационных мер,
обеспечивающая безопасность обработки.
2. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе
риски, которые представляет собой сама обработка, в особенности риски от случайного или
неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к
персональным данным переданным, сохраненным либо или иным образом обработанным. …
Статья 33. Уведомление надзорного органа об утечке персональных данных
Статья 34. Сообщение субъекту данных об утечке персональных данных

12. SOLAR SECURITY Информационная безопасность, GDPR
12
Возможные риски GDPR для
российских компаний
• Крупные штрафы (до 20 000 000 евро / 4% годового оборота)
• Компенсация материального и морального ущерба
• Нарушение доступности веб-сайта для субъектов ПДн в ЕС
(возможны блокировки)
• Нарушение коммерческих и некоммерческих отношений с
компаниями, расположенными в ЕС
• Ухудшение репутации на международном рынке
(если попадают в scope)

13. SOLAR SECURITY Информационная безопасность, GDPR
13
152-ФЗ GDPR
Актуально для России Да Да, но не всем
Риски для бизнеса • Ст.13.11 КоАП, 7 оснований
(до 75 000 рублей)
• Компенсация материального
и морального ущерба
(но норма не работает)
• Блокировка сайта
• Крупные штрафы (до 20 млн
евро / 4% годового оборота)
• Компенсация материального
и морального ущерба
• Блокировка сайта
Фокус на соблюдение прав субъектов ПДн:
• Право знать о порядке обработки
• Право на забвение
• Право на перенос / получение копии данных
• Право знать об утечках
…
Да
Да
Нет
Нет
Да
Да
Да (Art.20)
Да (Art.34)
Оценка рисков ИБ • Оценка вреда субъекту 152-
ФЗ (ст.18.1)
• Модель угроз и модель
нарушителя
• Data Protection Impact
Assessment (DPIA) (Art.35)
Фокус на принцип «Data protection by
design and by default» / «Проектируемая
безопасность» (анонимизация,
псевдонимизация, шифрование)
Скорее Да,
но об этом мало кто
задумывается
Да (Art.32)
Выделенный ответственный сотрудник Да, и за обработку и за ИБ Да, Data protection officer (DPO)
(Art.37-39)
+Представитель в ЕС (Art.27)
Уведомление надзорного органа об утечках ПДн Нет Да, за 72ч (Art.33)
Вариант 2.0

14. SOLAR SECURITY Информационная безопасность, GDPR
14
Мнение РКН, но…

15. SOLAR SECURITY Информационная безопасность, GDPR
15
Article 3
Territorial scope
1.This Regulation applies to the processing of
personal data in the context of the activities
of an establishment of a controller or a
processor in the Union, regardless of
whether the processing takes place in the
Union or not.
Статья 3
Территориальная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных в
контексте деятельности по учреждению
контролёра или обработчика в
Евросоюзе, независимо от того,
осуществляется ли обработка в
Евросоюзе, или нет.
Про сферу применения GDPR

16. SOLAR SECURITY Информационная безопасность, GDPR
16
2.This Regulation applies to the processing of
personal data of data subjects who are in
the Union by a controller or processor not
established in the Union, where the
processing activities are related to:
(a) the offering of goods or services,
irrespective of whether a payment of the
data subject is required, to such data
subjects in the Union; or
(b) the monitoring of their behaviour as far
as their behaviour takes place within the
Union.
3.This Regulation applies to the processing of
personal data by a controller not established
in the Union, but in a place where Member
State law applies by virtue of public
international law.
2.Настоящий Регламент применяется к
обработке ПДн субъектов ПДн,
находящихся в Евросоюзе, обработанных
контролёром или обработчиком, которые
не учреждены в Евросоюзе, когда
деятельность по обработке связана с:
(а) предложением товаров или услуг, вне
зависимости от того, требуется ли
оплата от этого субъекта данных в
Евросоюзе; или
(b) мониторингом их действий, поскольку
их действия совершаются на территории
Евросоюза.
3.Настоящий Регламент применяется в
отношении обработки ПДн контролёром,
не учрежденном в Евросоюзе, а
учрежденном в том месте, в котором
применяется право государства - члена в
силу международного публичного права.

17. SOLAR SECURITY Информационная безопасность, GDPR
17
Обобщим про scope и ищем себя
GDPR прямого действия:
1. Организации, учрежденные в ЕС и являющиеся операторами (controllers) и/или
обработчиками (processors) ПДн. Например, дочерние предприятия и филиалы
российских компаний в ЕС.
2. Организации, не учрежденные в ЕС и являющиеся операторами (controllers) и/или
обработчиками (processors) ПДн, и вид деятельности которых связан с:
• Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например, продажа
европейцам билетов транспортных компаний через сайты в сети Интернет,
продажа интернет-сервисов (например, онлайн-кинотеатры, музыка, онлайн-
игры и пр.), бронирование гостиниц, оказание услуг мобильной связи в
европейском роуминге и пр.
• Мониторингом поведения субъектов ЕС. Например, сбор cookie-файлов
посетителей сайта в сети Интернет.
Но есть еще и GDPR опосредованного действия:
1. Обработка ПДн по поручению европейского оператора (controllers) и/или
обработчика (processors) -> становимся обработчиком. В случае проблем
(например, утечки ПДн) «спросят» с европейской компании, а она уже с нас в
соответствии с договором… Например, хостинг данных в российском ЦОДе по
поручению.

18. SOLAR SECURITY Информационная безопасность, GDPR
18
Кому в РФ стоит опасаться GDPR?
• Компаниям на территории ЕС (очевидно)
• Компаниям, оказывающим услуги «в роуминге» (например, банки и
телеком)
• Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например,
гостиницы и тур.фирмы)
• Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с
системой оплаты)
• Разработчикам приложений, собирающих ПДн пользователей
• Просто крупным сайтам в сети Интернет (сбор cookies)
• Компаниям, получающим ПДн субъектов из ЕС от других организаций на
основании договора
• Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС
!!!
!!
!

19. Спасибо!
Прозоров Андрей, CISM
Solar Security
• Мой блог: 80na20.blogspot.com
• Мой твиттер: twitter.com/3dwave