ПДн. Лучшие практики ENISA по защите персональных данных

Год с небольшим назад Агенство по безопасности сетей и информации Евросоюза (European Union Agency for Network and Information Security) выпустили руководства для малых и средних компаний (SME) по защите персональных данных.

Во вступлении написано, что крупные компании при обеспечении безопасности персональных данных в рамках GDPR могут использовать риск ориентированный подход, придумывать собственные методики анализа, рассматривать сотни угроз и самостоятельно подбирать контрмеры для каждой угрозы. Но малые и средние компании как правило не имеют достаточной экспертизы и ресурсов, чтобы провести такой подробный анализ, а ведь SME составляет 99% от общего количества операторов персональных данных.

Для того чтобы помочь малым и средним компаниям выполнить требования GDPR по безопасности по упрощенной схеме и при этом сохранить риск-ориентированный подход и адаптацию мер защиты под особенности обработки данных, ENISA и выпустила данное руководства (guidelines). Давайте посмотрим на самое интересно из них:

1.       На первом этапе предлагается определить уровень риска. Для этого нужно:

·         Определить процессы обработки ПДн и их особенности, а именно ответить на следующие вопросы:

                                                                          i.      В каких процессах обрабатываются ПДн (для разных процессов можно сделать разную оценку)?

                                                                         ii.      Какие типы ПДн?

                                                                       iii.      Цели обработки?

                                                                       iv.      Какие системы и технические средства участвуют в обработке

                                                                         v.      В каких местах (странах) происходит обработка

                                                                       vi.      Данный каких категорий субъектов ПДн обрабатываются

                                                                     vii.      Кто получатели обработанных данных?

·         Оценить возможный ущерб по упрощенной схеме – в совокупности оценить возможный ущерб по шкале из 4 значений для нарушений целостности, доступности и конфиденциальности ПДн (от low до very high)

·         Определить суммарную вероятность угрозы по упрощенной схеме – все угрозы объединены в 4 блока по объектам угроз:

                                                                          i.      Сетевые и технические ресурсы

                                                                         ii.      Процессы обработки информации

                                                                       iii.      Персонал и третьи лица участвующие в обработке

                                                                       iv.      Отрасли и масштаб бизнеса привлекательные для киберпреступников

Вероятность угроз предлагается оценить по шкале от Low до High, ответив на 5 вопросов по каждому блоку, например:

                                                                          i.            Обработка ПДн осуществляется с передачей через сеть Интернет?

                                                                         ii.            Возможен доступ из сети Интернет к внутренним системам?

                                                                       iii.            ИСПДн взаимодействует с другими системами?

                                                                       iv.            Могут ли посторонние лица легко получить доступ к ИТ инфраструктуре?

                                                                         v.            ИСПДн разрабатывалась или создавалась без учета лучших практик (стандартов) по безопасности?

Просто суммируя количество вопросов, с ответами “да” и “нет” мы получаем итоговую оценку вероятности угроз.

·         Определить степень риска по простой формуле

2.       На втором этапе нужно выбрать из базового каталога мер защиты – меры исходя из нашей степени риска. Без всякого анализа – просто берем меры нужного цвета.

Не показалось что вы уже видели раньше нечто подобное?

Ба – да это же более упрощенная версия методики ФСТЭК по моделированию угроз + приказ ФСТЭК 17/21/31 с базовым набором контрмер + ПП 1119 по установлению уровня защищенности.  Та же оценка исходной защищенности -> определение вреда -> определение вероятности угроз.  Только по ENISA не нужно оценивать каждую частную угрозу и подбирать ей контрмеры, вместо этого просто применяем лучшие практики одного из 3х наборов.

  

Вывод 1: В свое время представители крупных операторов критиковали ФСТЭК за негибкий подход в документах. ENISA выбрали более простой подход. Хотя он и проигрывает в гибкости, но позволяет использовать данные руководства даже в организациях с самыми небольшими компетенциями в ЗИ.

Вывод 2: Российские компании выполнившие требования ПП 1119 и документов ФСТЭК будут одновременно соответствовать и рекомендациям ENISA. Ну может с небольшим дополнением по составу мер защиты. Но подходы схожие и выбирать меры по ENISA гораздо проще.

Кстати подход с перечнем простых вопросов мы уже достаточно давно отрабатываем в системе DocShell – отвечаешь на ряд вопросов, а экспертная система сама проводит аналитику, определяет актуальные угрозы, контрмеры и готовит необходимые документы. Как показала практика это хорошо работает в организациях с небольшим уровнем компетенций в ЗИ.  

Но ENISA на этом руководстве не остановилась. Как оказалось, даже по такой простой методике у операторов есть проблемы с определением уровня вреда (Impact) и совокупной вероятности атак (Probablity) ох уж эти глупые европейцы. Несколько месяцев назад они выпустили ещё один документ, в этот раз справочник по безопасности обработки ПДн (Handbook on Security of PersonalData Processing). По сути в нем приведены 13 типовых процессов обработки ПДн из разных отраслей, и для каждой приводится анализ в соответствии с руководством (Guidelines for SMEs on the security of personal data processing) – как отвечали на вопросы, как считали ущерб, как считали вероятность угроз и какой итоговый уровень риска.

Для вас я выбрал наиболее ценную итоговую информацию:

Use case (тип процесса обработки ПДн)	Ущерб	Вероятность	Итоговый уровень риска
Платежи персоналу и отчетность (payroll management)	Medium	Low	Medium
Найм персонала (reqruitment)	Medium	Low	Medium
Управление персоналом – оценка и развитие персонала (еvaluation of employees)	Medium	Medium	Medium
Заказ и доставка товаров (Order and delivery of goods)	Medium	Medium	Medium
Маркетинг для потенциальных заказчиков (Marketing/advertising)	Low	Medium	Low
Работа с поставщиками товаров и услуг (Suppliers of services and goods)	Low	Low	Low
Контроль доступа на территорию и в помещения (Access control)	Low	Low	Low
Системы охранного видеонаблюдения (Closed Circuit Television System)	Low	Low	Low
Оказание медицинских услуг (Health Services Provision)	High	High	High
Услуги по искусственному оплодотворению (Medically Assisted Procreation)	High	Medium	High
Удаленный мониторинг пациентов (Remote monitoring of patients with chronic diseases)	High	High	High
Дошкольное образование (Early childhood)	Medium	Medium	Medium
Дистанционное высшее образование (University e-learning platform)	Medium	Medium	Medium

Что тут сказать – это отлично, когда регулятор видит сложности у своих подопечных и старается максимально доступными способами донести информацию.

Другие статьи по теме Лучших практик.