Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ПДн. Лучшие практики ENISA по защите персональных данных

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(8)
()

Год с небольшим назад Агенство по безопасности сетей и информации Евросоюза (European Union Agency for Network and Information Security) выпустили руководства для малых и средних компаний (SME) по защите персональных данных.


Во вступлении написано, что крупные компании при обеспечении безопасности персональных данных в рамках GDPR могут использовать риск ориентированный подход, придумывать собственные методики анализа, рассматривать сотни угроз и самостоятельно подбирать контрмеры для каждой угрозы. Но малые и средние компании как правило не имеют достаточной экспертизы и ресурсов, чтобы провести такой подробный анализ, а ведь SME составляет 99% от общего количества операторов персональных данных.


Для того чтобы помочь малым и средним компаниям выполнить требования GDPR по безопасности по упрощенной схеме и при этом сохранить риск-ориентированный подход и адаптацию мер защиты под особенности обработки данных, ENISA и выпустила данное руководства (guidelines). Давайте посмотрим на самое интересно из них:


1.       На первом этапе предлагается определить уровень риска. Для этого нужно:

·         Определить процессы обработки ПДн и их особенности, а именно ответить на следующие вопросы:

                                                                          i.      В каких процессах обрабатываются ПДн (для разных процессов можно сделать разную оценку)?

                                                                         ii.      Какие типы ПДн?

                                                                       iii.      Цели обработки?

                                                                       iv.      Какие системы и технические средства участвуют в обработке

                                                                         v.      В каких местах (странах) происходит обработка

                                                                       vi.      Данный каких категорий субъектов ПДн обрабатываются

                                                                     vii.      Кто получатели обработанных данных?

·         Оценить возможный ущерб по упрощенной схеме – в совокупности оценить возможный ущерб по шкале из 4 значений для нарушений целостности, доступности и конфиденциальности ПДн (от low до very high)


·         Определить суммарную вероятность угрозы по упрощенной схеме – все угрозы объединены в 4 блока по объектам угроз:

                                                                          i.      Сетевые и технические ресурсы

                                                                         ii.      Процессы обработки информации

                                                                       iii.      Персонал и третьи лица участвующие в обработке

                                                                       iv.      Отрасли и масштаб бизнеса привлекательные для киберпреступников

Вероятность угроз предлагается оценить по шкале от Low до High, ответив на 5 вопросов по каждому блоку, например:

                                                                          i.            Обработка ПДн осуществляется с передачей через сеть Интернет?

                                                                         ii.            Возможен доступ из сети Интернет к внутренним системам?

                                                                       iii.            ИСПДн взаимодействует с другими системами?

                                                                       iv.            Могут ли посторонние лица легко получить доступ к ИТ инфраструктуре?

                                                                         v.            ИСПДн разрабатывалась или создавалась без учета лучших практик (стандартов) по безопасности?

Просто суммируя количество вопросов, с ответами “да” и “нет” мы получаем итоговую оценку вероятности угроз.


·         Определить степень риска по простой формуле


2.       На втором этапе нужно выбрать из базового каталога мер защиты – меры исходя из нашей степени риска. Без всякого анализа – просто берем меры нужного цвета.



Не показалось что вы уже видели раньше нечто подобное?

Ба – да это же более упрощенная версия методики ФСТЭК по моделированию угроз + приказ ФСТЭК 17/21/31 с базовым набором контрмер + ПП 1119 по установлению уровня защищенности.  Та же оценка исходной защищенности -> определение вреда -> определение вероятности угроз.  Только по ENISA не нужно оценивать каждую частную угрозу и подбирать ей контрмеры, вместо этого просто применяем лучшие практики одного из 3х наборов.

  

Вывод 1: В свое время представители крупных операторов критиковали ФСТЭК за негибкий подход в документах. ENISA выбрали более простой подход. Хотя он и проигрывает в гибкости, но позволяет использовать данные руководства даже в организациях с самыми небольшими компетенциями в БИ.


Вывод 2: Российские компании выполнившие требования ПП 1119 и документов ФСТЭК будут одновременно соответствовать и рекомендациям ENISA. Ну может с небольшим дополнением по составу мер защиты. Но подходы схожие и выбирать меры по ENISA гораздо проще.


Кстати подход с перечнем простых вопросов мы уже достаточно давно отрабатываем в системе DocShell – отвечаешь на ряд вопросов, а экспертная система сама проводит аналитику, определяет актуальные угрозы, контрмеры и готовит необходимые документы. Как показала практика это хорошо работает в организациях с небольшим уровнем компетенций в БИ.  



Но ENISA на этом руководстве не остановилась. Как оказалось, даже по такой простой методике у операторов есть проблемы с определением уровня вреда (Impact) и совокупной вероятности атак (Probablity) ох уж эти глупые европейцы. Несколько месяцев назад они выпустили ещё один документ, в этот раз справочник по безопасности обработки ПДн (Handbook on Security of PersonalData Processing). По сути в нем приведены 13 типовых организаций из разных отраслей, и для каждой приводится анализ в соответствии с руководством (Guidelines for SMEs on the security of personal data processing) – как отвечали на вопросы, как считали ущерб, как считали вероятность угроз и какой итоговый уровень риска.


Для вас я выбрал наиболее ценную итоговую информацию:


Use case (тип процесса обработки ПДн)

Ущерб

Вероятность

Итоговый уровень риска

Платежи персоналу и отчетность (payroll management)

Medium

Low

Medium

Найм персонала (reqruitment)

Medium

Low

Medium

Управление персоналом – оценка и развитие персонала (еvaluation of employees)

Medium

Medium

Medium

Заказ и доставка товаров (Order and delivery of goods)

Medium

Medium

Medium

Маркетинг для потенциальных заказчиков (Marketing/advertising)

Low

Medium

Low

Работа с поставщиками товаров и услуг (Suppliers of services and goods)

Low

Low

Low

Контроль доступа на территорию и в помещения (Access control)

Low

Low

Low

Системы охранного видеонаблюдения (Closed Circuit Television System)

Low

Low

Low

Оказание медицинских услуг (Health Services Provision)

High

High

High

Услуги по искусственному оплодотворению (Medically Assisted Procreation)

High

Medium

High

Удаленный мониторинг пациентов (Remote monitoring of patients with chronic diseases)

High

High

High

Дошкольное образование (Early childhood)

Medium

Medium

Medium

Дистанционное высшее образование (University e-learning platform)

Medium

Medium

Medium


Что тут сказать – это отлично, когда регулятор видит сложности у своих подопечных и старается максимально доступными способами донести информацию.


Другие статьи по теме Лучших практик.



Оцените материал:
Total votes: 128
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Противоречивые чувства.

1. Хорошо, что есть софтина, которая может помочь разгрести проблемы с требованиями!!! 

2. Плохо, что в приведенных руководствах нет важной вещи. Посему это все "воздушные фантазии" и полгой отдачи от этого не будет. Странно, что это всегда пролетает мимо и никто не реагирует)))) 

3. Мне эта тема напомнила начало переложения с бумаг на е-вид наследия по "закрытому" (не могу термин подобрать) делопроизводству "родом из СССР". Страху нагнали, а теперь расхлебываем (в приложению к смб).

 

up
10 users have voted.
Аватар пользователя SergeyBorisov

А я к европейскому упрощенному подходу отношусь следующим образом: это фактически базовые нормы гигиены в области безопасности информации (по крайне мере для low risk - это точно базовые, меньше уже некуда) и их нужно выполнять ВСЕМ организациям. 

Ну вот не доходит до некоторых руководителей что хотя бы базовые меры нужны ВСЕМ. Вот и приходится их из под палки загонять ... 

up
8 users have voted.
Аватар пользователя riskmn

Сергей, все намного печальнее. У нас в РФ те, у ког есть хоть что-нибудь для реальной сохранности - те как-то  и что-то делают. даже не зная базовых принципов они сами к подобным решениям приближаются (на то они и базовые, что оптимально и лучше не придумать). Но, это только для больших компаний национального уровня. Там боссов уже давно запугали страшилками и они давно отмахнулись - вот деньги делайте и отстаньте...

В смб все иначе:

1. Там никого не запугать и "из под палки" никуда не загнать. Малый бизнес на таком подсосе живет, что на эти страшилки просто денег нет(((

2. Дальше - еще смешнее. Там нечего ни защищать ни безопасить!!! Это тема не их уровня.

3. Вы пишите о "безопасности информации"?! Я этого не понимаю. Информацию можно защитить - это логчно, а безопасность можно обеспечить только человеку. Любая игра слов (о Великий и Всемогущий Русский язык) только наносит вред и запутывает всю систему.

up
9 users have voted.
Аватар пользователя SergeyBorisov

Согласен что ЗИ более точно отражает смысл чем БИ. Тут наверное сила привычки и устоявшаяся терминология сказывается. 

Да и в оригинальных документах: information security и data protection наравне используются... 

up
9 users have voted.
Аватар пользователя riskmn

Не привычки, а безграмотности. Если Вы знаете историю становления ЗИ и ИБ (откуда вмсе на рынке пошло), тогда должны понимать, что сначала (начало 90-х) активно использовался термин ЗИ... Потом, когда его подвыхолостили, да и лидерство "Защиты информации" всем мешало, то появилось новое название ИБ(((. На рынке было мало серьезных профи, а в пустоту активно поперли (извините другое слово не отразит и сути) все, кто умел компьютер включать и менять батарейки в пультах. 

Это не случайность и не сила привычки - это безграмотность и псевдо маркетинговые ходы. "Безопасность" предлагать выгоднее))))

А доки пишут такие же "грамотеи"....... им поевать на кривизну.

up
14 users have voted.
Аватар пользователя SergeyBorisov

На счет того что нечего защищать в малых компаниях, это не совсем верно. Многие ИТ стартапы, новые сервисы способны обрабатывать приличные объемы данных, при этом создаются и администрируются маленькой командой. 

Но базовые правила на то и базовые, что нужны всем. Даже малым и средним компаниям. И меры для них будут не такие уж дорогие.

И между прочим для SMB в продвинутом демократическом евросоюзе никто не планирует делать исключений -  защать данные обязаны все. Но регулятор говорит что будет всячески помогать SMB, выпускать бесплатные гайды и тулзы, проводить семинары, вебинары и помогать защитить информацию минимальными средствами...  

 

up
8 users have voted.
Аватар пользователя riskmn

Сергей, я совсем не о том!!!

Набор постулатов:

1. В смб нЕчего защищать (в 90% фирмочек и компашек)! Хотите возразить - можно обсудить. Я имею опыт работ в компаниях от 3 человек до 170 тысяч(((( Извините - только печальный опыт для смб (под СМБ - я понимаю до 100 человек и оборот до 200 млн рублей в год).

2. Базовые правила нужны, но они ничего не стоят!!!))) На них лавки по ИБ не заработают ничего. Первое - не стоят, второе -  ни один хозяин платить за это не будет!!!

3. В EU  и в USA - совершенно другая ситуация, и сравнивать с нами - просто ошибка (мы передираем оттуда все на себя, а не ложится все гладко на наши угловатые традиции). Покажите мне сапожника в европе или молочника или заправщика на частной колонке которые занимаются ИБ..... Сам понимаю, что смешно, но это я только отвечаю на Вашу реплику. Что можно делать в пятом экономическом укладе, что пока еще рано начинать в четвертом!!!

4. Помощь регулятора - достойное занятие. Зайдите в любой большой магазлин рядом с домом или офис-центр или на продовольственный рынок, в маленький продуктовый или парикмахерскую и спросите у сотрудников про бесплатные решения и семинары (про гайды и тузлы) от регулятора по ИБ! Как думаете сколько человек Вам ответит положительно?

5. А про "помогать защитить инфрмацию" - отдельная песня. В чем будет помощь - это я примерно догадываюсь))) А в чем конкретная помгощь? Можете назвать кого-нибудь из смб кому регулятор реально помог (решил их проблемы ЗИ или ИБ) и снил напрочь головную боль? Такого быть не можен - они эти задачи не решают (нет у них этого в обязанностях), к сожалению....

up
15 users have voted.
Аватар пользователя Атаманов Геннадий

Сергей, при кажущейся похожести подходы у нас и там - две большие разницы. А если быть точным - абсолютно противоположны. Это вытекает, скорее всего, из прямо противоположных задач, стоящих перед регуляторами: там - помогать бизнесу, здесь - контролировать бизнес и зарабатывать на нём. 

С Михаилом согласен на все 157%. Сам писал и 5, и 10 лет назад, что регулятору нужно менять подходы. Он должен разрабатывать простые в понимании, практически реализуемые и малозатратные (лучше бесплатные) технологии по принципу "бери и делай", а не упражняться в словоблудии и рожать драконовскую ахинейщину. 

up
11 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.