ПДн. Лучшие практики ENISA по защите персональных данных

ПДн. Лучшие практики ENISA по защите персональных данных

Год с небольшим назад Агенство по безопасности сетей и информации Евросоюза (European Union Agency for Network and Information Security) выпустили руководства для малых и средних компаний (SME) по защите персональных данных.

Во вступлении написано, что крупные компании при обеспечении безопасности персональных данных в рамках GDPR могут использовать риск ориентированный подход, придумывать собственные методики анализа, рассматривать сотни угроз и самостоятельно подбирать контрмеры для каждой угрозы. Но малые и средние компании как правило не имеют достаточной экспертизы и ресурсов, чтобы провести такой подробный анализ, а ведь SME составляет 99% от общего количества операторов персональных данных.

Для того чтобы помочь малым и средним компаниям выполнить требования GDPR по безопасности по упрощенной схеме и при этом сохранить риск-ориентированный подход и адаптацию мер защиты под особенности обработки данных, ENISA и выпустила данное руководства (guidelines). Давайте посмотрим на самое интересно из них:

1.       На первом этапе предлагается определить уровень риска. Для этого нужно:
·         Определить процессы обработки ПДн и их особенности, а именно ответить на следующие вопросы:
                                                                          i.      В каких процессах обрабатываются ПДн (для разных процессов можно сделать разную оценку)?
                                                                         ii.      Какие типы ПДн?
                                                                       iii.      Цели обработки?
                                                                       iv.      Какие системы и технические средства участвуют в обработке
                                                                         v.      В каких местах (странах) происходит обработка
                                                                       vi.      Данный каких категорий субъектов ПДн обрабатываются
                                                                     vii.      Кто получатели обработанных данных?
·         Оценить возможный ущерб по упрощенной схеме – в совокупности оценить возможный ущерб по шкале из 4 значений для нарушений целостности, доступности и конфиденциальности ПДн (от low до very high)

·         Определить суммарную вероятность угрозы по упрощенной схеме – все угрозы объединены в 4 блока по объектам угроз:
                                                                          i.      Сетевые и технические ресурсы
                                                                         ii.      Процессы обработки информации
                                                                       iii.      Персонал и третьи лица участвующие в обработке
                                                                       iv.      Отрасли и масштаб бизнеса привлекательные для киберпреступников
Вероятность угроз предлагается оценить по шкале от Low до High, ответив на 5 вопросов по каждому блоку, например:
                                                                          i.            Обработка ПДн осуществляется с передачей через сеть Интернет?
                                                                         ii.            Возможен доступ из сети Интернет к внутренним системам?
                                                                       iii.            ИСПДн взаимодействует с другими системами?
                                                                       iv.            Могут ли посторонние лица легко получить доступ к ИТ инфраструктуре?
                                                                         v.            ИСПДн разрабатывалась или создавалась без учета лучших практик (стандартов) по безопасности?
Просто суммируя количество вопросов, с ответами “да” и “нет” мы получаем итоговую оценку вероятности угроз.

·         Определить степень риска по простой формуле

2.       На втором этапе нужно выбрать из базового каталога мер защиты – меры исходя из нашей степени риска. Без всякого анализа – просто берем меры нужного цвета.


Не показалось что вы уже видели раньше нечто подобное?
Ба – да это же более упрощенная версия методики ФСТЭК по моделированию угроз + приказ ФСТЭК 17/21/31 с базовым набором контрмер + ПП 1119 по установлению уровня защищенности.  Та же оценка исходной защищенности -> определение вреда -> определение вероятности угроз.  Только по ENISA не нужно оценивать каждую частную угрозу и подбирать ей контрмеры, вместо этого просто применяем лучшие практики одного из 3х наборов.
  
Вывод 1: В свое время представители крупных операторов критиковали ФСТЭК за негибкий подход в документах. ENISA выбрали более простой подход. Хотя он и проигрывает в гибкости, но позволяет использовать данные руководства даже в организациях с самыми небольшими компетенциями в БИ.

Вывод 2: Российские компании выполнившие требования ПП 1119 и документов ФСТЭК будут одновременно соответствовать и рекомендациям ENISA. Ну может с небольшим дополнением по составу мер защиты. Но подходы схожие и выбирать меры по ENISA гораздо проще.

Кстати подход с перечнем простых вопросов мы уже достаточно давно отрабатываем в системе DocShell – отвечаешь на ряд вопросов, а экспертная система сама проводит аналитику, определяет актуальные угрозы, контрмеры и готовит необходимые документы. Как показала практика это хорошо работает в организациях с небольшим уровнем компетенций в БИ.  


Но ENISA на этом руководстве не остановилась. Как оказалось, даже по такой простой методике у операторов есть проблемы с определением уровня вреда (Impact) и совокупной вероятности атак (Probablity) ох уж эти глупые европейцы. Несколько месяцев назад они выпустили ещё один документ, в этот раз справочник по безопасности обработки ПДн ( Handbook on Security of PersonalData Processing ). По сути в нем приведены 13 типовых организаций из разных отраслей, и для каждой приводится анализ в соответствии с руководством (Guidelines for SMEs on the security of personal data processing) – как отвечали на вопросы, как считали ущерб, как считали вероятность угроз и какой итоговый уровень риска.

Для вас я выбрал наиболее ценную итоговую информацию:

Use case (тип процесса обработки ПДн)
Ущерб
Вероятность
Итоговый уровень риска
Платежи персоналу и отчетность (payroll management)
Medium
Low
Medium
Найм персонала (reqruitment)
Medium
Low
Medium
Управление персоналом – оценка и развитие персонала (еvaluation of employees)
Medium
Medium
Medium
Заказ и доставка товаров (Order and delivery of goods)
Medium
Medium
Medium
Маркетинг для потенциальных заказчиков (Marketing/advertising)
Low
Medium
Low
Работа с поставщиками товаров и услуг (Suppliers of services and goods)
Low
Low
Low
Контроль доступа на территорию и в помещения (Access control)
Low
Low
Low
Системы охранного видеонаблюдения (Closed Circuit Television System)
Low
Low
Low
Оказание медицинских услуг (Health Services Provision)
High
High
High
Услуги по искусственному оплодотворению (Medically Assisted Procreation)
High
Medium
High
Удаленный мониторинг пациентов (Remote monitoring of patients with chronic diseases)
High
High
High
Дошкольное образование (Early childhood)
Medium
Medium
Medium
Дистанционное высшее образование (University e-learning platform)
Medium
Medium
Medium

Что тут сказать – это отлично, когда регулятор видит сложности у своих подопечных и старается максимально доступными способами донести информацию.

Другие статьи по теме Лучших практик .


Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.