SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных

Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
05.07.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  Слушать на Podcast Addict  |   Слушать на Pocket cast  |   

Руслан Рахметов, Security Vision

Как мы уже говорили в одной из прошлых частей данного цикла публикаций, тема защиты персональных данных актуальна во всем мире. Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.

Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.

Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-файлы, данные о геолокации пользователя и иные технические атрибуты.

Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.

Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.

Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС, при этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также быть за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:

  • российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС;

  • онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-файлы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR;

  • дочерняя структура российской компании, ведущая деятельность на территории ЕС.

Основой норм GDPR являются шесть базовых принципов:

  • законность, справедливость и прозрачность обработки - соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);

  • ограничение целей обработки - обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;

  • минимизация данных - обработка ровно такого объема ПДн, который требуется для достижения целей обработки;

  • точность - обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;

  • ограничение на хранение - после достижения цели обработки данные удаляются;

  • целостность и конфиденциальность - обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.

Документ не дает операторам детальных инструкций по защите, предоставляя им свободу выбора мер и техник. Например, следует, где это возможно, шифровать ПДн при хранении, передаче и обработке, а также использовать алгоритмы псевдонимизации, и это ожидаемо снизит потенциальный ущерб субъектам в случае утечки, но GDPR не приводит конкретных условий применения этих защитных мер. В этом европейский подход отличается от российского, в котором государственные органы четко регламентируют меры защиты и условия их применения, не надеясь на благоразумие операторов - и, надо с сожалением признать, весьма обоснованно.

Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:

  • субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн);

  • оператор должен производить оценку рисков нарушения прав и свобод субъектов ПДн (т.е. проводить Data Protection Impact Assessment);

  • оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн;

  • при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки);

  • согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий - оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов;

  • оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда:

o   обработка ПДн ведется публичной компанией

o   компания ведет систематическое профилирование большого количества субъектов ПДн

o   компания обрабатывает большой объем данных о судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях, биометрических и генетических данных, данных о состоянии здоровья);

  • оператор обязан в течение 72 часов уведомить локального представителя регулятора (supervisory authority, которые подчиняются Data Protection Authority - регулятору по вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPR-норм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты, прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.

Подкасты ИБ ГОСТы и документы ИБ Управление ИБ

Рекомендуем

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
SOAR-системы
SOAR-системы
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"

Рекомендуем

Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
SOAR-системы
SOAR-системы
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"

Похожие статьи

Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы

Похожие статьи

Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы