27.02.2020 @ 22:39 Не PCI мой DSS: насколько страшны требования регуляторов GDPR, PCI DSS, Pentestit, Законодательство РФ Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю роль в этом сыграли такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных». Рассмотрим более подробно каждый из перечисленных документов, выделим круг субъектов, попадающих под их действие, а также общие требования к защите данных. GDPR На кого распространяется Требования GDPR (General Data Protection Regulation) распространяются не только на операторов в Европейском Союзе, но и на компании в любой стране, деятельность которых направлена на физических лиц в Евросоюзе. GDPR не требует принятия законов на национальном уровне и действует напрямую. Что по GDPR относится к персональным данным Общие персональные данные: имя; адрес; телефон; дата и место рождения; паспортные данные; данные о месте работы и/или учёбы. К персональным данным в интернете относятся: адрес электронной почты; метаданные (cookies); аккаунты в социальных сетях и посты в них; IP-адрес (в некоторых случаях). Принципы обработки персональных данных по GDPR Законность, справедливость и прозрачность. Все методы и цели сбора и обработки персональных данных должны быть чётко изложены в политике конфиденциальности. Ограничение цели. Необходимо чётко заявить, с какой целью вы собираете и обрабатываете данные. Минимизация данных. Нельзя собирать больше данных, чем требуется для достижения целей обработки данных. Точность. Неточные личные данные пользователей должны быть удалены или исправлены по требованию пользователя. Ограничение хранения. Данные должны храниться не дольше, чем это требуется в целях обработки. Целостность и конфиденциальность. Компании обязаны обеспечить защиту и конфиденциальность данных от несанкционированной обработки, повреждения или удаления. Санкции GDPR предполагает двухуровневую систему штрафов: первый — €10 млн. или 2% от годового оборота компании за истекший финансовый год (назначается за нарушения, связанные с предумышленной интеграцией данных, сотрудничеством с органом надзора, небезопасной обработки данных, персональными данными субъекта, сертификацией, предварительным консультированием или оценкой воздействия на защиту данных — ст. 83 (4) GDPR). Второй уровень предполагает штраф в размере €20 млн. или 4% от годового оборота компании. Штрафы данного уровня назначаются за нарушение базовых принципов обработки данных (полный перечень нарушений перечислен в ст. 83 (5) GDPR). Кроме того, пострадавшая сторона может потребовать компенсацию ущерба, причинённого ей в результате нарушения положений GDPR. Следует учитывать, что помимо штрафных санкций, несоответствие может повлечь за собой ущерб для репутации организации, блокировку веб-сайта или прекращение деятельности организации на территории ЕС. Несмотря на то, что Регламент действует меньше двух лет, уже были достаточно громкие случаи назначения штрафов. В январе 2019 года Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Google на 50 млн евро за «отсутствие прозрачности, неудовлетворительное информирование и отсутствие действительного согласия» при обработке и использовании персональных данных пользователей для показа им персонализированной рекламы. Авиакомпания British Airways оштрафована Управлением комиссара по информации Великобритании (ICO) на £183 млн ($229,3 млн) из-за утечки данных нескольких сотен своих клиентов. Уведомление о штрафе направило британское Управление уполномоченного по вопросам информации. Сумма, названная регулятором, соответствует 1,5% глобального оборота British Airways за 2017 год. Как обеспечить соответствие требованиям GDPR В целях приведения процессов обработки персональных данных в соответствие требованиям GDPR организации следует определить потоки персональных данных с учетом мест сбора, использования и хранения персональных данных, перечень обрабатываемых персональных данных, перечень участвующих в обработке персональных данных информационных систем, баз данных, аппаратных средств и структурных подразделений организации. На основании полученной информации составить карту потоков данных, далее провести оценку рисков утечки персональных данных и влияния утечки на права и свободы субъектов персональных данных, а также связанные с этим риски для организации. По результатам проведенного анализа принять решение о разработке и внедрении организационных и технических мер защиты, при этом по возможности минимизируя потоки персональных данных или обезличивая данные. Таким образом, в результате внедрения мер защиты персональных данных в организации должно быть обеспечено наличие следующих доказательств соответствия GDPR: документированные процедуры управления рисками; закрепленные роли и ответственность за обеспечение конфиденциальности данных; документированные процедуры обработки персональных данных, включающие описание порядка удаления персональных данных субъектов по запросу субъекта с учетом требований законодательства страны присутствия организации, порядка прекращения обработки персональных данных субъекта по запросу субъекта, порядка предоставления субъектам данных о процессах обработки персональных данных, в том числе с использованием «стандартизированных иконок», порядка передачи персональных данных субъекту или иной организации по запросу субъекта (data portability), порядка трансграничной передачи персональных данных в страны, не обеспечивающие адекватный уровень защиты персональных данных, и порядка обеспечения конфиденциальности данных; актуальная информация об обработке персональных данных в организации с указанием целей обработки персональных данных, сроков хранения данных, категорий персональных данных и субъектов персональных данных, перечня организаций, в которые персональные данные передаются, перечня стран-получателей персональных данных, перечня мер защиты персональных данных; шаблоны понятных и детальных согласий субъектов на обработку персональных данных; задокументированная ответственность поставщиков услуг за обеспечение конфиденциальности данных, закрепленные требования к поставщикам услуг в договорах в части обеспечения защиты данных и инструкции по защите данных для поставщиков услуг; документированные процедуры управления инцидентами ИБ. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ На кого распространяется Круг субъектов, попадающих под действие Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон), обозначен путём перечисления лиц, на кого закон не распространяется. Таким образом, положения Закона распространяются на физических и юридических лиц, в том числе органы государственной власти и органы местного самоуправления, кроме случаев обработки персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; организациями хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Что относится к персональным данным согласно Закону Согласно ст. 3 Закона персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). В то же время оператором персональных данных выступает любое лицо (как физическое, так и юридическое), которое самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных включает в себя любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Принципы обработки персональных данных согласно закону Обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Требования к защите персональных данных Постановлением Правительства РФ от 01.11.2012 № 1119 утверждены Требования к защите персональных данных при их обработке. Согласно Постановлению система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Выделяется три уровня угроз безопасности (в зависимости от особенностей информационной системы, с использованием которой осуществляется обработка персональных данных) и четыре уровня защищённости персональных данных. Санкции Лицам, нарушившим требования Закона, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и дисциплинарная. При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. рублей. За нарушение Закона также предусмотрена уголовная (в зависимости от состава преступления — штраф до 300 тыс. рублей), гражданско-правовая (компенсация причинённых убытков и морального вреда пострадавшей стороне) и дисциплинарная ответственность (негативные последствия для работника оператора персональных данных — вплоть до увольнения). Действие Закона на практике За первые девять месяцев 2019 года Роскомнадзор выявил более 2,4 тыс. нарушений со стороны операторов персональных данных. По итогам проверок было составлено 4 тыс. административных протоколов, наложено штрафов на сумму 2,6 млн рублей. Кроме того, был ограничен доступ более, чем к 1000 интернет-страницам, где осуществлялось незаконное распространение персональных данных. PCI DSS Стандарт безопасности данных индустрии платежных карт (PCI DSS) разработан в целях повышения уровня безопасности данных о держателях карт и содействия широкому внедрению унифицированных мер защиты данных по всему миру. Стандарт PCI DSS содержит базовые технические и операционные требования, которые разработаны для защиты данных платежных карт. На кого распространяется Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные. С развитием услуг, предоставляемых провайдерами, увеличивались и зоны ответственности, которые клиенты могли передать на аутсорсинг в рамках стандарта PCI DSS. На данный момент это физическая безопасность используемого оборудования, администрирование и обеспечение безопасности сетевых устройств (межсетевые экраны, системы обнаружения и предотвращения вторжений (IPS/IDS), защита от DDOS и т.д.), безопасность виртуальной инфраструктуры и администрирование операционных систем, приложений и баз данных. В данном случае необходимо разграничить ответственность по выполнению требований PCI DSS между организацией и провайдером, документально зафиксировав это разграничение. Требования PCI DSS PCI DSS содержит 12 основных требований: Построить и поддерживать защищенные сети и системы: Установить и поддерживать конфигурацию межсетевых экранов для защиты данных держателей карт. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем. Защищать данные держателей карт: Защищать хранимые данные держателей карт. Шифровать данные держателей карт при передаче через сети общего пользования. Поддерживать программу управления уязвимостями: Защищать все системы от вредоносного ПО и регулярно обновлять антивирусные ПО или программы. Разрабатывать и поддерживать безопасные системы и приложения. Внедрять строгие меры контроля доступа: Ограничивать доступ к данным держателей карт в соответствии со служебной необходимостью. Идентифицировать и аутентифицировать доступ к системным компонентам. Ограничивать физический доступ к данным держателей карт. Осуществлять регулярный мониторинг и тестирование сетей: Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным держателей карт. Регулярно тестировать системы и процессы безопасности. Поддерживать политику информационной безопасности: Поддерживать политику информационной безопасности для всех работников. PCI DSS содержит дополнительные требования для различных типов организаций: поставщиков услуг хостинга с общей средой, организаций, использующих SSL и (или) ранние версии TLS, организаций зоны повышенного риска. Требования стандарта и соответствующие им проверочные процедуры скомбинированы в единый инструмент оценки безопасности. Данный документ предназначен для использования в процессе оценки соответствия требованиям PCI DSS как части процедуры подтверждения соответствия организации. Стандарт PCI DSS содержит минимальный набор требований для защиты данных платёжных карт, который может быть расширен дополнительными защитными мерами и методами для дальнейшего снижения рисков, а также местными, региональными и отраслевыми законами и нормативными актами. Кроме того, в соответствии с законодательством или нормативными требованиями может требоваться особая защита данных, идентифицирующих личность, или других элементов данных (например, имени держателя карты). Санкции Если компания не будет признана соответствующей требованиям PCI DSS, можно ожидать негативные последствия и различные санкции, например, штрафы, простои в работе и ущерб репутации. Таким образом, в настоящий момент требования регуляторов максимально направлены на защиту персональных данных. В то же время само понятие «персональные данные» на практике вызывает ряд вопросов: какие именно данные и при каких обстоятельствах считать персональными данными, в каком объёме и т.д. Что касается PCI DSS, то его требования носят комплексный характер и включают себя не только использование защитного ПО, но и организацию физической защиты данных. Заключение Для соблюдения требований регуляторов необходим комплекс мер, направленных на повышение защищенности информационной среды, оценка рисков и угроз. Одной из самых распространенных «точек входа» для злоумышленников является уязвимое веб-приложение (корпоративный сайт, интернет-магазин, личный кабинет, API), взлом которого может привести к утечке критичной информации и данных (в том числе ПДн или платежной информации). Использование Nemesida WAF на основе машинного обучения позволит минимизировать риск компрометации веб-ресурса, обеспечив комплексную защиту от хакерских атак. pentestit-team 5722 Законодательство Читать дальше >>