понедельник, 29 ноября 2021 г.

Техническая безопасность персональных данных: ответы на вопросы

Добрый день, коллеги! 25 ноября прошла конференция Infobip Privacy Forum. Я участвовала в ней в качестве спикера онлайн. Пригласил меня давний знакомый и гость межблогерских вебинаров Денис Лукаш. Ссылки на вебинары: про взгляд юриста на ИБ , про мессенджеры.


Ссылка на запись трансляции: https://www.forbes.ru/forbes-agenda/446895-konferencia-infobip-privacy-forum-pramaa-translacia

Я участвовала в панельной дискуссии:

Приоритеты технической безопасности персональных данных коммерческих компаний (примерно 5 часов 10 минут время начала беседы в трансляции)

Эксперты по информационной безопасности:

Кристина Боровикова, Старший менеджер, KPMG Cybersecurity&Privacy

Роман Чаплыгин, Директор направления по развитию бизнес-консалтинга Positive Technologies

Александр Веселов, Руководитель направления ГОСТ VPN, Ростелеком-Солар

Ксения Шудрова, RISC, к.т.н.

Сергей Борисов, CISO, Крупная логистическая компания

Модератор Денис Лукаш, DPO Infobip Eurasia

Ниже приведу свои ответы на вопросы

Какой процент от продукта или услуги нужно заложить в ИБ ПДн, Маркетинг или публичное наказание нарушителя может быть все-таки дешевле?

Доля будет зависеть от многих факторов, категории персональных данных, объема базы, количества используемых для доступа устройств, сложности инфраструктуры, количества пользователей, а, главное, важности бизнес-процесса. Безусловно, в некоторых проектах персональные данные играют главную роль и являются источниками прибыли, в таких системах затраты могут быть обоснованно высокими.

Размер бюджета на информационную безопасность персональных данных отдельно можно не выделять, многие мероприятия закрываются из общего бюджета на информационную безопасность, особенно технические. Правильно отмечено, что публичные наказания весьма эффективны, не стоит ими пренебрегать. Такая информация хорошо запоминается, но важно описать подробно, в чем заключалось нарушение.

Если говорить о каких-либо формулах, то можно использовать следующую. Разница между предполагаемой прибылью от внедрения проекта и предполагаемым бюджетом на защиту персональных данных должна быть больше определенного значения. Это значение задаете вы. Если разница меньше нужного значения, то необходимо пересмотреть бизнес-процесс, использовать обезличивание, уменьшить количество пользователей, каналов связи, удаленных подключений.

Для уменьшения затрат можно начать с оптимизации бизнес-процесса, установления его связей с другими бизнес-процессами, с придания ему легитимности, в первую очередь.

Можно использовать те средства защиты информации, которые уже закуплены на предприятии, продумывать, что можно закрыть организационными мерами и как справиться своими силами.

Что касается маркетинга, то безусловно очень важно позиционировать себя в глазах потребителя, но один лишь маркетинг не справится с поддержанием репутации при безответственном отношении к ПДн клиентов и сотрудников. Все мы знаем такие компании, которые красиво представляют себя на рынке, но сарафанное радио говорит держаться от них подальше. Поэтому маркетинг не закроет "дыру в безопасности", однако, может подчеркнуть ваше бережное отношение к личным данным клиента.


Функция ИБ ПДн часто выполняется централизовано. Должен ли кто-то в холдинге из 5-15 компаний получить лицензию ФСТЭК для этого, как можно без лицензий?  Если функцию ИБ выполняет иностранная компания, например, материнская?

Согласно требованиям законодательства РФ лицензия ФСТЭК России для защиты персональных данных может понадобиться в двух случаях:

1. Вы собираетесь оказывать услугу по технической защите конфиденциальной информации другому юридическому лицу.

2. Вы собираетесь своими силами аттестовать свои ИСПДн.

Процедура аттестации для коммерческих организаций не является обязательной. Таким образом, осуществлять защиту ИСПДн в рамках одного юридического лица можно без лицензии. Если речь идет о холдинге, в котором ИБ занимается одна организация, которая собирается оказывать услуги остальным, то лицензия нужна. Но это касается только технической защиты (установка, настройка средств защиты информации). Бумаги можно делать без лицензии.

В заявлении о получении лицензии указывается номер из ЕГРЮЛ или данные об ИП, иностранные лица сделать этого не могут. Хотя и есть законопроект об отмене запрета на выдачу лицензий иностранным лицам, но пока получение лицензии даже на российский филиал не предусмотрено.

Также не стоит забывать, что есть еще один регулятор - ФСБ России, такие лицензии понадобятся, если возникнет потребность в использовании криптографии. А она применяется для защиты каналов связи. В современном мире сложно представить абсолютно автономную систему.

Итак, как понять, нужна ли лицензия ФСТЭК России? Необходимо определить объем работ и узнать их стоимость у лицензиатов. Затем нужно посчитать затраты на получении лицензии:

·       обучение персонала (речь идет о требованиях к образованию);

·       аренда/покупка помещений;

·       аренда/покупка оборудования;

·       покупка специализированной документации;

·       затраты на аттестацию своей системы;

·       оплата госпошлины.

Время ожидания - не менее 45 дней.

Также стоит отметить, что в дальнейшем регулятор будет вас проверять . Хотя срок действия лицензии на ТЗКИ не ограничен, но для ее поддержания придется тратить значительные средства на закупку средств защиты информации, их обновление, обучение персонала, поверку оборудования, поддержание комплекта документов в актуальном состоянии и т.д.

 

Email, мессенджеры — это ИСПДН? Могут ли коммерческие компании работать с физлицами через них, что учесть?

Сами по себе E-mail и мессенджеры, которые использует компания, не являются ИСПДн. ИСПДн — это широкое понятие и включает в себя как сами персональные данные, так и обеспечивающие их обработку информационные технологии и технические средства. Поэтому почтовые серверы и мессенджеры — это всего лишь инструменты, они являются частью ИСПДн предприятия. Чтобы сделать обработку ПДн клиентов в них законной, она должна осуществляться с согласия (в большинстве случаев). Естественно, речь идет не о письменном согласии. Само участие клиента в диалоге, а точнее инициирование диалога с компанией говорит о согласии на такую обработку. Обязательно нужно разработать политику обработки персональных данных и разместить ее на сайте организации. Также могу посоветовать в начале диалога с клиентом отправлять ссылку на политику.

Есть еще один важный момент при обработке персональных данных в мессенджерах. Это локализация. Законодательство РФ определяет, что основная актуальная база персональных данных российских граждан должна размещаться на российских серверах. Передача данных за границу допустима, но с соблюдением определенных требований безопасности при трансграничной передаче, а также почти всегда исключительно с согласия субъекта.

В заключение хочу сказать, что в любой ситуации обработки персональных данных необходимо придерживаться принципа минимизации собираемых данных, а также использования их исключительно по прямому назначению. Также отмечу, что законом запрещена адресная реклама без предварительного согласия субъекта.



Кристина Боровикова, Старший менеджер, KPMG Cybersecurity&Privacy (слева), Ксения Шудрова (справа)

По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova