ПДн. Лучшие практики ENISA по защите персональных данных

Книги по персональным данным

Добрый день, дорогие читатели! 19 октября я защитила кандидатскую диссертацию и теперь веду блог уже как кандидат технических наук. Надеюсь это обстоятельство повлияет на качество заметок :)  О своем опыте защиты и написания диссертации я напишу чуть позже, а сегодня хотела бы поделиться с вами списком интересных книг по персональным данным. Речь пойдет о книгах, посвященных вопросам российского законодательства в области персональных данных. 

Вот, что удалось найти из более-менее свежей литературы (после 2020 года):

  1. А.И. Савельев, Научно-практический постатейный комментарий к Федеральному закону «О персональных данных», 2020 г. — 470 стр. Книга для изучения вопроса с юридической стороны.
  2. А. С. Дупан (Гутникова), Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет, 2020 г. — 440 стр. Монументальное исследование, много информации о зарубежном опыте.
  3. Михаил Брауде-Золотарев, Виталий Негородов, Евгения Сербина, Иван Волошкин, Персональные данные в государственных информационных ресурсах, 2020 г. — 60 стр.
  4. М. Ю. Рытов, В. И. Аверченков, Т. Р. Гайнулин, Защита персональных данных в организации,  2020 г. — 124 стр.
  5. Персональные данные работников организации и их защита — К.М. Саматов, 2020 г. — 90 стр.
  6. Федеральный закон «О персональных данных»: научно-практический комментарий. Под редакцией А.А. Приезжевой, 2020 г. – 177 стр. От коллектива Роскомнадзора.
  7. Сабанов А.Г., Зыков В.Д., Мещеряков Р.В., Рылов С.П.,Шелупанов А.А., Защита персональных данных в организациях здравоохранения, 2020 г. — 206 стр.
  8. Борисов М., Особенности защиты персональных данных в трудовых отношениях, 2020 г. – 224 стр.

 Бесплатные:

  1. White Paper о ФЗ №152, 2020 г. — https:// www.cloud4y.ru/newsletter/Персональные_данные_WhitePaper_Cloud4Y.pdf.
  2. А.С. Исаев, Е.А. Хлюпина, Правовые основы организации защиты персональных данных,  2020 г.  — https://books.ifmo.ru/file/pdf/1570.pdf.
  3. Книга К. Шудрова «Персональные данные: что было, что будет, на чем сердце успокоится…», 2020 г. — https://drive.google.com/file/d/0B6P_r3uvsC07ZGhFTlZpTDBnMGc/view. Моя книга.

 А какие книги по защите персональных данных читаете Вы?

Пьер Огюст Ренуар. Читающая девочка. Источник

https://vk.com/kshudrova — подписывайтесь на официальную страницу ВК.

Пдн. лучшие практики enisa по защите персональных данных

ПДн. Лучшие практики ENISA по защите персональных данных

Год с небольшим назад Агенство по безопасности сетей и информации Евросоюза (European Union Agency for Network and Information Security) выпустили

руководства для малых и средних компаний

(

SME

) по защите персональных данных.

Во вступлении написано, что крупные компании при обеспечении безопасности персональных данных в рамках

GDPR

могут использовать риск ориентированный подход, придумывать собственные методики анализа, рассматривать сотни угроз и самостоятельно подбирать контрмеры для каждой угрозы. Но малые и средние компании как правило не имеют достаточной экспертизы и ресурсов, чтобы провести такой подробный анализ, а ведь

SME

составляет 99% от общего количества операторов персональных данных.

Для того чтобы помочь малым и средним компаниям выполнить требования

GDPR

по безопасности по упрощенной схеме и при этом сохранить риск-ориентированный подход и адаптацию мер защиты под особенности обработки данных,

ENISA

и выпустила данное руководства (

guidelines

). Давайте посмотрим на самое интересно из них:

1.      

На первом этапе предлагается определить уровень риска. Для этого нужно:

·        

Определить процессы обработки ПДн и их особенности, а именно ответить на следующие вопросы:

                                                                          i.     

В каких процессах обрабатываются ПДн (для разных процессов можно сделать разную оценку)?

                                                                       iv.     

Какие системы и технические средства участвуют в обработке

                                                                         v.     

В каких местах (странах) происходит обработка

                                                                       vi.     

Данный каких категорий субъектов ПДн обрабатываются

                                                                     vii.     

Кто получатели обработанных данных?

·        

Оценить возможный ущерб по упрощенной схеме – в совокупности оценить возможный ущерб по шкале из 4 значений для нарушений целостности, доступности и конфиденциальности ПДн (от

low

до

veryhigh

)

·        

Определить суммарную вероятность угрозы по упрощенной схеме – все угрозы объединены в 4 блока по объектам угроз:

                                                                          i.     

Сетевые и технические ресурсы

                                                                         ii.     

Процессы обработки информации

                                                                       iii.     

Персонал и третьи лица участвующие в обработке

                                                                       iv.     

Отрасли и масштаб бизнеса привлекательные для киберпреступников

Вероятность угроз предлагается оценить по шкале от

Low

до

High

, ответив на 5 вопросов по каждому блоку, например:

                                                                          i.           

Обработка ПДн осуществляется с передачей через сеть Интернет?

                                                                         ii.           

Возможен доступ из сети Интернет к внутренним системам?

                                                                       iii.           

ИСПДн взаимодействует с другими системами?

                                                                       iv.           

Могут ли посторонние лица легко получить доступ к ИТ инфраструктуре?

                                                                         v.           

ИСПДн разрабатывалась или создавалась без учета лучших практик (стандартов) по безопасности?

Просто суммируя количество вопросов, с ответами “да” и “нет” мы получаем итоговую оценку вероятности угроз.

·        

Определить степень риска по простой формуле

2.      

На втором этапе нужно выбрать из базового каталога мер защиты – меры исходя из нашей степени риска. Без всякого анализа – просто берем меры нужного цвета.

Не показалось что вы уже видели раньше нечто подобное?

Ба – да это же более упрощенная версия методики ФСТЭК по моделированию угроз приказ ФСТЭК 17/21/31 с базовым набором контрмер ПП 1119 по установлению уровня защищенности.

 

Та же оценка исходной защищенности -> определение вреда -> определение вероятности угроз.

 

Только по

ENISA

не нужно оценивать каждую частную угрозу и подбирать ей контрмеры, вместо этого просто применяем лучшие практики одного из 3х наборов.

Вывод 1:

 В свое время представители крупных операторов критиковали ФСТЭК за негибкий подход в документах. ENISA выбрали более простой подход. Хотя он и проигрывает в гибкости, но позволяет использовать данные руководства даже в организациях с самыми небольшими компетенциями в БИ.

Вывод 2:

Российские компании выполнившие требования ПП 1119 и документов ФСТЭК будут одновременно соответствовать и рекомендациям

ENISA

. Ну может с небольшим дополнением по составу мер защиты. Но подходы схожие и выбирать меры по

ENISA

гораздо проще.

Кстати подход с перечнем простых вопросов мы уже достаточно давно отрабатываем в системе

DocShell

– отвечаешь на ряд вопросов, а экспертная система сама проводит аналитику, определяет актуальные угрозы, контрмеры и готовит необходимые документы. Как показала практика это хорошо работает в организациях с небольшим уровнем компетенций в БИ.

 

Но

ENISA

на этом руководстве не остановилась. Как оказалось, даже по такой простой методике у операторов есть проблемы с определением уровня вреда (

Impact

) и совокупной вероятности атак (

Probablity

)

ох уж эти глупые европейцы

. Несколько месяцев назад они выпустили ещё один документ, в этот раз справочник по безопасности обработки ПДн (

Handbook on Security of PersonalData Processing

). По сути в нем приведены 13 типовых организаций из разных отраслей, и для каждой приводится анализ в соответствии с руководством (Guidelines for SMEs on the security of personal data processing) – как отвечали на вопросы, как считали ущерб, как считали вероятность угроз и какой итоговый уровень риска.

Для вас я выбрал наиболее ценную итоговую информацию:

Usecase (тип процесса обработки ПДн)

Платежи персоналу и отчетность (

payrollmanagement

)

Найм персонала (

reqruitment

)

Управление персоналом – оценка и развитие персонала (е

valuationofemployees

)

Заказ и доставка товаров (Order and delivery of goods)

Маркетинг для потенциальных заказчиков (

Marketing

/

advertising

)

Работа с поставщиками товаров и услуг

(Suppliers of services and goods)

Контроль доступа на территорию и в помещения (Access control)

Системы охранного видеонаблюдения (Closed Circuit Television System)

Оказание медицинских услуг (Health Services Provision)

Услуги по искусственному оплодотворению (Medically Assisted Procreation)

Удаленный мониторинг пациентов (Remote monitoring of patients with chronic diseases)

Дошкольное образование (

Early childhood

)

Дистанционное высшее образование (University e-learning platform)

Что тут сказать – это отлично, когда регулятор видит сложности у своих подопечных и старается максимально доступными способами донести информацию.

Понравилась статья? Поделиться с друзьями:
Юрист
Adblock
detector