Техническая защита персональных данных в соответствие с GDPR и ФЗ-152

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Техническая защита
персональных данных
Как соблюсти GDPR и ФЗ-152
25 мая 2020 года
Бизнес-консультант по безопасности
Алексей Лукацкий

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
DISCLAIMER #2
Приведенные в настоящей
презентации мнения и
рекомендации не являются
юридическим заключением и
не могут заменять собой
необходимость получения
юридической консультации в
конкретных практических
ситуациях и в конкретных
юрисдикциях
• DISCLAIMER #1
• Суждения автора следует
рассматривать
исключительно как
пояснения специалиста,
работающего в сфере ИБ
более 25 лет и участвующего
в различных рабочих группах
по разработке и (или)
экспертизе нормативных
правовых актов в области ИБ

CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY
JANUARY 2020
From Privacy to Profit:
Achieving Positive Returns
on Privacy Investments
Cisco Data Privacy Benchmark Study 2020
Многие организации видят позитивный результат
от инвестиций в приватность, и 47% видят
двукратный рост по сравнению с затратами.
Свыше 70% рапортуют о серьезных
преимуществах в таких областях как операционная
эффективность, гибкость и инновации и
привлекательность компании; на 40% за прошлый
год.
Организации, которые более “подотчетны” были
в два раза реже взломаны, имели меньше
простоев, не сталкивались с задержками в
продажах и достигали больших прибылейl.
82% организаций думают, что сертификация
(например, ISO 27701) – очень важные факторы
сегодня.
Ключевая идея: приватность данных приносит
значительные финансовые выгоды для компаний при
правильно выстроенном процесссе
Зачем нужна защита ПДн?
https://www.cisco.com/c/en/us/products/security/security-reports.html

Последние штрафы
Организация Страна Дата Штраф Причина / детали
UVW Голландия Октябрь 2019 €900,000 Нехватка MFA
MisterTango
UAB
Литва Май 2019 €61,500 Один специалист в ИТ
Школа Норвегия Март 2019 €170,000 Обход логина в LMS
Демократы Венгрия Март 2019 €35,000 SQL Injection, пароли MD5
Doorstep
Dospensaree
Великобрита-
ния
Декабрь 2019 €327,000 Небезопасное хранилище
бумажных носителей
British Airways Великобрита-
ния
Сентябрь
2018
€220 млн
(1,5%)
Web-скиммер на сайте
Marriott Hotels Великобрита-
ния
Ноябрь 2018 €118 млн Компрометация купленной
сети Starwood
Marriott Hotels Великобрита-
ния
Март 2020 ??? Кража логина

Программа по защите персональных данных
Политики
и стандарты
Идентификация
и классификация
Риски данных и
зрелость организации
Реагирование
на инциденты
Надзор
и контроль
Приватность Безопасность Повышение
осведомленности

• Есть ли обязательные меры защиты ПДн?
• Какие меры защиты ПДн мне применить?
• Как защитить <технологию>/<сервис>, использующую ПДн?
• Какие средства защиты ПДн мне использовать?
• Есть ли особые требования к средствам защиты ПДн?
• Как мне реагировать на инциденты с ПДн?
• Как мне убедиться, что у меня с защитой все хорошо?
• Что будет за нарушение требований по защите ПДн?
Рассматриваемые в презентации вопросы

Принимая во внимание уровень
техники, расходы на
осуществление и характер,
объем, контекст и цели
обработки, а также различные
степени вероятности и тяжести
рисков в отношении прав и
свобод физических лиц,
контроллер и процессор
осуществляют соответствующие
технические и организационные
меры для обеспечения такого
уровня безопасности, который
соответствует рискам
Оператор при обработке
персональных данных обязан
принимать необходимые правовые,
организационные и технические
меры или обеспечивать их
принятие для защиты персональных
данных от неправомерного или
случайного доступа к ним,
уничтожения, изменения,
блокирования, копирования,
предоставления, распространения
персональных данных, а также от
иных неправомерных действий в
отношении персональных данных
GDPR ФЗ-152
Статья 19Статья 32

Фраза «appropriate technical and
organisational measures»
встречается в GDPR 9 раз

1. Определение угроз безопасности ПДн
2. Применение организационных и технических мер по
обеспечению безопасности ПДн при их обработке в
ИСПДн, необходимых для выполнения требований к
защите ПДн, исполнение которых обеспечивает
установленные Правительством Российской Федерации
уровни защищенности ПДн
3. Применение прошедших в установленном порядке
процедуру оценки соответствия средств защиты
информации
4. Оценка эффективности принимаемых мер по
обеспечению безопасности ПДн до ввода в эксплуатацию
ИСПДн
5. Учет машинных носителей ПДн
6. Обнаружение фактов несанкционированного доступа к
ПДн и принятием мер
7. Восстановление ПДн, модифицированных или
уничтоженных вследствие несанкционированного доступа
к ним
8. Установление правил доступа к ПДн, обрабатываемым в
ИСПДн, а также обеспечением регистрации и учета всех
действий, совершаемых с ПДн в ИСПДн
9. Контроль за принимаемыми мерами по обеспечению
безопасности ПДнд и уровня защищенности ИСПДн
GDPR ФЗ-152
1. Псевдонимизация и шифрование
2. Способность обеспечить постоянную
конфиденциальность, целостность,
доступность и устойчивость систем и
услуг, связанных с обработкой
3. Способность своевременно
восстанавливать доступность и доступ к
персональным данным в случае
возникновения физического или
технического инцидента
4. Процесс для регулярного тестирования,
оценки эффективности технических и
организационных мер с целью оценки
уверенности в безопасности обработки
Статья 19Статья 32

РКН – обезличивание
Правительство –
разное (помещения)
ФСТЭК – защита ПДн
ФСБ – криптография
МВД – сохранность
ЦБ – модели угроз
(риски)
GDPR ФЗ-152
Единый
национальный
«регулятор» (DPA,
Inspectorate,
Ombudsman,
Commission и т.п.)

У семи нянек дитя без глаза или
too many cooks spoil the broth

Мы будем говорить только про защиту ПДн
Создание данных
Сбор данных
Legacy данные
Появление данных
Уничтожение
данных
Выявление и
классификация
данных
Обработка и
использование
данных
Классификация
данных
Контроль и
защита данных
Токенизация /
маскирование
Мы сегодня
сфокусируемся
только здесь!
Отчетность

Не забудьте про классификацию ПДн
EDRM
E-DLP / I-DLP
UDC
CASBDAG/DCAP
Анализ
файлов
Ручной процесс классификации
UDC
Хранение Доступ Передача Использование
UDC – User Driven Classification, DAG – Data Access Governance, DCAP – Data Centric Audit and Protection,
CASB – Cloud Access Security Broker, EDRM – Enterprise Digital Rights Management

Мы не будем говорить про обезличивание ПДн
Оригинальные данные Вычистка токсичных данных Псевдонимизация Анонимизация Продвинутая анонимизация
В России обезличенные данные выпадают (пока) из под действия ФЗ-152 и не требуют обязательной защиты

4 измерения безопасности ПДн
ИБ инфраструктуры
Обеспечение «классической»
ИБ (МСЭ, IPS, EDR, контроль
доступа и т.п.), в т.ч. в
распределенной среде
ИБ управления
данными
Обеспечение безопасного
хранения данных и регистрация
доступа к ним на всех этапах
жизненного цикла данных
Целостность и
реактивная ИБ
Мониторинг ИБ, включая
реагирование на инциденты и
расследование их
Приложения
Обеспечение безопасности
ПДн в различных приложениях
(облака, BYOD, e-commerce,
блокчейн и т.п.)
* - у всех участников процесса

Что взять за основу?
NIST
CSF
• Стандарт де-факто
(как минимум в США)
• Проработанная
структура документа
• Рекомендации по
внедрению
27ххх
• Международный
стандарт
• Высокоуровневый
21-й
приказ
• "Родной" стандарт
• "Основа" развития
для ФСТЭК
• Базируется на
лучших практиках
ГОСТ
ЦБ
• Ориентирован на ФО
• Вобрал лучшее из
приказов ФСТЭК и
СТО Банка России
COBIT
• Ориентированный на
ИТ
• Небесплатный
• "Тяжелый"
• Зрелый
• Выбор остается за вами –
«лучшего» варианта не
существует
• Выбор зависит от вашего
опыта работы с указанными
стандартами и вашей
организации (финансы, госы и
др.), а также от
необходимости защищать
иные виды информации
• Выполнив основные
требования по защите,
останется только выполнить
формальности

Соответствие CSP SCF, PCI DSS, NIST CSF, ISO
27001, COBIT… (mapping)

Общие требования по защите
1. Определение угроз безопасности, анализ уязвимостей и анализ рисков
2. Предотвращение неправомерного доступа, уничтожения, модифицирования,
блокирования, копирования, предоставления, распространения информации на
объекте защиты
3. Недопущение воздействия на тех.средства обработки информации, в результате
которого может быть нарушено или прекращено функционирование объекта
защиты
4. Применение прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации
5. Оценка эффективности принимаемых мер по обеспечению безопасности
6. Учет машинных носителей
7. Обнаружение фактов несанкционированного доступа и принятие мер
8. Восстановление информации, модифицированной или уничтоженной вследствие
несанкционированного доступа к ней
9. Установление правил доступа к информации, а также обеспечением
регистрации и учета всех действий, совершаемых с ней
10. Контроль за принимаемыми мерами по обеспечению безопасности
11. Непрерывное взаимодействие с ГосСОПКА
12. Наличие ИБ-подразделения или ответственного сотрудника
На уровне законов

Риск-ориентированный подход
ФЗ-152 и GDPR – это и
гибкость в защите и
неопределенность из-за
субъективности выбора
защитных мер

Как оценить риски?
https://www.enisa.europa.eu/publi
cations/handbook-on-security-of-
personal-data-processing
• Кейс: выплата зарплаты
• Кейс: рекрутинг
• Кейс: оценка персонала
• Кейс: заказ и доставка товаров
• Кейс: маркетинг и реклама
• Кейс: предоставление услуг
• Кейс: контроль доступа
• Кейс: видеонаблюдение
• Кейс: медицинские услуги и телемедицина
• Кейс: дистанционное образование

Ориентация на европейские рекомендации
UK ICO Checklist
• Высокоуровневые
рекомендации по
выстраиванию
процесса защиты
ПДн
• Чеклист
Cyber Essentials
• Базовые
технические
рекомендации по
защите
информации,
включая ПДн
• Чеклист
CNIL
• Базовый набор
защитных мер,
ориентированных
среди прочего и
на бумажные
носители ПДн
• Чеклист
https://ico.org.uk/for-
organisations/guide-to-data-
protection/guide-to-the-general-data-
protection-regulation-gdpr/security/
https://www.ncsc.gov.uk/cyberessentials
/overview
https://www.cnil.fr/sites/default/files/ato
ms/files/cnil_guide_securite_personnell
e_gb_web.pdf

Практичные рекомендации CNIL
https://www.cnil.fr/sites/default/fil
es/atoms/files/cnil_guide_securite
_personnelle_gb_web.pdf
• Повышение осведомленности
• Аутентификация и управление доступом
• Регистрация доступа и управление инцидентами
• Защита ПК, мобильных устройств, серверов, включая Web
• Защита внутренней сети
• Обеспечение непрерывности
• Защищенное архивирование
• Уничтожение данных
• Защищенные коммуникации и криптография
• Управление обработчиками
• Физическая безопасность

Стандарт ISO 27701
• Реализация ISO 27001/27002 применительно к ПДн с
разделением требований для обработчиков и операторов
• Планирование, управление, совершенствование СЗИ
• Политики ИБ и организация процесса, включая удаленную
работу
• Управление активами
• Контроль доступа
• Криптография
• Физическая и операционная безопасность
• Безопасность коммуникаций
• Приобретение систем

Стандарт ISO 27701
• Приложение С – маппинг в ISO 29100
(Privacy Framework)
• Приложение D – маппинг в GDPR
• Приложение E – маппинг в ISO 27018
(Code of practice for protection of
personally identifiable information in public
clouds acting as PII processors) и ISO
29151 (Code of practice for personally
identifiable information protection)
• Приложение F – совместное применение
ISO 27001/27002 и ISO 27701

Ориентация на российские требования
Защитная мера ПДн
Идентификация и аутентификация субъектов доступа и объектов доступа +
Управление доступом субъектов доступа к объектам доступа +
Ограничение программной среды +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ +
Регистрация событий безопасности +
Антивирусная защита +
Обнаружение (предотвращение) вторжений +
Контроль (анализ) защищенности персональных данных +
Обеспечение целостности информационной системы и КИ +
Обеспечение доступности персональных данных +
Защита среды виртуализации +
Защита технических средств +
Защита информационной системы, ее средств, систем связи и передачи данных +

Ориентация на российские требования
Защитная мера ПДн
Управление инцидентами +
Управление конфигурацией информационной системы и системы защиты КИ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
Управление обновлениями программного обеспечения
Планирование мероприятий по обеспечению защиты информации
Обеспечение действий в нештатных (непредвиденных) ситуациях
Информирование и обучение пользователей
Анализ угроз безопасности информации и рисков от их реализации

• Выбор мер по обеспечению безопасности ПДн,
подлежащих реализации в системе защиты ПДн,
включает
• определение базового набора мер
• адаптацию базового набора мер с учетом структурно-
функциональных характеристик ИСПДн, ИТ,
особенностей функционирования ИСПДн
• уточнение адаптированного базового набора с учетом не
выбранных ранее мер
• дополнение уточненного адаптированного базового
набора мер по обеспечению безопасности ПДн
дополнительными мерами, установленными иными
нормативными актами
Как определяются защитные меры?
Базовые меры
Адаптация базового
набора
Уточнение
адаптированного набора
Дополнение уточненного
адаптированного набора
Компенсационные меры

Может ли быть что-то еще впереди?
🔏
могут выпустить еще множество различных требований
по защите информации, но они вряд ли добавят что-то
новое к уже имеющемуся перечню, исключая
специфичные отраслевые требования (и то не факт)
Регуляторы
Основные регуляторы в России - ФСТЭК, ФСБ,
Банк России

С технической точки зрения большой разницы
между российскими и европейскими
требованиями нет
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки)
Специфичные

1. Меры безопасности зависят от
актуальных угроз
2. Защита может быть реализована своими
силами или с помощью лицензиата
ФСТЭК
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует, но есть
базовый (рекомендуемый) набор
5. Установлены обязательные требования
по защитным мерам ПДн, допускающие
гибкий выбор среди них (каталог мер
защиты) – приказ ФСТЭК №21
GDPR ФЗ-152
1. Меры безопасности зависят от
актуальных рисков
2. Защита может быть реализована
своими силами или с помощью
внешней организации
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует
5. Методические рекомендации по
защитным мерам ПДн отсутствуют,
исключая советы национальных DPA
или международные/региональные
стандарты (ISO 27хxx, ISO 290xx,
Cyber Essentials, CEH, ENISA, NIST и
т.д.)

6. Требования по оценке соответствия
средств защиты обязательны, в
отличие от сертификации
качества защиты обязательны, но
неформализованы
8. Требования по реагированию на
инциденты, связанные с ПДн, не
установлены (но возможны изменения)
GDPR ФЗ-152
средств защиты пока отсутствуют
7. Требования по оценке качества
защиты пока отсутствуют
8. Требования по реагированию на
инциденты, связанные с ПДн,
установлены только в отношении
сроков уведомления

А как защитить специфические приложения?
https://ico.org.uk/media/for-
organisations/documents/1042221
/protecting-personal-data-in-
online-services-learning-from-the-
mistakes-of-others.pdf
organisations/documents/1540/clo
ud_computing_guidance_for_orga
nisations.pdf
organisations/documents/1563/ico
_bring_your_own_device_byod_gu
idance.pdf

А как защитить специфические приложения?
cations/handbook-on-security-
of-personal-data-processing
cations/privacy-and-data-
protection-in-mobile-applications
cations/privacy-and-security-in-
personal-data-clouds

Другие рекомендации
cations/pseudonymisation-
techniques-and-best-practices
https://www.iso.org/standard/750
61.html
cations/securing-personal-data-
in-the-context-of-data-retention

А что с прорывными технологиями и ПДн?
organisations/documents/201355
9/big-data-ai-ml-and-data-
protection.pdf
cations/big-data-protection
https://www.datatilsynet.no/global
assets/global/english/ai-and-
privacy.pdf

Рекомендации норвежского DPA
https://www.datatilsynet.no/global
assets/global/english/ai-and-
privacy.pdf
• Privacy by design
• Снижение потребности в обучающей
выборке (датасете) за счет применения
GAN (Generative Adversarial Networks) или
федеративного обучения AI
• Гомоморфное шифрование
• XAI (Explainable AI), снижающий риски
автоматического принятия решения в
условиях «черного ящика»

• Меры по обеспечению безопасности персональных данных
реализуются в том числе посредством применения в
информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств
необходимо для нейтрализации актуальных угроз безопасности
Оценка соответствия средств защиты

Финальный ответ от ФСТЭК

• Сертификация и
аттестация пока
необязательны
• Идут разговоры о
введении аттестации
информационных
систем,
обрабатывающих ПДн,
и о сертификации
средств защиты,
используемых в ЕС

• Операторы и иные лица, получившие доступ
к ПДн, обязаны не раскрывать третьим лицам
и не распространять ПДн без согласия
субъекта ПДн, если иное не предусмотрено
федеральным законом
• Конфиденциальность информации -
обязательное для выполнения лицом,
получившим доступ к определенной
информации, требование не передавать
такую информацию третьим лицам без
согласия ее обладателя
А что у нас с шифрованием?
Законы
Конфиденциальность
Шифрование
НПА регуляторов

• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
• Согласно ст.7 под конфиденциальностью ПДн понимается
обязанность операторами и иными лицами, получивших доступ к
персональным данным:
• Не раскрывать ПДн третьим лицам
• Не распространять ПДн без согласия субъекта персональных данных
• Если иное не предусмотрено федеральным законом
• Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
• Ст.19
ФЗ-152 требует не шифрования

• Получить согласие субъекта на передачу ПДн в открытом виде
• Сделать ПДн общедоступными
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
• Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
• Переложить задачу обеспечения конфиденциальности на оператора
связи
• Передавать в канал связи обезличенные данные
• Использовать СКЗИ для защиты ПДн
Как обеспечить конфиденциальность ПДн?

• ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
• Никаких оговорок про выполнение
требований законодательства
• Никакой защиты передаваемых данных
• Если это позволено регулятору в
области защиты (и в частности
шифрования) персональных данных, то
почему это не позволено вам?
Как поступает сама ФСБ?

Как поступают в Правительстве, МКС, ФСТЭК, у
Президента и в ФНС?

• РКН собирает персональные данные через
форму обратной связи на своем сайте
• Стандартная оговорка о соблюдении
законодательства в области персональных
данных
• Никакой защиты передаваемых данных
• Если это позволено уполномоченному органу
по защите прав субъектов персональных
данных, то почему это не позволено вам?
Как поступает РКН?

• РКН раньше на своем сайте,
а портал госуслуг до сих пор
вынуждает вас отказаться от
конфиденциальности
• У вас есть выбор – или
соглашаться, или не
использовать
соответствующий сервис
• Шифрование в таком случае
не нужно
Как поступает РКН - 2?
Ответ Роскомнадзора

• РЖД делает
регистрационные данные
пользователей своего сайта
общедоступными
• РКН не против
• Шифрование в таком случае
не нужно
А если сделать их общедоступными?

Неужели можно не использовать СКЗИ?

Еще четыре сценария
Обезличивание
• Обезличивание из
делает не
персональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа

Финальный ответ от ФСБ

А что с реагированием на инциденты?
Кто выпустил? Что выпущено? Тема
ISO 27041 Forensics
ISO 27042 Forensics
ISO 27043 Расследование инцидентов
ISO 27035 Управление инцидентами и реагирование
ISO 27037 Сбор доказательств
ISO 30121 Управление рисками в форензике
OASIS TC - Threat Intelligence Обмен информацией об инцидентах
IETF RFC2350 Реагирование на инциденты
IETF RFC3227 Сбор доказательств
IETF RFC5070 Обмен информацией об инцидентах
MITRE SOC Ten Strategies Лучшие практики по SOC
NIST SP-800 Реагирование на инциденты
ЦБ СТО 1.3 Forensics и сбор доказательств
ЦБ РС 2.5 Управление инцидентами и реагирование
ЦБ СТО 1.5 Обмен информацией об инцидентах

• Подходы к защите ПДн в GDPR и ФЗ-152 схожи
• Гибкий выбор защитных мер в соответствие с лучшими практиками (ISO,
CNIL, ENISA, Пр21 и др.)
• Приказ ФСТЭК №21 является хорошим каталогом защитных мер,
признаваемый российским регулятором в области защиты ПДн, но у
российских регуляторов отсутствуют какие-либо рекомендации по защите
ПДн в прикладных сценариях, в отличие от европейских регуляторов
• Правоприменительная практика в области выполнения мер защиты ПДн в
Россиии отсутствует – у регуляторов нет полномочий в отношении
коммерческих операторов ПДн, чего не скажешь о Европе
• Средства защиты ПДн могут быть любыми (в Европе пока любыми),
исключая особое мнение ФСБ касательно средств шифрования
Выводы

Спасибо!
alukatsk@cisco.com

Техническая защита персональных данных в соответствие с GDPR и ФЗ-152

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Техническая защита персональных данных в соответствие с GDPR и ФЗ-152

Similar to Техническая защита персональных данных в соответствие с GDPR и ФЗ-152 (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (14)

Recently uploaded

Recently uploaded (9)

Техническая защита персональных данных в соответствие с GDPR и ФЗ-152