Upload
1-
View
82
Download
1
Embed Size (px)
Citation preview
Алексей Залецкий
КАК ЗАЩИТИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ В «ОБЛАКЕ»?
ПРИВЕТ,я отвечаю за информационную безопасность в КорпСофт24
Любой компании, рассматривающей возможность размещения в «облаке» информационных систем, в которых обрабатываются персональные данные, либо уже их размещающие.
Кому будет полезна информация данной презентации
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА
• ФЗ 152 «О персональных данных»
• ПП 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»
• 21 приказ ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Требования
ЧТО НЕОБХОДИМО СДЕЛАТЬ?Основные шаги
Разработать модель угроз
ПРИ САМОСТОЯТЕЛЬНОМ ВЫПОЛНЕНИИ ТРЕБОВАНИЙ
Разработать ОРД
Разработать ТЗ
1 2 3
4 5 6Разработать
проектВнедрить
систему защиты Аттестовать
ПРИ ИСПОЛЬЗОВАНИИ УСЛУГИ
«ОБЛАКО ФЗ 152»
1 2Разработать
модель угрозРазработать
ОРД
Информация предоставляемая клиентомУровень защищенности ИСПДн.
Если необходимо, то оказываем помощь в определении УЗ.
При поручении облачному провайдеру обработки ПДн Клиенту необходимо получить согласие на передачу ПДн от каждого субъекта ПДн. Согласие субъекта на обработку ПДн должно включать:• Наименование и адрес поставщика услуг• Цель обработки ПДн• Перечень ПДн• Перечень действий с ПДн• Срок, в течение которого действует согласие• Порядок его отзыва
Согласие субъектов ПДн
• П.4 ПП 1119 «Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором»
• В рамках услуги «Облако ФЗ 152» предлагается заранее определенный набор средств защиты информации, которые подойдут большинству клиентов.
• Есть индивидуальные альтернативные варианты.
Определение мер защиты
• меры физической защиты• межсетевые экраны• криптографическая защита• предотвращение вторжений• защита от вирусов• анализа защищенности• защиты от несанкционированного
доступа• защита среды виртуализации• и ряд других мер защиты информации
Какие меры защиты используются
Варианты размещения ИСПДн
1. Все серверы ИСПДн на площадках облачного провайдера
2. Часть серверов ИСПДн на площадке Клиента и часть на площадках облачного провайдера
• Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации
• Лицензия ФСБ на оказание услуг в области шифрования информации и технического обслуживания СКЗИ
Лицензии
• Помощь в разработке моделей угроз, ОРД и проектов
• Создание систем защиты на стороне Клиента
• Аттестация информационной системы, частью которой будет услуга «Облако ФЗ 152»
• Разработка типовых документов для филиалов компаний
• Поддержка и консультации в рамках прохождения проверок
Дополнительные услуги
• Система аттестована и полностью соответствует всем требованиям регуляторов для размещения ИСПДн
• Комплекс организационно-технических мер защиты позволяет обеспечить клиентам защиту от угроз со стороны не только обслуживающего персонала, но и со стороны других клиентов, расположенных "по соседству" в облаке
• Оператор ПДн не несет затрат на создание и владение защищенной IT-инфраструктурой• Оператор ПДн может использовать общесистемное и специальное ПО провайдера• Оператор ПДн получает сопровождение IT-инфраструктуры силами квалифицированных
специалистов в режиме 24х7• SLA аналогичный остальным облачным услугам• Возможность использования совместно с разными типами облачных услуг• Возможность использования дополнительных услуг по защите ИСПДн для повышения
уровня защищенности (AntiDDoS, WAF)
Что получает клиент?
ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ И СЕРВИСЫ
Данная возможность обеспечивается поддержкой виртуальных межсетевых экранов и систем предотвращения вторжений
Возможность самостоятельно управлять СЗИ
Использование облачных сервисов защиты от DDoS-атак
Защита от DDoS
Облачный сервис по защите от Web-атак
Облачный WAF
ЗАЩИТА ПДН ИНТЕРНЕТ-МАГАЗИНОВ В «ОБЛАКЕ»
Политика конфиденциальности должна содержать:• цели сбора персональных данных• перечень собираемых персональных
данных• способы и сроки обработки
персональных данных• согласие пользователя, в том числе:o на передачу ПДн третьим лицам
(например, транспортным компаниям)o использование ПДн для проведения
рекламных акций• и т. д.
Политика конфиденциальности
• Перечень собираемых ПДн не должен быть излишен
• Необходимо собирать только те ПДн, которые соответствуют целям обработки
Перечень собираемых ПДн
В ФЗ 152 есть исключения, при которых можно не подавать уведомление в РКН, но, например, проведение рекламных акций не подпадает под данные исключения
Необходимость уведомления РКН
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить: накопление, систематизацию, запись, извлечение, уточнение (обновление, изменение), хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
ФЗ 242
Необходимость согласия на трансграничную передачу определяется фактом, обеспечивает ли иностранное государство адекватную защиту прав субъектов персональных данных, в чем должен убедиться Оператор ПДн
Трансграничная передача ПДн
«Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных»
Обезличивание ПДн
При выполнении требований ФЗ 152 нужно помнить о том, что требования распространяются на все ПДн, обрабатываемые в компании
ПДн Интернет-магазина не только в облаке
Основное преимущество -возможность обеспечить более высокий уровень защищенности
Спасибо за внимание! Вопросы?