SlideShare uma empresa Scribd logo
1 de 27
Baixar para ler offline
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Техническая защита
персональных данных
Как соблюсти GDPR и ФЗ-152
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Готовность к
GDPR?
59% 29% 9% 3%
Готовы Готовы
через
< 1 год
Готовы
через
> 1 год
GDPR не
применим
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Готовность к GDPR по странам
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы знали?
Число пострадавших
записей ПДн
% тех, кто столкнулся
с инцидентами
% тех, кто имел ущерб
> $500,000 Время простоя систем
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Программа по защите персональных данных
Политики
и стандарты
Идентификация
и классификация
Риски данных и
зрелость организации
Реагирование
на инциденты
Надзор
и контроль
Приватность Безопасность Повышение
осведомленности
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Принимая во внимание уровень
техники, расходы на
осуществление и характер,
объем, контекст и цели
обработки, а также различные
степени вероятности и тяжести
рисков в отношении прав и
свобод физических лиц,
контроллер и процессор
осуществляют соответствующие
технические и организационные
меры для обеспечения такого
уровня безопасности, который
соответствует рискам
Оператор при обработке
персональных данных обязан
принимать необходимые правовые,
организационные и технические
меры или обеспечивать их
принятие для защиты персональных
данных от неправомерного или
случайного доступа к ним,
уничтожения, изменения,
блокирования, копирования,
предоставления, распространения
персональных данных, а также от
иных неправомерных действий в
отношении персональных данных
GDPR ФЗ-152
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. Определение угроз безопасности ПДн
2. Применение организационных и технических мер по
обеспечению безопасности ПДн при их обработке в
ИСПДн, необходимых для выполнения требований к
защите ПДн, исполнение которых обеспечивает
установленные Правительством Российской Федерации
уровни защищенности ПДн
3. Применение прошедших в установленном порядке
процедуру оценки соответствия средств защиты
информации
4. Оценка эффективности принимаемых мер по
обеспечению безопасности ПДн до ввода в эксплуатацию
ИСПДн
5. Учет машинных носителей ПДн
6. Обнаружение фактов несанкционированного доступа к
ПДн и принятием мер
7. Восстановление ПДн, модифицированных или
уничтоженных вследствие несанкционированного доступа
к ним
8. Установление правил доступа к ПДн, обрабатываемым в
ИСПДн, а также обеспечением регистрации и учета всех
действий, совершаемых с ПДн в ИСПДн
9. Контроль за принимаемыми мерами по обеспечению
безопасности ПДнд и уровня защищенности ИСПДн
GDPR ФЗ-152
1. Псевдонимизация и шифрование
персональных данных
2. Способность обеспечить постоянную
конфиденциальность, целостность,
доступность и устойчивость систем и
услуг, связанных с обработкой
3. Способность своевременно
восстанавливать доступность и доступ к
персональным данным в случае
возникновения физического или
технического инцидента
4. Процесс для регулярного тестирования,
оценки эффективности технических и
организационных мер с целью оценки
уверенности в безопасности обработки
Ст.19Ст.32
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
4 элемента безопасности персональных данных
ИБ инфраструктуры
Обеспечение «классической»
ИБ (МСЭ, IPS, EDR, контроль
доступа и т.п.), но в
распределенной среде
ИБ управления
данными
Обеспечение безопасного
хранения данных и регистрация
доступа к ним на всех этапах
жизненного цикла данных
Целостность и
реактивная ИБ
Мониторинг ИБ, включая
реагирование на инциденты и
расследование их
Privacy
Все аспекты выполнения
законодательных и отраслевых
требований по обеспечению
приватности данных
* - у всех участников процесса
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. Меры безопасности зависят от
актуальных угроз
2. Защита может быть реализована или с
помощью лицензиата ФСТЭК
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует, но есть
базовый (рекомендуемый) набор
5. Установлены обязательные требования
по защитным мерам ПДн, допускающие
гибкий их выбор (каталог мер защиты) –
приказ ФСТЭК №21
6. Требования по оценке соответствия
средств защиты обязательны, в отличие
от сертификации
GDPR ФЗ-152
1. Меры безопасности зависят от
актуальных рисков
2. Защита может быть реализована или
с помощью внешней организации
3. Защитные меры определяются
самостоятельно
4. Минимальный набор защитных мер в
явной форме отсутствует
5. Методические рекомендации по
защитным мерам ПДн отсутствуют,
исключая советы национальных DPA
или международные/региональные
стандарты (ISO 270xx, ISO 290xx,
CEH, ENISA и т.д.)
6. Требования по оценке соответствия
средств защиты отсутствуют
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Каталог защитных мер ПДн от ФСТЭК
Защитная мера ПДн
Идентификация и аутентификация субъектов доступа и объектов доступа +
Управление доступом субъектов доступа к объектам доступа +
Ограничение программной среды +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ +
Регистрация событий безопасности +
Антивирусная защита +
Обнаружение (предотвращение) вторжений +
Контроль (анализ) защищенности персональных данных +
Обеспечение целостности информационной системы и КИ +
Обеспечение доступности персональных данных +
Защита среды виртуализации +
Защита технических средств +
Защита информационной системы, ее средств, систем связи и передачи данных +
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Каталог защитных мер ПДн от ФСТЭК
Защитная мера ПДн
Управление инцидентами +
Управление конфигурацией информационной системы и системы защиты КИ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
Управление обновлениями программного обеспечения
Планирование мероприятий по обеспечению защиты информации
Обеспечение действий в нештатных (непредвиденных) ситуациях
Информирование и обучение пользователей
Анализ угроз безопасности информации и рисков от их реализации
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Выбор мер по обеспечению безопасности ПДн,
подлежащих реализации в системе защиты ПДн,
включает
• определение базового набора мер
• адаптацию базового набора мер с учетом структурно-
функциональных характеристик ИСПДн, ИТ,
особенностей функционирования ИСПДн
• уточнение адаптированного базового набора с учетом не
выбранных ранее мер
• дополнение уточненного адаптированного базового
набора мер по обеспечению безопасности ПДн
дополнительными мерами, установленными иными
нормативными актами
Как определяются защитные меры?
Базовые меры
Адаптация базового
набора
Уточнение
адаптированного набора
Дополнение уточненного
адаптированного набора
Компенсационные меры
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Меры по обеспечению безопасности персональных данных
реализуются в том числе посредством применения в
информационной системе средств защиты информации,
прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств
необходимо для нейтрализации актуальных угроз безопасности
персональных данных
Оценка соответствия средств защиты
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Финальный ответ от ФСТЭК
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Операторы и иные лица, получившие доступ
к ПДн, обязаны не раскрывать третьим лицам
и не распространять ПДн без согласия
субъекта ПДн, если иное не предусмотрено
федеральным законом
• Конфиденциальность информации -
обязательное для выполнения лицом,
получившим доступ к определенной
информации, требование не передавать
такую информацию третьим лицам без
согласия ее обладателя
А что у нас с шифрованием?
Законы
Конфиденциальность
Шифрование
НПА регуляторов
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
• Согласно ст.7 под конфиденциальностью ПДн понимается
обязанность операторами и иными лицами, получивших доступ к
персональным данным:
• Не раскрывать ПДн третьим лицам
• Не распространять ПДн без согласия субъекта персональных данных
• Если иное не предусмотрено федеральным законом
• Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним…
• Ст.19
ФЗ-152 требует не шифрования
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Получить согласие субъекта на передачу ПДн в открытом виде
• Сделать ПДн общедоступными
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
• Использовать соответствующие механизмы защиты от НСД, исключая
шифрование
• Переложить задачу обеспечения конфиденциальности на оператора
связи
• Передавать в канал связи обезличенные данные
• Использовать СКЗИ для защиты ПДн
Как обеспечить конфиденциальность ПДн?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ФСБ на своем сайте требует указания
полного спектра идентификационных
данных, включая паспортные
• Никаких оговорок про выполнение
требований законодательства
• Никакой защиты передаваемых данных
• Если это позволено регулятору в
области защиты (и в частности
шифрования) персональных данных, то
почему это не позволено вам?
Как поступает сама ФСБ?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как поступают в Правительстве, МКС, ФСТЭК, у
Президента и в ФНС?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РКН собирает персональные данные через
форму обратной связи на своем сайте
• Стандартная оговорка о соблюдении
законодательства в области персональных
данных
• Никакой защиты передаваемых данных
• Если это позволено уполномоченному органу
по защите прав субъектов персональных
данных, то почему это не позволено вам?
Как поступает РКН?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РКН раньше на своем сайте,
а портал госуслуг до сих пор
вынуждает вас отказаться от
конфиденциальности
• У вас есть выбор – или
соглашаться, или не
использовать
соответствующий сервис
• Шифрование в таком случае
не нужно
Как поступает РКН - 2?
Ответ Роскомнадзора
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• РЖД делает
регистрационные данные
пользователей своего сайта
общедоступными
• РКН не против
• Шифрование в таком случае
не нужно
А если сделать их общедоступными?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Неужели можно не использовать СКЗИ?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Еще четыре сценария
Обезличивание
• Обезличивание из
персональных данных
делает неперсональные
• Они выпадают из под
ФЗ-152
• Не требуется даже
конфиденциальность
Оператор связи
• Оператор связи по
закону «О связи»
обязан обеспечивать
тайну связи
• Почему бы в договоре с
оператором явно не
прописать обязанность
обеспечить
конфиденциальность
всех передаваемых
данных, включая и ПДн
Оптика
• Снять информацию с
оптического канала
связи возможно, но
непросто и недешево
• Почему бы не
зафиксировать в
модели угроз
соответствующую
мысль
Виртуальные сети
• Для защиты от
несанкционированного
доступа на сетевом
уровне могут
применяться различные
технологии; не только
шифрование
• Например, MPLS,
обеспечивающая
разграничение доступа
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Финальный ответ от ФСБ
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Правоприменительная практика в области выполнения мер
защиты ПДн отсутствует – у регуляторов нет полномочий
• Подходы к защите ПДн в GDPR и ФЗ-152 схожи
• Гибкий выбор защитных мер в соответствие с лучшими
практиками (ISO, CEH, Пр21 и др.)
• Приказ ФСТЭК №21 является хорошим каталогом защитных мер,
признаваемый российским регулятором в области защиты ПДн
• Средства защиты ПДн могут быть любыми, исключая особое
мнение ФСБ касательно средств шифрования
Выводы
Спасибо!

Mais conteúdo relacionado

Mais procurados

Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 

Mais procurados (20)

Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 

Semelhante a Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operatorsAleksey Lukatskiy
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Cisco Russia
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Cisco Russia
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностиIvan Simanov
 
Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?1С-Битрикс
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Expolink
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьAlexandra9123
 
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗValery Bychkov
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
 

Semelhante a Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 (20)

Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗ
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 

Mais de Aleksey Lukatskiy

Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

Mais de Aleksey Lukatskiy (13)

Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152

  • 1. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Техническая защита персональных данных Как соблюсти GDPR и ФЗ-152
  • 2. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Готовность к GDPR? 59% 29% 9% 3% Готовы Готовы через < 1 год Готовы через > 1 год GDPR не применим
  • 3. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Готовность к GDPR по странам
  • 4. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы знали? Число пострадавших записей ПДн % тех, кто столкнулся с инцидентами % тех, кто имел ущерб > $500,000 Время простоя систем
  • 5. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Программа по защите персональных данных Политики и стандарты Идентификация и классификация Риски данных и зрелость организации Реагирование на инциденты Надзор и контроль Приватность Безопасность Повышение осведомленности
  • 6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Принимая во внимание уровень техники, расходы на осуществление и характер, объем, контекст и цели обработки, а также различные степени вероятности и тяжести рисков в отношении прав и свобод физических лиц, контроллер и процессор осуществляют соответствующие технические и организационные меры для обеспечения такого уровня безопасности, который соответствует рискам Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных GDPR ФЗ-152
  • 7. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Определение угроз безопасности ПДн 2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн 3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации 4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн 5. Учет машинных носителей ПДн 6. Обнаружение фактов несанкционированного доступа к ПДн и принятием мер 7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним 8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн 9. Контроль за принимаемыми мерами по обеспечению безопасности ПДнд и уровня защищенности ИСПДн GDPR ФЗ-152 1. Псевдонимизация и шифрование персональных данных 2. Способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг, связанных с обработкой 3. Способность своевременно восстанавливать доступность и доступ к персональным данным в случае возникновения физического или технического инцидента 4. Процесс для регулярного тестирования, оценки эффективности технических и организационных мер с целью оценки уверенности в безопасности обработки Ст.19Ст.32
  • 8. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 элемента безопасности персональных данных ИБ инфраструктуры Обеспечение «классической» ИБ (МСЭ, IPS, EDR, контроль доступа и т.п.), но в распределенной среде ИБ управления данными Обеспечение безопасного хранения данных и регистрация доступа к ним на всех этапах жизненного цикла данных Целостность и реактивная ИБ Мониторинг ИБ, включая реагирование на инциденты и расследование их Privacy Все аспекты выполнения законодательных и отраслевых требований по обеспечению приватности данных * - у всех участников процесса
  • 9. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Меры безопасности зависят от актуальных угроз 2. Защита может быть реализована или с помощью лицензиата ФСТЭК 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует, но есть базовый (рекомендуемый) набор 5. Установлены обязательные требования по защитным мерам ПДн, допускающие гибкий их выбор (каталог мер защиты) – приказ ФСТЭК №21 6. Требования по оценке соответствия средств защиты обязательны, в отличие от сертификации GDPR ФЗ-152 1. Меры безопасности зависят от актуальных рисков 2. Защита может быть реализована или с помощью внешней организации 3. Защитные меры определяются самостоятельно 4. Минимальный набор защитных мер в явной форме отсутствует 5. Методические рекомендации по защитным мерам ПДн отсутствуют, исключая советы национальных DPA или международные/региональные стандарты (ISO 270xx, ISO 290xx, CEH, ENISA и т.д.) 6. Требования по оценке соответствия средств защиты отсутствуют
  • 10. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Каталог защитных мер ПДн от ФСТЭК Защитная мера ПДн Идентификация и аутентификация субъектов доступа и объектов доступа + Управление доступом субъектов доступа к объектам доступа + Ограничение программной среды + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + Регистрация событий безопасности + Антивирусная защита + Обнаружение (предотвращение) вторжений + Контроль (анализ) защищенности персональных данных + Обеспечение целостности информационной системы и КИ + Обеспечение доступности персональных данных + Защита среды виртуализации + Защита технических средств + Защита информационной системы, ее средств, систем связи и передачи данных +
  • 11. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Каталог защитных мер ПДн от ФСТЭК Защитная мера ПДн Управление инцидентами + Управление конфигурацией информационной системы и системы защиты КИ + Безопасная разработка прикладного и специального программного обеспечения разработчиком Управление обновлениями программного обеспечения Планирование мероприятий по обеспечению защиты информации Обеспечение действий в нештатных (непредвиденных) ситуациях Информирование и обучение пользователей Анализ угроз безопасности информации и рисков от их реализации
  • 12. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в системе защиты ПДн, включает • определение базового набора мер • адаптацию базового набора мер с учетом структурно- функциональных характеристик ИСПДн, ИТ, особенностей функционирования ИСПДн • уточнение адаптированного базового набора с учетом не выбранных ранее мер • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн дополнительными мерами, установленными иными нормативными актами Как определяются защитные меры? Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  • 13. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных Оценка соответствия средств защиты
  • 14. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСТЭК
  • 15. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом • Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя А что у нас с шифрованием? Законы Конфиденциальность Шифрование НПА регуляторов
  • 16. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: • Не раскрывать ПДн третьим лицам • Не распространять ПДн без согласия субъекта персональных данных • Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… • Ст.19 ФЗ-152 требует не шифрования
  • 17. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи • Использовать соответствующие механизмы защиты от НСД, исключая шифрование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн Как обеспечить конфиденциальность ПДн?
  • 18. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные • Никаких оговорок про выполнение требований законодательства • Никакой защиты передаваемых данных • Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам? Как поступает сама ФСБ?
  • 19. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
  • 20. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН собирает персональные данные через форму обратной связи на своем сайте • Стандартная оговорка о соблюдении законодательства в области персональных данных • Никакой защиты передаваемых данных • Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам? Как поступает РКН?
  • 21. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности • У вас есть выбор – или соглашаться, или не использовать соответствующий сервис • Шифрование в таком случае не нужно Как поступает РКН - 2? Ответ Роскомнадзора
  • 22. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно А если сделать их общедоступными?
  • 23. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Неужели можно не использовать СКЗИ?
  • 24. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Еще четыре сценария Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  • 25. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Финальный ответ от ФСБ
  • 26. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • Правоприменительная практика в области выполнения мер защиты ПДн отсутствует – у регуляторов нет полномочий • Подходы к защите ПДн в GDPR и ФЗ-152 схожи • Гибкий выбор защитных мер в соответствие с лучшими практиками (ISO, CEH, Пр21 и др.) • Приказ ФСТЭК №21 является хорошим каталогом защитных мер, признаваемый российским регулятором в области защиты ПДн • Средства защиты ПДн могут быть любыми, исключая особое мнение ФСБ касательно средств шифрования Выводы