Методика защиты персональных данных с учетом требований регламента ЕС General Data Protection Regulation
о сч о сч
<0
Ларионова Светлана Львовна,
к.т.н., доцент кафедры «Информационная безопасность», Финансовый университет при Правительстве Российской Федерации, [email protected]
В статье приведена методика приведения в соответствие требованиям регламента GDPR технологических процессов обработки персональных данных российских организаций кредитно-финансовой сферы, сформирован типовой технологический процесс обработки персональных данных по требованиям законодательства ЕС, разработаны организационные и технические меры обеспечения необходимого уровня защищенности и разработан метод выбора наиболее эффективных средств обеспечения необходимого уровня защищенности. В работе исследованы требования регламента GDPR по защите информации и проведен дар-анализ требований ЕС с российским законодательством. Разработаны необходимые мероприятия для приведения в соответствие процессов обработки персональных данных. В соответствии с требованиями российского законодательства определен требуемый уровень защищенности систем обработки персональных данных в кредитно-финансовой сфере, сформирована модель угроз и рассмотрены необходимые меры и средства для его обеспечения. Для выбора средств защиты из альтернативных предложен метод оценки средств защиты на основе критерия Сэвиджа или Вальда.
Предложенная методика может быть использована кредитными организациями, которые осуществляют деятельность по оказанию услуг физическим лицам на территории ЕС или обрабатывающих персональные данные граждан ЕС в рамках оказания услуг третьим лицам, а также осуществляющим различные исследования, связанные с гражданами ЕС. Выполнение требований регламента GDPR особенно важно в связи с тем, что принятый регламент действует на территории всех стран ЕС. Предложенная методика позволяет организациям, обрабатывающим персональные данные, обеспечить необходимое документационное доказательство обеспечения уровня защищенности при обработке персональных данных граждан ЕС, без которого не возможно взаимодействие и ведение кредитно-финансовой деятельности с контрагентами на территории ЕС. Ключевые слова: защита информации, защита персональных данных, уровень защищенности данных, риски нарушения безопасности, требования регламента GDPR.
О Ш
m х
Введение
Организации, ведущие деятельность на территории других государств или ведущие бизнес с иностранными организациями, должны учитывать законодательство этих стран.
В 2018 году был принят важны законодательный акт, который действует на территории всех стран Европейского Союза - регламент (ЕС) 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Общий Регламент о защите персональных данных — General Data Protection Regulation (GDPR))(далее - Регламент GDPR)[1]. Этот документ имеет важное значение прежде всего для организаций кредитно-финансовой сферы, т.к. определяет единый набор требований, применяемых к операторам, обрабатывающим персональные данные (далее - ПДн) граждан Евросоюза. Для предоставления услуг на территории ЕС или граждан ЕС, например, при переводе денежных средств, необходимо подтвердить выполнение требований указанного выше регламента ЕС. Контрагенты требуют, чтобы были предоставлены доказательства обеспечения необходимого уровня защищенности персональных данных и выполнения требования регламента GDPR. В случае невыполнения деятельность по операциям физических лиц на территории ЕС будет невозможна, т.к. штрафы за утечку персональных данных достигают 20 миллионов евро.
В связи с изложенным актуальным является цель разработки методики защиты персональных данных с учетом требований обеспечения необходимого уровня защищенности регламента GDPR .
Для достижения цели работы были решены следующие задачи:
1. проанализированы требования регламента GDPR и разработан типовой технологический процесс безопасной обработки ПДн;
2. разработаны меры и средства защиты персональных данных для учета требований регламента;
3. сформирована модель угроз персональных данных при обработке в ритейловой кредитной организации;
4. разработан метод выбора средств защиты персональных данных из альтернативных.
Разработанная методика может быть использована компаниями-операторами ПДн в качестве основы для приведения в соответствие законодательству ЕС технологических процессов обработки персональных данных.
<
m о х
X
Материалы и методы
Для разработки единого процесса защиты информации при обработке персональных данных проведен дар-анализ требований российского законодательства и Регламента ЕС с целью определения требований, по которым должны быть выработаны дополнительные меры
безопасности, не предусмотренные нормативными документами РФ. В работе был исследован типовой технологический процесс крупного ритейлового банка.
Для разработки комплекса мер защиты были изучены требования и рекомендации регуляторов в области защиты информации, а также опыт ведущих организаций в области защиты информации.
Модель угроз персональных данных разрабатывалась с учетом предлагаемых регуляторами моделей угроз ПДн и анализа инфраструктуры и процессов обработки и хранения информации в крупном ритейловом банке, обрабатывающего ПДн. На базе представленной модели угроз оператор по своей методике должен провести оценку рисков, чтобы показать уровень защищенности процессов обработки.
Для снижения рисков и повышения уровня защищенности процессов обработки ПДн оператор ПДн может использовать средства защиты информации, предлагаемые ведущими сервис-провайдерами в этой области. На рынке представлено множество средств, позволяющих снижать одинаковые риски, в связи с чем актуальной является задача выбора наиболее эффективного средства защиты. Наиболее подходящими для решения задач выбора являются методы теории игр, поэтому в рамках методики предложены методы оценки средств защиты на базе методов теории игр с учетом возможных критериев эффективности. Детально был разработан и представлен метод максимизации уровня снижения рисков, т.к. снижение рисков - основная цель защиты.
Таким образом, реализация организационных и технических мер защиты в рамках выполнения требований Регламента GDPR, оценка рисков на базе предложенной модели угроз и внедрение средств защиты ПДн, выбранных методом максимизации уровня снижения рисков, позволят обеспечить достаточный уровень защиты информации оператором персональных данных и обосновать достаточность регулятору и контрагенту.
Результаты исследований
Требования Регламента являются обязательными для исполнения организациями, которые имеют дочерние структуры на территории ЕС, ведущими бизнес с компаниями ЕС и осуществляющими любые виды анализа в отношении граждан ЕС.
Требования регламента можно подразделить на следующие группы:
- учреждение определенных должностей в компании;
- формирование документации по определенным направлениям деятельности;
- обеспечение определенного уровня защищенности ПДн в части конфиденциальности, целостности и доступности;
- гарантия прав и свобод граждан ЕС при обработке их персональных данных;
- организация взаимодействия с надзорными органами ЕС.
Во многих аспектах требования ЕС совпадают с требованиями российского законодательства и нормативными актами российских надзорных органов. Вместе с тем, в ходе анализа и систематизации были выявлен ряд существенных различий, которые должны быть учтены при формировании технологического процесса обработки ПДн.
В компании-операторе ПДн должны быть учреждены должности представителя в ЕС и инспектора по защите
персональных данных. Задача Представители компании в ЕС - обеспечивать взаимодействие с внешними субъектами: владельцами персональных данных, с одной стороны, с надзорными органами ЕС, с другой стороны. Основная задача инспектора по защите персональных данных - контролировать уровень защищенности ПДн в организации и соблюдение Регламента GDPR, а также выполнение запросов и требований надзорных органов.
В части ведения внутренней документации Регламент обязывает вести письменный учет всех действий по обработке ПДн и документировать любые утечки персональных данных, последствия и принятые корректирующие меры. Кроме того, статья 35 Регламента определяет обязанность оператора провести оценку уровня защищенности данных (рисков реализации информационной безопасности). В рамках данного требования должны быть описаны: процессы и цели обработки ПДн, обоснована необходимость и объем обработки ПДн, оценка рисков информационной безопасности и рисков нарушения прав и свобод граждан ЕС, меры по обработке рисков.
В части обеспечения конфиденциальности, целостности и доступности персональных данных статья 5 Регламента определяет обязанность оператора гарантировать защиту от несанкционированной обработки, от случайной потери, распространения, разрушения или уничтожения данных и использовать соответствующие технические и организационные меры. К обязательным для применения мерам относятся следующие: псевдо-нимизация и криптографические методы защиты персональных данных; меры обеспечения конфиденциальности, целостности, доступности данных, устойчивости систем и услуг; меры по своевременному восстановлению доступности в случае инцидентов и технических сбоев; процедуры проверки эффективности мер защиты ПДн; процедуры управления инцидентами по утечкам персональных данных и уведомления надзорных органов и субъектов.
Требования четвертой группы Регламента обязывают оператора обеспечить право субъекта ПДн на информацию, внесение и удаление ПДн. В этой части требования совпадают с требованиями российского законодательства.
В части взаимодействия с надзорными органами в обязанности оператора входит:
- в случае, если в процессе обработки ПДн не может быть гарантирован приемлемый уровень рисков информационной безопасности и нарушения прав суъектов ПДн, оператор обязан уведомить и проконсультироваться с надзорным органом. Оценка приемлемости уровня риска с учетом используемых средств защиты (Оценка воздействия защиты данных - Data Protection Impact Assessments - далее, DPIA)[2, 3] должна выполняться до начала обработки ;
- в случае утечки ПДн, оператор обязан в течение 72 часов уведомить надзорный орган, который обладает следственными, корректирующими, разрешительными и консультативными полномочиями.
На основании изложенного был разработан типовой технологически процесс обработки персональных данных в соответствии с регламентом GDpR (рис.1)[4].
Сбором ПДн называют получение данных непосредственно от субъекта и обеспечение оператором их записи, систематизации, накопления, уточнения (включая обновление и изменение), а также извлечение этих ПДн,
X X
о
го А с.
X
го m
о
2 О
м о
используя базы данных, которые доступны на территории Российской Федерации. При сборе ПДн кредитная организация руководствуется следующими правилами:
о сч о сч
<0
О Ш
т
X
3
<
т О X X
Рис. 1. Типовой процесс обработки персональных данных по вйРЯ.
- ПДн предоставляются гражданами за исключением случаев получения ПДн из общедоступных источников;
- в случае если ПДн получены не лично от субъекта ПДн, то в начале процесса обработки банк должен уведомить субъекта об обработке его ПДн;
- в случае отсутствия письменного согласия запрещается получать, обрабатывать и приобщать к личному делу сведения о частной жизни субъекта;
Использование ПДн заключается в работе, которую оператор осуществляет как для принятия решений, так и для совершения действий, способных повлечь за собой юридические последствия или иным образом затрагивающих права и свободы субъекта ПДн и других лиц.
Работа с ПДн возможно только в указанных в документах целях, о которых клиент предупрежден.
«Хранение» - это срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Ограничения на хранение ПДн накладывают цели их обработки. В Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ (части 4 статьи 21) (далее - ФЗ-152) предусматривается, что, если достигнута поставленная цель обработки ПДН, оператору необходимо не только полностью прекратить обработку ПДн, но и обеспечить уничтожение этих данных в срок до 30 дней после выполнения цели обработки ПДн. В случае, если возможность уничтожить ПДн в течение указанного срока отсутствует, оператор обязан заблокировать эти данные и обеспечить их уничтожение в срок не более 6 месяцев.
Существуют требования, в соответствие с которыми осуществляется хранение ПДн кредитной организации, среди них:
- осуществление хранения ПДн так, чтобы для каждой категории ПДн возможно было просто и быстро определить место их хранения;
- осуществление хранения ПДн в такой форме, которая позволит опознать субъект ПДн быстрее, чем требуется целями ПДн, в случае если период хранения ПДн не обозначен в федеральном законе или в договоре,
стороной которого (как выгодоприобретателем, так и поручителем) является субъект ПДн;
- несанкционированное копирование ПДн на отчуждаемые носители информации запрещено;
- при хранении ПДн в информационных системах персональных данных (далее - ИСПДн) должны соблюдаться условия, которые обеспечивают конфиденциальность и сохранность ПДн;
- несанкционированный доступ к ПДн должен быть исключен, исключение составляет только обеспечение доступа сотрудникам, включенным в перечень должностей сотрудников, допущенных к работе с ПДн.
- сотрудники кредитной организации, обрабатывающие ПДн, несут ответственность за хранение ПДн на рабочих местах.
Детализация информации о ПДн, в случае их недостоверности проводится по документам, которые представил субъект данных. Уточнение ПДн необходимо осуществлять по следующей процедуре:
- после юридической оценки запроса юристом, он направляет его для блокировки ПДн администратору;
- администратор выполняет блокировку данных;
- если факт недостоверности ПДн подтвержден, администратор должен уточнить ПДн и снять их блокировку в течение семи дней;
- юристу необходимо отправить ответ на запрос.
Для того, чтобы обосновать адекватности защиты
ПДн при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включающий разработку документа, который отражает следующие основные моменты:
• общие положения:
- организационная структура компании;
- страна, которая является получателем ПДн;
- цели, ради которых ПДн передаются и обрабатываются за границей.
• правовое обоснование трансграничной передачи ПДн (перечень нормативно-правовых документов, на основании которых происходит передача и обработка ПДн);
• описание объекта ПДн;
• характеристики передаваемых ПДн:
- категории ПДн, отправляемых за границу;
- категории субъектов ПДн;
- методы обработки данных (автоматизированная, неавтоматизированная или смешанная).
• Регламент обеспечения безопасного обмена ПДн с зарубежными филиалами, являющимися представительствами.
Включает в себя описание ИСПДн, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и т. д.
Мероприятия и средства по обеспечению защиты передаваемых данных:
• организационные меры;
• технические средства, в том числе криптографические.
• разделы законодательства иностранного государства, отражающего вопросы защиты ПДн;
• другие положения (обязательства зарубежного филиала соблюдать законодательство по обработке ПДн страны, в которой он находится; обеспечивать адекватную защиту полученных и обрабатываемых
ПДн, заверенные подписью ответственных лиц зарубежного филиала).
Данные мероприятия позволят не только минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, но также повысить ответственность должностных лиц за соблюдением установленных норм ИБ.
Если обеспечение правомерности дальнейшей обработки ПДн невозможна, необходимо обеспечить уничтожение данных или хотя бы попытаться пресечь противозаконную обработку этих данных лицом, совершающим действия от имени оператора, в срок, не превышающий десять рабочих дней с даты выявления.
В случае достижения цели обработки ПДн оператор прекращает их обработку и уничтожает их в течение тридцати дней, если иное не предусмотрено договором, заключенным оператором и субъектом ПДн.
В рамках проведенных исследований с учетом статистики по каналам утечки, результатов анализа требований регламента GDPR и лучших практик [6 - 12] был разработан базовый набор мер по обеспечению безопасности персональных данныхС табл.1).
Таблица 1
Безопасность обработки
№ п/п Требование GDPR Меры безопасности
1. псевдонимиза-цию и крипто-гра-фическую защиту пер.данных; - шифрование информации в базе данных при хранении; - обезличивание данных при хранении; - шифрование данных в процессе передачи;
2. гарантия конфиденциальности; - идентификация и аутентификация субъектов доступа, - разграничение доступа в процессе обработки ПДн, управление информационными потоками, минимизация прав и привилегий, - учет и контроль носителей ПДн, - ограничение неуспешных попыток доступа, - контроль доступом к техническим средствам, - идентификация и аутентификация стационарных, мобильных и портативных устройств, - контроль мобильных средств и защита беспроводного доступа, - использование программных продуктов из доверенной среды, - обеспечение подлинности сетевых соединений, - организация защищенного удаленного доступа через внешние сети, - криптографическая защита и псевдони-мизация, - размещение устройств вывода информации, исключающее просмотр
3. гарантия целостности; - антивирусная защита, - регулярное обновление базы данных вирусов, - использование средств обнаружения вторжений, - дополнительный контроль корректности данных при вводе, - регулярный контроль целостности, - резервирование информации.
4. Гарантия доступности ПДн и устойчивости услуг и систем, - контроль целостности программ обработки ПДн,
связанных с обработкой; - определение перечня событий информационной безопасности (ИБ) для регистрации и содержания регистрационной инфорации, - внедрение процедур мониторинга, и реагирования на события ИБ, - использование отказоустойчивых технических средств, - резервирование аппаратного и программного обеспечения, каналов передачи, - управление изменениями в системах обработки, включая конфигурации - использование сертифицированных средств защиты.
5. восстановление доступности услуг и доступа к ПДн после инцидента ИБ - мониторинг и реагирование на события ИБ, - применение отказоустойчивых технических средств, - резервирование аппаратного и программного обеспечения, каналов взаимодействия, - управление изменениями в системах обработки, включая конфигурации - использование сертифицированных средств защиты, - документирование изменений; - разработка процедур обеспечения непрерывности бизнеса.
6. проверка эффективности мер обеспечения безопасности обработки - регулярный анализ, выявление и устранение уязвимостей технологий обработки ПДн, - назначение лиц, ответственных за управление инцидентами ИБ, - организация анализа инцидентов, определения источников и причин, оценка последствий, - документирование изменений в конфигурациях систем обработки ПДн.
7. оценка уровня защищенности - установление показателей уровня защищенности, - документирование технологий обработки ПДн; - внедрение процедур выявления уязвимостей (анализ кода, ведение базы уязвимостей); - управление рисками (разработка методики, оценка рисков, минимизация рисков); - аудит безопасности на регулярной основе.
8. любая обработка ПДн реализуется только по распоряжению контролера - подтверждение авторизованным лицом доступа к данным и функциям обработки.
9. уведомление об утечках ПДн - управление инцидентами ИБ (выявление, регистрация, устранение, расследование).
10. использование сертифицированных средств защиты - все средства защиты должны иметь сертификаты надзорных органов
11. регистрация действий обработки ПДн - регистрация всех действий пользователей по обработке ПДн.
12. назначение инспектора защиты ПДн - назначение лица, ответственного за защиту ПДн, контроль и обучение сотрудников.
13. Наличие договора на обработку ПДн - заключение с владельцами личных данных договора на обработку.
X X О го А С.
X
го т
о
2 О
м о
Для оценки рисков безопасности персональным данным в процессе их разработки необходимо определить перечень актуальных угроз воздействия на защищаемую информационно-технологическую инфраструктуру организации. Определение угроз безопасности информации позволяет установить, есть ли вероятность нарушения конфиденциальности, целостности или доступности информации, которая содержится в используемых информационных системах. Нарушение указанных свойств ИБ приводит к ущербу для обладателя информации, оператора, субъектов ПДн.
Определяющим моментом при определении угроз ИБ в ИС является источники угроз ИБ. Оценке подлежат такие угрозы, у которых есть источники, обладающие возможностью и условиями для реализации угроз ИБ в ИС с определенными структурно-функциональными характеристиками и особенностями ее функционирования.
Возможность реализации угрозы в приведенной ниже таблице 2 (табл.2) была определена по формуле 1, разработанной на основе проекта методики ФСТЭК определения угроз безопасности информации в ИС [13], анализа статистики [5, 14, 15, 16, 17, 18] результат которой Y= является средним значением суммы ряда (нарушение доступности (Уд), нарушение целостности (Уц), нарушение конфиденциальности (Ук)).
Уд + Уц + Ук
(6)
Y е
[0,6;1]
Вводятся три вербальные градации данного показателя:
- Если возможность реализации угрозы Y е[0;0,3), то Y присваивается значение "низкая".
- Если возможность реализации угрозы [0,3;0,6), то Y присваивается значение "средняя".
- Если возможность реализации угрозы Y е то Y присваивается значение "высокая".
Оценка вероятности реализации угрозы (нарушение доступности, целостности и конфиденциальности) была получена в соответствии с экспертным заключением на базе исследования одной из крупных ритейловых российских кредитных организаций. Специалисты обозначают уровни информационной инфраструктуры, которые дают возможно реализовать угрозы безопасности ПДн.
Таблица 2
о
см о см
<в О!
О Ш
т
X
и
<
т О X X
Наименование угрозы (Источник угрозы) Уровень реализации угрозы безопасности информации Вероятность реализации угрозы Возможность реализации угрозы (У)
Угрозы антропогенного характера
Правонарушители, которые совершают целенаправленное разрушительное воздействие. Сетевой уровень 0,8 0,8 0,3 Высокая
Уровень сетевых приложений и сервисов 0,8 0,7 0,4 Высокая
Уровень операционных систем. 0,3 0,3 0,2 Низкая
Уровень систем управления БД. 0,3 0,3 0,6 Средняя
Уровень банковских технологических приложений и сервисов. 0 0,3 0,3 Низкая
Поставщики программных и аппаратных средств, подрядчики, Уровень операционных систем. 0 0,3 0,3 Низкая
Уровень систем управления БД. 0 0,3 0,3 Низкая
осуществляющие пуско- Уровень банков-
наладочные работы, ре- ских технологиче-
монт ских приложений и сервисов/ Прикладные программы доступа и обработки конфиденциальной информации, автоматизированные рабочие места 0 0,3 0,3 Низкая
Сотрудники, наделенные полномочиями Физический уровень/ Линии связи, аппа-
ратные и технические средства, серверы, физиче- 0 0,3 0,5 Низкая
ские носители кон-
фиденциальной информации
Сетевой уровень/ Маршрутизаторы, коммутаторы, кон- 0,3 0,3 0,2 Низкая
центраторы
Уровень сетевых
приложений и сервисов/
Программные компоненты передачи 0,3 0,6 0,8 Средняя
данных по компью-
терным сетям (сетевые сервисы)
Уровень операционных систем/ 0,3 0,3 0,2 Низкая
Уровень систем управления БД/ 0,8 0,3 0,6 Средняя
Уровень банков-
ских технологиче-
ских приложений и сервисов/ Прикладные программы доступа и обработки конфи- 0,8 0,5 0,4 Средняя
денциальной информации, автома-
тизированные рабочие места
Сотрудники, действую- Физический уро-
щие вне рамок полномо- вень/
чий Линии связи, аппа-
ратные и технические средства, серверы, физиче- 0,5 0,3 0,4 Средняя
ские носители кон-
фиденциальной информации
Уровень операционных систем/ 0 0,3 0,3 Низкая
Уровень систем управления БД/ 0 0,4 0,6 Средняя
Уровень банков-
ских технологиче-
ских приложений и сервисов/ Прикладные программы доступа и обработки конфи- 0,6 0,7 0,6 Высокая
денциальной информации, автома-
тизированные рабочие места
Угрозы утечки вид овой конфиденциал ьной информации
Просмотр конфиденциальной информации на
дисплее сотрудниками, не допущенными к обработке конфиденциальной информации 0 0 0,3 Низкая
Просмотр конфиденциальной информации на дисплее посторонними 0 0 0,3 Низкая
лицами в помещении, в
котором ведется обработка
Просмотр конфиденциальной информации на дисплее посторонними лицами за пределами помещения, в котором ведется обработка 0 0 0,3 Низкая
Просмотр конфиденциальной информации с использованием специальных устройств, внедренных в помещении 0 0 0,3 Низкая
Угрозы хищения, несанкционированной модификации или блокирования конфиденциальной информации за счет несанкционированного доступа (НСД)
Недекларированные возможности системного ПО и ПО для обработки конфиденциальной информации 0,3 0,3 0,6 Средняя
Угрозы нарушений безопасности функционирования платежной инфраструктуры организации из-за сбоев в программном обеспечении, неантропогенных угроз, стихийных угроз
Утрата ключей доступа 0,6 0 0,7 Средняя
Случайная модификация или уничтожение конфиденциальной информации сотрудниками 0,3 0,3 0,7 Средняя
Случайное отключение средств защиты 0,2 0,3 0,6 Средняя
Сбой аппаратно-программных средств 0,3 0,6 0,3 Средняя
Сбой электроснабжения 0,6 0,3 0 Средняя
Стихийные бедствия 0,3 0 0 Низкая
Угрозы перехвата при передаче по проводным линиям связи
Перехват вне контролируемой зоны 0 0,6 0,6 Средняя
Перехват в пределах контролируемой зоны 0 0,6 0,6 Средняя
максимальное наихудшее снижение риска, а также стоимость средств защиты должна быть меньше величины снижения риска.
Дйу= й1-й2. (3)
Где - величина риска без применения средства защиты,
й2 - остаточный риск. Пусть известны следующие показатели: А1,А2,...,А1 , 1= 1,т - виды атак на персональные данные (угроз);
т - количество видов атак; 51,52,...,5]- , ]= 1,п- средства защиты от атак; п - количество вариантов и комбинаций средств защиты;
У - величина предполагаемого ущерба;
Р
(з)
■ вероятность отражения атаки At при использо-
вании средства защиты 5] , т.е. вероятность защиты; р- вероятность атаки Л£ ; Первоначальный риск может быть выражен как
= р^ *у. (4)
Величину остаточного риска можно представить, как:
R2= р?
У -pff *У. (5)
Данная модель угроз ИБ показывает, что наивысшую вероятность реализации имеют угрозы ИБ, источниками которых являются компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие и сотрудники, которые действуют вне рамок предоставленных полномочий.
При выборе средств защиты данных из множества альтернатив разработан метод оценки по критерию Сэвиджа [19]. Оценки соответствуют показателям, подлежащим минимизации (например, убытки, потери, риски и т.д.), поэтому выбирается критерий, ориентированный на минимум среди максимальных значений потерь всех рассматриваемых альтернатив защиты данных (формула 1).
R = min max ry, , i = 1,m,j = 1,n. (1) Вместе с тем, защита персональных данных в соответствии со статьей 35 Регламента закрепляет обязанность оператора провести оценку уровня защищенности данных (оценка рисков нарушения безопасности и прав субъектов процесса обработки ПДн). С этой целью оператор должен построить модель угроз и оценить риски до внедрения средств защиты и риски с учетом применения средств защиты. В этом случае с целью выбора средств противодействия предлагается руководствоваться критерием Вальда [20]. Согласно этому критерию, оптимальной альтернативой признаётся альтернатива с максимальным наихудшим снижением риска: W = max min Wy, i = 1,m,j = 1,n. (2) Условием эффективной защиты являются следующие правила: выбирается средство защиты, имеющее
Данное условие эффективной защиты будем использовать с критерием Вальда. Правило выбора решения: матрица величин снижения рисков дополняется строкой, каждый элемент которой есть минимальное значение величины снижения риска в соответствующей стратегии ЛПР (лиц, принимающего решение), т.е. Ш1] = mmwy. Оптимальной по данному критерию будет считаться та стратегия, при выборе которой минимальное значение величины снижения риска будет максимально: Ш = тахШ^.
Обсуждение
В рамках проведенной научно-исследовательской работы для системы банковского обслуживания и обработки ПДн российской кредитной организации актуальны угрозы 3-го типа, т.е. не связанные с наличием недокументированных возможностей в программном и системном обеспечении, приводящим к нарушению ИБ. В информационных системах большинства юридических лиц, прежде всего кредитных организаций, обрабатываемая в ней информация относится к иным категориям ПДн (в системе кредитной организации в соответствии с последними изменениями российского законодательства обрабатываются биометрические ПДн). В связи с изложенным требуется обеспечить 3-ий уровень защищенности персональных данных при обработке в системах российских организаций. Для обеспечения 3-го уровня защищенности оператор по обработке ПДн обязан реализовать следующие средства и методы защиты информации:
- Оператор должен организовывать регулярный контроль за выполнением требований не реже 1 раза в 3 года.
- Необходимо организовать режим обеспечения безопасности помещений, в которых размещена ИС-ПДн, который бы препятствовал неконтролируемому проникновению лиц, которые не имеют права доступа в эти помещения.
- Должна быть обеспечена сохранность носителей ПДн.
X X
о го А с.
X
го m
о
ю
2 О
м о
о
CN О
сч
<JD
О ш m х
<
m о х
X
- Руководитель оператора должен утвердить документ, определяющий список лиц, для которых доступ к обрабатываемым в ИСПДн ПДн необходим для выполнения своих служебных обязанностей.
- Оператору следует использовать сертифицированные СЗИ при необходимости нейтрализации актуальных угроз.
- Назначить должностное лицо, ответственное за обеспечение безопасности ПДн, обрабатываемых в ИСПДн.
Кроме того, должны быть реализованы меры защиты персональных данных Федеральной службы по техническому и экспертному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» оператор должен реализовать определенный комплекс организационных и технических мер в соответствии с установленным уровнем защищенности.
В рамках научно-исследовательской работы было проведено обследование крупной ритейловой кредитной организации. Анализ показал, что требуются изменения технологического процесса обработки персональных данных по отношению к процессу, который реализован в рамках Российского Законодательства. Наиболее важные изменения требуются в части оценки принятых мер защиты: согласование приемлемости текущего уровня рисков обработки персональных данных с требованиями регуляторов в ЕС. Особо важным изменением является информирование регуляторов и клиентов обо всех инцидентах в области нарушения безопасности персональных данных и их последствиях. Кроме того, важным является назначение должностных лиц, ответственных за защиту персональных данных (инспектор) и взаимодействие с регуляторами ЕС (контролер).
Заключение
Таким образом, в рамках научно-исследовательской работы было проведено исследование законодательства ЕС по защите персональных данных, сформирован единый перечень требований и типовой технологический процесс безопасной обработки ПДн, который может быть использован заинтересованными юридическими лицами для доработки собственных бизнес-процессов по обработке ПДн. Кроме того, был разработан комплекс организационных и технических мер, технологических процедур защиты персональных данных, необходимых для выполнения при обработке ПДн граждан ЕС или ПДн на территории ЕС.
Одним из основных требований нового законодательства ЕС является гарантирования достаточного уровня безопасной обработки ПДн и обеспечения уровня возможных рисков на приемлемом уровне. Для оценки текущего уровня рисков была сформирована типовая модель угроз персональных данных процессов обработки, которая может быть адаптирована юридическими лицами и использована для оценки рисков текущих бизнес-процессов.
Для выбора средств защиты ПДн, реализующих предложенный комплекс технических мер и обеспечивающих приемлемый уровень рисков при обработке ПДн, разработан метод выбора эффективных средств защиты ПДн., при котором условиями эффективной за-
щиты являются следующие правила: выбирается средство защиты, имеющее максимальное наихудшее снижение риска, а также стоимость средств защиты должна быть меньше величины снижения риска.
Предложенная методология обеспечения безопасной обработки персональных, включающая типовой технологический процесс обработки ПДн, комплекс организационных и технических мер, учитывающих требования ЕС, метод выбора средств технической защиты, могут быть использованы юридическими лицами для обеспечения соответствия единым требованиям законодательства ЕС. Оценку рисков ПДн предлагается проводить на базе принятой в компании методологии на базе разработанной типовой модели угроз.
Литература
1. Регламент (ЕС) 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных».// Official Journal of the European Union N L 119. 04.05.2016. P. 1
2. DPIA: Data Protection Impact Assessments under the GDPR - a guide. // I-SCOOP. 10. 2017
3. DPIA guidelines of the Article 29 Working Party. //I-SCOOP. 04. 2017.
4. Ларионова С.Л., Самохвалов Д.А. Организация процесса защиты информации при обработке персональных данных с учетом требований законодательства ЕС. - Информатизация и связь, № 3, 2018. с.55-61.
5. Аналитический обзор инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств. //Центральный Банк РФ.
6. Ю.М. Бекетнова, Г.О. Крылов, С.Л. Ларионова. Международные основы и стандарты информационной безопасности финансово-экономических систем. //Москва: Прометей, 2018.174 с.
7. Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации". //Гарант.Ру.
8. В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин, Защита персональных данных в организации. //Москва: Издательство «Флинта», 2016. 124 с.
9. Н.И. Петрыкина Научная статья «К вопросу о конфиденциальности персональных данных». //Законы России: опыт, анализ, практика, N 6, июнь, 2007. с.115-122.
10. Security in Electronic Payment Transaction. // International Journal of Scientific & Engineering Research, Volume 6, Issue 2, February-2015 - с.955 - 960.
11. Информационная безопасность банковских систем. //LiveInternet, 2013.
12. И. Пискунов. Особенности обеспечения информационной безопасности в банковской системе. //Anti-Malware, 2016.
13. «Методика определения угроз безопасности информации в информационных системах» ФСТЭК России. //ФСТЭК России.
14. Годовой отчет Cisco по информационной безопасности за 2016 год. //SlideShare, 2017.
15. Информационная безопасность глазами статистики. //PCI DSS.RU, 2013.
16. Финансовые угрозы в 2016 году. //Лаборатория Касперского, 2017.
17. В.КОРЖОВ. ИБ 2016: ЧАСТЬ I - УГРОЗЫ. // BISA, 2013.
18. Насколько защищены от кибератак банки и биржи: Статистика и мнения экспертов. //Security-corp.org. 2016.
19. Вентцель Е. С. Исследование операций: задачи, принципы, методология. //М.: Кнорус, 2014., 192 с.
20. Критерий Вальда. //Risking.ru, 2014.
Personal Data Protection Methodology in Compliance with the Requirements of the EU General Data Protection Regulation Larionova S.L.
Financial University under the Government of the Russian Federation
The article presents a method of bringing into compliance with the requirements of the GDPR regulations the technological processes of personal data processing of Russian organizations of the credit and financial sector, formed a standard technological process of personal data processing according to the requirements of EU legislation, developed organizational and technical measures to ensure the required level of security and developed a method for selecting the most effective means of ensuring the required level of security. The paper examines the requirements of the GDPR regulations for the protection of information and conducted a gap analysis of the requirements of the EU with the Russian legislation. The necessary measures have been developed to bring the processes of personal data processing into line. In accordance with the requirements of the Russian legislation, the required level of security of personal data processing systems in the credit and financial sphere is determined, a threat model is formed and the necessary measures and means for its provision are considered. For the choice of means of protection from alternative the method of an assessment of means of protection on the basis of savage or Wald criterion is offered. The proposed method can be used by credit institutions that carry out activities to provide services to individuals in the EU or processing personal data of EU citizens in the provision of services to third parties, as well as carrying out various studies related to EU citizens. Compliance with the requirements of the GDPR regulations is particularly important due to the fact that the adopted regulations are valid in all EU countries. The method allows organizations processing personal data to provide the necessary documentary evidence to ensure the level of security in the processing of personal data of EU citizens, without which it is not possible to interact and conduct credit and financial activities with contractors in the EU. Keywords: information protection, personal data protection, data security level, security risks, GDPR requirements.
References
1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals in the processing of personal data and on the free circulation of such data.// Official Journal of the European Union N L 119. 04.05.2016. P. 1
2. DPY: Data Protection Impact Assessments under the GDPR -a guide. // I-SCOOP. 10. Two thousand seventeen
3. DPY guidelines of the Article 29 Working Party. //I-SCOOP. 04. 2017.
4. Larionova S. L., Samokhvalov D. A. Organization of the process of information protection in the processing of personal data, taking into account the requirements of EU legislation. -Informatization and communication, № 3, 2018. p. 55-61. (In Russ).
5. Analytical review of incidents related to violation of information security requirements for money transfers. //Central Bank of the Russian Federation. (In Russ).
6. Y. M. Bekenova, G. O. Krylov, S. L. Larionov. International bases and standards of information security of financial and economic systems. //Moscow: Prometey, pp. 2018.174 pp. (In Russ).
7. Recommendations in the field of standardization of the Bank of Russia RS BR IBBS-2.4-2010 "Information security of organizations of the banking system of the Russian Federation. Industry private model of threats to the security of personal data during their processing in the information systems of personal data of organizations of the banking system of the Russian Federation". //Guarantor.Ru. (In Russ).
8. Averchenkov V. I., Rytov M. Y., T. R. co , Protection of personal data in the organization. //Moscow: Publishing House "Flint", 2016. 124 PP. (In Russ).
9. N. So. Petrykina Scientific article "On the issue of confidentiality of personal data". //Laws of Russia: experience, analysis, practice, N 6, June, 2007. p. 115-122. (In Russ).
10. Security in Electronic Payment Transaction. // International Journal of Scientific & Engineering Research, Volume 6, Issue 2, February-2015 - pp. 955 - 960.
11. Information security of banking systems. //LiveInternet, 2013. (In Russ).
12. I. Piskunov. Features of information security in the banking system. //Anti-Malware, 2016. (In Russ).
13. "Methods of determining threats to information security in information systems" FSTEC Russia. //FSTEC of Russia. (In Russ).
14. Cisco annual report on information security for the year 2016. //SlideShare, 2017. (In Russ).
15. Information security through the eyes of statistics. //PCI DSS.RU, 2013. (In Russ).
16. Financial threats in 2016. //Kaspersky Lab, 2017. (In Russ).
17. V. KORZHOVA. SECURITY 2016: PART I - THREATS. // BISA, 2013.
18. How banks and exchanges are protected from cyberattacks: Statistics and expert opinions. //Security-corp.org. 2016. (In Russ).
19. Ventzel E. S. operations Research: tasks, principles, methodology. //M.: KnoRus, 2014., 192 pp. (In Russ).
20. Wald's Criterion. //Risking.ru, 2014. (In Russ).
X X О го А С.
X
го m
о
2 О M
о