O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Техническая защита
персональных данных
Как соблюсти ...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Последние штрафы
Организация Страна Дата Штраф Причи...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Программа по защите персональных данных
Политики
и с...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Есть ли обязательные меры защиты ПДн?
• Какие меры...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Фраза «appropriate technical and
organisational meas...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
У семи нянек дитя без глаза или
too many cooks spoil...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мы будем говорить только про защиту ПДн
Создание дан...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Не забудьте про классификацию ПДн
EDRM
E-DLP / I-DLP...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мы не будем говорить про обезличивание ПДн
Оригиналь...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
4 измерения безопасности ПДн
ИБ инфраструктуры
Обесп...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что взять за основу?
NIST
CSF
• Стандарт де-факто
(к...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Соответствие CSP SCF, PCI DSS, NIST CSF, ISO
27001, ...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Общие требования по защите
1. Определение угроз безо...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Риск-ориентированный подход
ФЗ-152 и GDPR – это и
ги...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как оценить риски?
https://www.enisa.europa.eu/publi...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ориентация на европейские рекомендации
UK ICO Checkl...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Практичные рекомендации CNIL
https://www.cnil.fr/sit...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стандарт ISO 27701
https://www.cnil.fr/sites/default...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стандарт ISO 27701
https://www.cnil.fr/sites/default...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ориентация на российские требования
Защитная мера ПД...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ориентация на российские требования
Защитная мера ПД...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Выбор мер по обеспечению безопасности ПДн,
подлежа...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Может ли быть что-то еще впереди?
🔏
могут выпустить ...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
С технической точки зрения большой разницы
между рос...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
А как защитить специфические приложения?
https://ico...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
А как защитить специфические приложения?
https://www...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Другие рекомендации
https://www.enisa.europa.eu/publ...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
А что с прорывными технологиями и ПДн?
https://ico.o...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации норвежского DPA
https://www.datatilsyne...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Меры по обеспечению безопасности персональных данн...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Финальный ответ от ФСТЭК
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserv...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Операторы и иные лица, получившие доступ
к ПДн, об...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Понятие конфиденциальности ПДн упоминают ст.6.3, с...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Получить согласие субъекта на передачу ПДн в откры...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ФСБ на своем сайте требует указания
полного спектр...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как поступают в Правительстве, МКС, ФСТЭК, у
Президе...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РКН собирает персональные данные через
форму обрат...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РКН раньше на своем сайте,
а портал госуслуг до си...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РЖД делает
регистрационные данные
пользователей св...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Неужели можно не использовать СКЗИ?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Еще четыре сценария
Обезличивание
• Обезличивание из...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Финальный ответ от ФСБ
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
А что с реагированием на инциденты?
Кто выпустил? Чт...
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Подходы к защите ПДн в GDPR и ФЗ-152 схожи
• Гибки...
Спасибо!
alukatsk@cisco.com
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

2

Compartilhar

Baixar para ler offline

Техническая защита персональных данных в соответствие с GDPR и ФЗ-152

Baixar para ler offline

Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.

Техническая защита персональных данных в соответствие с GDPR и ФЗ-152

  1. 1. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Техническая защита персональных данных Как соблюсти GDPR и ФЗ-152 25 мая 2020 года Бизнес-консультант по безопасности Алексей Лукацкий
  2. 2. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public DISCLAIMER #2 Приведенные в настоящей презентации мнения и рекомендации не являются юридическим заключением и не могут заменять собой необходимость получения юридической консультации в конкретных практических ситуациях и в конкретных юрисдикциях • DISCLAIMER #1 • Суждения автора следует рассматривать исключительно как пояснения специалиста, работающего в сфере ИБ более 25 лет и участвующего в различных рабочих группах по разработке и (или) экспертизе нормативных правовых актов в области ИБ
  3. 3. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY JANUARY 2020 From Privacy to Profit: Achieving Positive Returns on Privacy Investments Cisco Data Privacy Benchmark Study 2020 Многие организации видят позитивный результат от инвестиций в приватность, и 47% видят двукратный рост по сравнению с затратами. Свыше 70% рапортуют о серьезных преимуществах в таких областях как операционная эффективность, гибкость и инновации и привлекательность компании; на 40% за прошлый год. Организации, которые более “подотчетны” были в два раза реже взломаны, имели меньше простоев, не сталкивались с задержками в продажах и достигали больших прибылейl. 82% организаций думают, что сертификация (например, ISO 27701) – очень важные факторы сегодня. Ключевая идея: приватность данных приносит значительные финансовые выгоды для компаний при правильно выстроенном процесссе Зачем нужна защита ПДн? https://www.cisco.com/c/en/us/products/security/security-reports.html
  4. 4. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Последние штрафы Организация Страна Дата Штраф Причина / детали UVW Голландия Октябрь 2019 €900,000 Нехватка MFA MisterTango UAB Литва Май 2019 €61,500 Один специалист в ИТ Школа Норвегия Март 2019 €170,000 Обход логина в LMS Демократы Венгрия Март 2019 €35,000 SQL Injection, пароли MD5 Doorstep Dospensaree Великобрита- ния Декабрь 2019 €327,000 Небезопасное хранилище бумажных носителей British Airways Великобрита- ния Сентябрь 2018 €220 млн (1,5%) Web-скиммер на сайте Marriott Hotels Великобрита- ния Ноябрь 2018 €118 млн Компрометация купленной сети Starwood Marriott Hotels Великобрита- ния Март 2020 ??? Кража логина
  5. 5. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Программа по защите персональных данных Политики и стандарты Идентификация и классификация Риски данных и зрелость организации Реагирование на инциденты Надзор и контроль Приватность Безопасность Повышение осведомленности
  6. 6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Есть ли обязательные меры защиты ПДн? • Какие меры защиты ПДн мне применить? • Как защитить <технологию>/<сервис>, использующую ПДн? • Какие средства защиты ПДн мне использовать? • Есть ли особые требования к средствам защиты ПДн? • Как мне реагировать на инциденты с ПДн? • Как мне убедиться, что у меня с защитой все хорошо? • Что будет за нарушение требований по защите ПДн? Рассматриваемые в презентации вопросы
  7. 7. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Принимая во внимание уровень техники, расходы на осуществление и характер, объем, контекст и цели обработки, а также различные степени вероятности и тяжести рисков в отношении прав и свобод физических лиц, контроллер и процессор осуществляют соответствующие технические и организационные меры для обеспечения такого уровня безопасности, который соответствует рискам Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных GDPR ФЗ-152 Статья 19Статья 32
  8. 8. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Фраза «appropriate technical and organisational measures» встречается в GDPR 9 раз
  9. 9. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Определение угроз безопасности ПДн 2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн 3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации 4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн 5. Учет машинных носителей ПДн 6. Обнаружение фактов несанкционированного доступа к ПДн и принятием мер 7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним 8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн 9. Контроль за принимаемыми мерами по обеспечению безопасности ПДнд и уровня защищенности ИСПДн GDPR ФЗ-152 1. Псевдонимизация и шифрование персональных данных 2. Способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг, связанных с обработкой 3. Способность своевременно восстанавливать доступность и доступ к персональным данным в случае возникновения физического или технического инцидента 4. Процесс для регулярного тестирования, оценки эффективности технических и организационных мер с целью оценки уверенности в безопасности обработки Статья 19Статья 32
  10. 10. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public РКН – обезличивание Правительство – разное (помещения) ФСТЭК – защита ПДн ФСБ – криптография МВД – сохранность ЦБ – модели угроз (риски) GDPR ФЗ-152 Единый национальный «регулятор» (DPA, Inspectorate, Ombudsman, Commission и т.п.)
  11. 11. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public У семи нянек дитя без глаза или too many cooks spoil the broth
  12. 12. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Мы будем говорить только про защиту ПДн Создание данных Сбор данных Legacy данные Появление данных Уничтожение данных Выявление и классификация данных Обработка и использование данных Классификация данных Контроль и защита данных Токенизация / маскирование Мы сегодня сфокусируемся только здесь! Отчетность
  13. 13. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забудьте про классификацию ПДн EDRM E-DLP / I-DLP UDC CASBDAG/DCAP Анализ файлов Ручной процесс классификации UDC Хранение Доступ Передача Использование UDC – User Driven Classification, DAG – Data Access Governance, DCAP – Data Centric Audit and Protection, CASB – Cloud Access Security Broker, EDRM – Enterprise Digital Rights Management
  14. 14. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Мы не будем говорить про обезличивание ПДн Оригинальные данные Вычистка токсичных данных Псевдонимизация Анонимизация Продвинутая анонимизация В России обезличенные данные выпадают (пока) из под действия ФЗ-152 и не требуют обязательной защиты
  15. 15. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 измерения безопасности ПДн ИБ инфраструктуры Обеспечение «классической» ИБ (МСЭ, IPS, EDR, контроль доступа и т.п.), в т.ч. в распределенной среде ИБ управления данными Обеспечение безопасного хранения данных и регистрация доступа к ним на всех этапах жизненного цикла данных Целостность и реактивная ИБ Мониторинг ИБ, включая реагирование на инциденты и расследование их Приложения Обеспечение безопасности ПДн в различных приложениях (облака, BYOD, e-commerce, блокчейн и т.п.) * - у всех участников процесса
  16. 16. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Что взять за основу? NIST CSF • Стандарт де-факто (как минимум в США) • Проработанная структура документа • Рекомендации по внедрению 27ххх • Международный стандарт • Высокоуровневый 21-й приказ • "Родной" стандарт • "Основа" развития для ФСТЭК • Базируется на лучших практиках ГОСТ ЦБ • Ориентирован на ФО • Вобрал лучшее из приказов ФСТЭК и СТО Банка России COBIT • Ориентированный на ИТ • Небесплатный • "Тяжелый" • Зрелый • Выбор остается за вами – «лучшего» варианта не существует • Выбор зависит от вашего опыта работы с указанными стандартами и вашей организации (финансы, госы и др.), а также от необходимости защищать иные виды информации • Выполнив основные требования по защите, останется только выполнить формальности
  17. 17. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Соответствие CSP SCF, PCI DSS, NIST CSF, ISO 27001, COBIT… (mapping)
  18. 18. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Общие требования по защите 1. Определение угроз безопасности, анализ уязвимостей и анализ рисков 2. Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации на объекте защиты 3. Недопущение воздействия на тех.средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объекта защиты 4. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации 5. Оценка эффективности принимаемых мер по обеспечению безопасности 6. Учет машинных носителей 7. Обнаружение фактов несанкционированного доступа и принятие мер 8. Восстановление информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней 9. Установление правил доступа к информации, а также обеспечением регистрации и учета всех действий, совершаемых с ней 10. Контроль за принимаемыми мерами по обеспечению безопасности 11. Непрерывное взаимодействие с ГосСОПКА 12. Наличие ИБ-подразделения или ответственного сотрудника На уровне законов
  19. 19. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Риск-ориентированный подход ФЗ-152 и GDPR – это и гибкость в защите и неопределенность из-за субъективности выбора защитных мер
  20. 20. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Как оценить риски? https://www.enisa.europa.eu/publi cations/handbook-on-security-of- personal-data-processing • Кейс: выплата зарплаты • Кейс: рекрутинг • Кейс: оценка персонала • Кейс: заказ и доставка товаров • Кейс: маркетинг и реклама • Кейс: предоставление услуг • Кейс: контроль доступа • Кейс: видеонаблюдение • Кейс: медицинские услуги и телемедицина • Кейс: дистанционное образование
  21. 21. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Ориентация на европейские рекомендации UK ICO Checklist • Высокоуровневые рекомендации по выстраиванию процесса защиты ПДн • Чеклист Cyber Essentials • Базовые технические рекомендации по защите информации, включая ПДн • Чеклист CNIL • Базовый набор защитных мер, ориентированных среди прочего и на бумажные носители ПДн • Чеклист https://ico.org.uk/for- organisations/guide-to-data- protection/guide-to-the-general-data- protection-regulation-gdpr/security/ https://www.ncsc.gov.uk/cyberessentials /overview https://www.cnil.fr/sites/default/files/ato ms/files/cnil_guide_securite_personnell e_gb_web.pdf
  22. 22. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Практичные рекомендации CNIL https://www.cnil.fr/sites/default/fil es/atoms/files/cnil_guide_securite _personnelle_gb_web.pdf • Повышение осведомленности • Аутентификация и управление доступом • Регистрация доступа и управление инцидентами • Защита ПК, мобильных устройств, серверов, включая Web • Защита внутренней сети • Обеспечение непрерывности • Защищенное архивирование • Уничтожение данных • Защищенные коммуникации и криптография • Управление обработчиками • Физическая безопасность
  23. 23. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Стандарт ISO 27701 https://www.cnil.fr/sites/default/fil es/atoms/files/cnil_guide_securite _personnelle_gb_web.pdf • Реализация ISO 27001/27002 применительно к ПДн с разделением требований для обработчиков и операторов • Планирование, управление, совершенствование СЗИ • Политики ИБ и организация процесса, включая удаленную работу • Управление активами • Контроль доступа • Криптография • Физическая и операционная безопасность • Безопасность коммуникаций • Приобретение систем
  24. 24. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Стандарт ISO 27701 https://www.cnil.fr/sites/default/fil es/atoms/files/cnil_guide_securite _personnelle_gb_web.pdf • Приложение С – маппинг в ISO 29100 (Privacy Framework) • Приложение D – маппинг в GDPR • Приложение E – маппинг в ISO 27018 (Code of practice for protection of personally identifiable information in public clouds acting as PII processors) и ISO 29151 (Code of practice for personally identifiable information protection) • Приложение F – совместное применение ISO 27001/27002 и ISO 27701
  25. 25. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Ориентация на российские требования Защитная мера ПДн Идентификация и аутентификация субъектов доступа и объектов доступа + Управление доступом субъектов доступа к объектам доступа + Ограничение программной среды + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + Регистрация событий безопасности + Антивирусная защита + Обнаружение (предотвращение) вторжений + Контроль (анализ) защищенности персональных данных + Обеспечение целостности информационной системы и КИ + Обеспечение доступности персональных данных + Защита среды виртуализации + Защита технических средств + Защита информационной системы, ее средств, систем связи и передачи данных +
  26. 26. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Ориентация на российские требования Защитная мера ПДн Управление инцидентами + Управление конфигурацией информационной системы и системы защиты КИ + Безопасная разработка прикладного и специального программного обеспечения разработчиком Управление обновлениями программного обеспечения Планирование мероприятий по обеспечению защиты информации Обеспечение действий в нештатных (непредвиденных) ситуациях Информирование и обучение пользователей Анализ угроз безопасности информации и рисков от их реализации
  27. 27. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в системе защиты ПДн, включает • определение базового набора мер • адаптацию базового набора мер с учетом структурно- функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн • уточнение адаптированного базового набора с учетом не выбранных ранее мер • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами Как определяются защитные меры? Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  28. 28. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Может ли быть что-то еще впереди? 🔏 могут выпустить еще множество различных требований по защите информации, но они вряд ли добавят что-то новое к уже имеющемуся перечню, исключая специфичные отраслевые требования (и то не факт) Регуляторы Основные регуляторы в России - ФСТЭК, ФСБ, Банк России
  29. 29. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public С технической точки зрения большой разницы между российскими и европейскими требованиями нет •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Документальное сопровождение •Физический доступ •Контроль целостности •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP Общие •Защита специфичных процессов (биллинг, АБС, PCI…) •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки) Специфичные
  30. 30. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Меры безопасности зависят от актуальных угроз 2. Защита может быть реализована своими силами или с помощью лицензиата ФСТЭК 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует, но есть базовый (рекомендуемый) набор 5. Установлены обязательные требования по защитным мерам ПДн, допускающие гибкий выбор среди них (каталог мер защиты) – приказ ФСТЭК №21 GDPR ФЗ-152 1. Меры безопасности зависят от актуальных рисков 2. Защита может быть реализована своими силами или с помощью внешней организации 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует 5. Методические рекомендации по защитным мерам ПДн отсутствуют, исключая советы национальных DPA или международные/региональные стандарты (ISO 27хxx, ISO 290xx, Cyber Essentials, CEH, ENISA, NIST и т.д.)
  31. 31. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 6. Требования по оценке соответствия средств защиты обязательны, в отличие от сертификации 7. Требования по оценке соответствия качества защиты обязательны, но неформализованы 8. Требования по реагированию на инциденты, связанные с ПДн, не установлены (но возможны изменения) GDPR ФЗ-152 6. Требования по оценке соответствия средств защиты пока отсутствуют 7. Требования по оценке качества защиты пока отсутствуют 8. Требования по реагированию на инциденты, связанные с ПДн, установлены только в отношении сроков уведомления
  32. 32. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public А как защитить специфические приложения? https://ico.org.uk/media/for- organisations/documents/1042221 /protecting-personal-data-in- online-services-learning-from-the- mistakes-of-others.pdf https://ico.org.uk/media/for- organisations/documents/1540/clo ud_computing_guidance_for_orga nisations.pdf https://ico.org.uk/media/for- organisations/documents/1563/ico _bring_your_own_device_byod_gu idance.pdf
  33. 33. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public А как защитить специфические приложения? https://www.enisa.europa.eu/publi cations/handbook-on-security- of-personal-data-processing https://www.enisa.europa.eu/publi cations/privacy-and-data- protection-in-mobile-applications https://www.enisa.europa.eu/publi cations/privacy-and-security-in- personal-data-clouds
  34. 34. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Другие рекомендации https://www.enisa.europa.eu/publi cations/pseudonymisation- techniques-and-best-practices https://www.iso.org/standard/750 61.html https://www.enisa.europa.eu/publi cations/securing-personal-data- in-the-context-of-data-retention
  35. 35. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public А что с прорывными технологиями и ПДн? https://ico.org.uk/media/for- organisations/documents/201355 9/big-data-ai-ml-and-data- protection.pdf https://www.enisa.europa.eu/publi cations/big-data-protection https://www.datatilsynet.no/global assets/global/english/ai-and- privacy.pdf
  36. 36. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации норвежского DPA https://www.datatilsynet.no/global assets/global/english/ai-and- privacy.pdf • Privacy by design • Снижение потребности в обучающей выборке (датасете) за счет применения GAN (Generative Adversarial Networks) или федеративного обучения AI • Гомоморфное шифрование • XAI (Explainable AI), снижающий риски автоматического принятия решения в условиях «черного ящика»
  37. 37. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных Оценка соответствия средств защиты
  38. 38. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСТЭК
  39. 39. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Сертификация и аттестация пока необязательны • Идут разговоры о введении аттестации информационных систем, обрабатывающих ПДн, и о сертификации средств защиты, используемых в ЕС
  40. 40. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом • Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя А что у нас с шифрованием? Законы Конфиденциальность Шифрование НПА регуляторов
  41. 41. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: • Не раскрывать ПДн третьим лицам • Не распространять ПДн без согласия субъекта персональных данных • Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… • Ст.19 ФЗ-152 требует не шифрования
  42. 42. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи • Использовать соответствующие механизмы защиты от НСД, исключая шифрование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн Как обеспечить конфиденциальность ПДн?
  43. 43. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные • Никаких оговорок про выполнение требований законодательства • Никакой защиты передаваемых данных • Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? Как поступает сама ФСБ?
  44. 44. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
  45. 45. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН собирает персональные данные через форму обратной связи на своем сайте • Стандартная оговорка о соблюдении законодательства в области персональных данных • Никакой защиты передаваемых данных • Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? Как поступает РКН?
  46. 46. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности • У вас есть выбор – или соглашаться, или не использовать соответствующий сервис • Шифрование в таком случае не нужно Как поступает РКН - 2? Ответ Роскомнадзора
  47. 47. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно А если сделать их общедоступными?
  48. 48. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Неужели можно не использовать СКЗИ?
  49. 49. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает не персональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  50. 50. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСБ
  51. 51. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public А что с реагированием на инциденты? Кто выпустил? Что выпущено? Тема ISO 27041 Forensics ISO 27042 Forensics ISO 27043 Расследование инцидентов ISO 27035 Управление инцидентами и реагирование ISO 27037 Сбор доказательств ISO 30121 Управление рисками в форензике OASIS TC - Threat Intelligence Обмен информацией об инцидентах IETF RFC2350 Реагирование на инциденты IETF RFC3227 Сбор доказательств IETF RFC5070 Обмен информацией об инцидентах MITRE SOC Ten Strategies Лучшие практики по SOC NIST SP-800 Реагирование на инциденты ЦБ СТО 1.3 Forensics и сбор доказательств ЦБ РС 2.5 Управление инцидентами и реагирование ЦБ СТО 1.5 Обмен информацией об инцидентах
  52. 52. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Подходы к защите ПДн в GDPR и ФЗ-152 схожи • Гибкий выбор защитных мер в соответствие с лучшими практиками (ISO, CNIL, ENISA, Пр21 и др.) • Приказ ФСТЭК №21 является хорошим каталогом защитных мер, признаваемый российским регулятором в области защиты ПДн, но у российских регуляторов отсутствуют какие-либо рекомендации по защите ПДн в прикладных сценариях, в отличие от европейских регуляторов • Правоприменительная практика в области выполнения мер защиты ПДн в Россиии отсутствует – у регуляторов нет полномочий в отношении коммерческих операторов ПДн, чего не скажешь о Европе • Средства защиты ПДн могут быть любыми (в Европе пока любыми), исключая особое мнение ФСБ касательно средств шифрования Выводы
  53. 53. Спасибо! alukatsk@cisco.com
  • ssuser14aad8

    Sep. 21, 2020
  • OlegShishkin2

    Jun. 5, 2020

Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.

Vistos

Vistos totais

3.441

No Slideshare

0

De incorporações

0

Número de incorporações

2.575

Ações

Baixados

107

Compartilhados

0

Comentários

0

Curtir

2

×