O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 27 Anúncio

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

Baixar para ler offline

Презентация "Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152" в рамках московского GDPR Day

Презентация "Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152" в рамках московского GDPR Day

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 (20)

Anúncio

Mais de Aleksey Lukatskiy (13)

Mais recentes (20)

Anúncio

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

  1. 1. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Техническая защита персональных данных Как соблюсти GDPR и ФЗ-152
  2. 2. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Готовность к GDPR? 59% 29% 9% 3% Готовы Готовы через < 1 год Готовы через > 1 год GDPR не применим
  3. 3. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Готовность к GDPR по странам
  4. 4. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы знали? Число пострадавших записей ПДн % тех, кто столкнулся с инцидентами % тех, кто имел ущерб > $500,000 Время простоя систем
  5. 5. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Программа по защите персональных данных Политики и стандарты Идентификация и классификация Риски данных и зрелость организации Реагирование на инциденты Надзор и контроль Приватность Безопасность Повышение осведомленности
  6. 6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Принимая во внимание уровень техники, расходы на осуществление и характер, объем, контекст и цели обработки, а также различные степени вероятности и тяжести рисков в отношении прав и свобод физических лиц, контроллер и процессор осуществляют соответствующие технические и организационные меры для обеспечения такого уровня безопасности, который соответствует рискам Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных GDPR ФЗ-152
  7. 7. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Определение угроз безопасности ПДн 2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн 3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации 4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн 5. Учет машинных носителей ПДн 6. Обнаружение фактов несанкционированного доступа к ПДн и принятием мер 7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним 8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн 9. Контроль за принимаемыми мерами по обеспечению безопасности ПДнд и уровня защищенности ИСПДн GDPR ФЗ-152 1. Псевдонимизация и шифрование персональных данных 2. Способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг, связанных с обработкой 3. Способность своевременно восстанавливать доступность и доступ к персональным данным в случае возникновения физического или технического инцидента 4. Процесс для регулярного тестирования, оценки эффективности технических и организационных мер с целью оценки уверенности в безопасности обработки Ст.19Ст.32
  8. 8. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 элемента безопасности персональных данных ИБ инфраструктуры Обеспечение «классической» ИБ (МСЭ, IPS, EDR, контроль доступа и т.п.), но в распределенной среде ИБ управления данными Обеспечение безопасного хранения данных и регистрация доступа к ним на всех этапах жизненного цикла данных Целостность и реактивная ИБ Мониторинг ИБ, включая реагирование на инциденты и расследование их Privacy Все аспекты выполнения законодательных и отраслевых требований по обеспечению приватности данных * - у всех участников процесса
  9. 9. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Меры безопасности зависят от актуальных угроз 2. Защита может быть реализована или с помощью лицензиата ФСТЭК 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует, но есть базовый (рекомендуемый) набор 5. Установлены обязательные требования по защитным мерам ПДн, допускающие гибкий их выбор (каталог мер защиты) – приказ ФСТЭК №21 6. Требования по оценке соответствия средств защиты обязательны, в отличие от сертификации GDPR ФЗ-152 1. Меры безопасности зависят от актуальных рисков 2. Защита может быть реализована или с помощью внешней организации 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует 5. Методические рекомендации по защитным мерам ПДн отсутствуют, исключая советы национальных DPA или международные/региональные стандарты (ISO 270xx, ISO 290xx, CEH, ENISA и т.д.) 6. Требования по оценке соответствия средств защиты отсутствуют
  10. 10. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Каталог защитных мер ПДн от ФСТЭК Защитная мера ПДн Идентификация и аутентификация субъектов доступа и объектов доступа + Управление доступом субъектов доступа к объектам доступа + Ограничение программной среды + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + Регистрация событий безопасности + Антивирусная защита + Обнаружение (предотвращение) вторжений + Контроль (анализ) защищенности персональных данных + Обеспечение целостности информационной системы и КИ + Обеспечение доступности персональных данных + Защита среды виртуализации + Защита технических средств + Защита информационной системы, ее средств, систем связи и передачи данных +
  11. 11. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Каталог защитных мер ПДн от ФСТЭК Защитная мера ПДн Управление инцидентами + Управление конфигурацией информационной системы и системы защиты КИ + Безопасная разработка прикладного и специального программного обеспечения разработчиком Управление обновлениями программного обеспечения Планирование мероприятий по обеспечению защиты информации Обеспечение действий в нештатных (непредвиденных) ситуациях Информирование и обучение пользователей Анализ угроз безопасности информации и рисков от их реализации
  12. 12. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в системе защиты ПДн, включает • определение базового набора мер • адаптацию базового набора мер с учетом структурно- функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн • уточнение адаптированного базового набора с учетом не выбранных ранее мер • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами Как определяются защитные меры? Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  13. 13. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных Оценка соответствия средств защиты
  14. 14. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСТЭК
  15. 15. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом • Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя А что у нас с шифрованием? Законы Конфиденциальность Шифрование НПА регуляторов
  16. 16. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: • Не раскрывать ПДн третьим лицам • Не распространять ПДн без согласия субъекта персональных данных • Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… • Ст.19 ФЗ-152 требует не шифрования
  17. 17. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи • Использовать соответствующие механизмы защиты от НСД, исключая шифрование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн Как обеспечить конфиденциальность ПДн?
  18. 18. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные • Никаких оговорок про выполнение требований законодательства • Никакой защиты передаваемых данных • Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? Как поступает сама ФСБ?
  19. 19. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
  20. 20. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН собирает персональные данные через форму обратной связи на своем сайте • Стандартная оговорка о соблюдении законодательства в области персональных данных • Никакой защиты передаваемых данных • Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? Как поступает РКН?
  21. 21. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности • У вас есть выбор – или соглашаться, или не использовать соответствующий сервис • Шифрование в таком случае не нужно Как поступает РКН - 2? Ответ Роскомнадзора
  22. 22. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно А если сделать их общедоступными?
  23. 23. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Неужели можно не использовать СКЗИ?
  24. 24. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  25. 25. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСБ
  26. 26. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Правоприменительная практика в области выполнения мер защиты ПДн отсутствует – у регуляторов нет полномочий • Подходы к защите ПДн в GDPR и ФЗ-152 схожи • Гибкий выбор защитных мер в соответствие с лучшими практиками (ISO, CEH, Пр21 и др.) • Приказ ФСТЭК №21 является хорошим каталогом защитных мер, признаваемый российским регулятором в области защиты ПДн • Средства защиты ПДн могут быть любыми, исключая особое мнение ФСБ касательно средств шифрования Выводы
  27. 27. Спасибо!

×