SlideShare a Scribd company logo

Государственное регулирование защиты данных в облаках - международный и казахстанский опыт

Vsevolod Shabad
Vsevolod Shabad

Доклад на вебинаре ISACA Astana Chapter 20.04.2023

Law
1 of 27
Download to read offline
Государственное регулирование защиты информации в облаках: международный и казахстанский опыт Всеволод Шабад, CISSP, CCSP +7 777 726 4790 vshabad@vshabad.com
Коротко обо мне: международный осьминог IT Cybersecurity Cloud Technologies Risk Management Compliance Data Science & ML Project Management Culture Changes Fraud Prevention 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇸🇬 🇹🇷
Расскажите о СЕБЕ и СВОИХ ожиданиях!
Due Care – мост между «бумажной» и «реальной» безопасностью • Incident Management* • Detection • Response • Mitigation • Reporting • Recovery • Remediation • Lessons learned • Vulnerability Management • … * Фазы взяты из CISSP CBK Reference (6th Edition) Вы виноваты по умолчанию (пока не предъявите документы и реальные меры безопасности)
Важность баланса Три направления регулирования защиты данных в облаках • Персональные данные • Критическая инфраструктура • Отраслевое регулирование Три стороны регулирования • Компания • Государство • Пользователи Формальное соответствие требованиям закона Реальные обеспокоенности представителей регуляторов * * В Казахстане также регламентируется размещение программно-аппаратных комплексов доменов зон .KZ и .ҚАЗ на территории Казахстана
При чем здесь персональные данные? • Защита частной жизни (privacy) – одно из фундаментальных человеческих прав • ст. 8 Европейской конвенции по правам человека (47 стран) • ст. 18 Конституции Республики Казахстан • Наказания за нарушения правил защиты персональных данных бывают очень жесткими (сотни миллионов евро) • Доказывать нарушения правил защиты персональных данных относительно просто • Даже если нарушения допускает облачный провайдер, за это в первую очередь отвечает сама компания
Ключевые понятия GDPR • ‘Controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law • ‘Processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller Это означает, что, в подавляющем большинстве случаев, за нарушения защиты персональных данных отвечает перед государством и пользователями сама компания как Data Controller, если не докажет, что облачный провайдер допустил нарушения, выйдя за пределы поручений компании-клиента (то есть превратившись из Data Processor в Data Controller)
При чем здесь критическая инфраструктура? * • В ряде случаев национальные законы о защите критической инфраструктуры могут оказаться применимы к веб-приложениям • В сферу действия директивы EU 2022/2555 (NIS2) попадают следующие организации (п. 6 Приложения II “Other Critical Sectors”): • Providers of online marketplaces • Providers of online search engines • Providers of social networking services platforms Малые и средние предприятия (до 250 человек персонала, годовой оборот до 50M EUR, активы до 43M EUR) выведены из-под действия директивы NIS2 * В Казахстане государство определяет конкретный перечень КВОИКИ, в Европе – только сектора экономики
Что беспокоит регуляторов? • Нарушение прав и свобод граждан как «слабой стороны» во взаимоотношениях с компаниями-поставщиками услуг • Масштабная угроза жизни и здоровью граждан – например, при успешной атаке злоумышленника на городскую систему очистки воды • Угроза для всей отрасли – например, всеобщая банковская паника при масштабном киберинциденте в ведущем банке, если информация получит огласку в прессе Защита государством прав и свобод граждан – ключевой фактор доверия граждан к государству и, соответственно, развития экономики! Чтобы дискуссии с регуляторами были продуктивными, совершенно необходимо обсуждать не только те или иные запреты, но и влияние этих запретов на отрасль и экономику страны в целом!
Что беспокоит регуляторов? Типичные примеры ситуаций, когда регулятор должен вмешиваться: • Незаконное разглашение персональных данных • Незаконный сбор персональных данных • Незаконная трансграничная передача персональных данных • Недоступность критической информационной инфраструктуры • Незаконное разглашение банковской тайны • … Регулятор вмешивается не только тогда, когда случился инцидент или поступила жалоба! «Под микроскоп» попадают и доминирующие участники рынка, и компании, риски деятельности которых, по мнению регулятора, чрезмерны
Персональные данные (Люксембург, EU) • Законодательство – GDPR (2016) • (неочевидная) Область применения – любая компания, ведущая мониторинг поведения субъектов на территории EU (Anti-DDoS? Cookie?) • Законные штрафы – от €10M / 2% всемирного годового оборота до €20M / 4% годового оборота • Максимальный фактический штраф – Amazon, 2021 (€746M) Ex-CEO @ Amazon Jeff Bezos
Персональные данные (UK) • Законодательство – UK Data Protection Act (1998) • Прецедент: масштабная утечка данных в американском кредитном бюро Equifax (2017) • Количество пострадавших субъектов персональных данных – 146 миллионов, в том числе, 15.7 миллионов британцев • Штраф £ 500’000 в UK (в дополнение к $575M в США) • Глава компании ушел в отставку Ex-CEO @ Equifax Richard Smith
Персональные данные (Сингапур) • Законодательство – Personal Data Protection Act 2012 • (неочевидная) Область применения – любая компания, ведущая мониторинг поведения субъектов на территории SG (Anti-DDoS? Cookie?) • Законные штрафы – до 10% годового оборота в Сингапуре • Возможность тюрьмы до 3 лет для частных лиц • Максимальный фактический штраф – 250K SGD ($188K) для SingHealth и 750K SGD ($564K) для IHiS CEO @ IHiS Bruce Liang
Персональные данные (Казахстан) • Законодательство – ЗРК от 21.05.13 № 94-V «О персональных данных и их защите» • Область применения – территория Казахстана • Законные штрафы – до 1000 МРП (примерно $7600) • Максимальный фактический штраф – 100 МРП, за неисполнение предписания об устранении нарушений 500 МРП
Критическая инфраструктура и отраслевое регулирование • Германия (EU) – German Federal Network Agency (Bundesnetzagentur) наложило в 2018 году штраф в €10M на энергокомпанию Energieversorgung Offenbach (EVO) за недостаточность мер кибербезопасности • США – Federal Energy Regulatory Commission (FERC) наложила в 2018 году штраф в $10M на энергокомпанию Duke Energy за недостаточность мер кибербезопасности • Казахстан (максимальный фактический штраф 100 МРП): • за 2022 год – привлечено к ответственности 48 должностных лиц на сумму 1’172’475 KZT и 17 юрлиц на сумму 3’492’535 KZT • за 1 квартал 2023 – привлечено к ответственности 74 должностных лица на сумму 2’026’875 KZT и 8 юрлиц на сумму 672’750 KZT
Кто может нанести наибольший ущерб компании при небрежной организации ИБ? Государство!
Пять ключевых обязательств компании • Обрабатывать информацию клиентов в соответствии с заявленными целями • Реагировать на законные требования клиентов (например, предоставлении копии собранных ПДн) • Своевременно уведомлять регулятора и клиентов об инцидентах • Обеспечивать локализацию персональных данных • Иметь работоспособную СУИБ • иногда регуляторы выставляют очень подробные требования +
Что дает миграция в облака? • Возможность делегировать многие функции безопасности облачному провайдеру • Возможность просто и дешево автоматизировать многие процессы безопасности • Возможность просто и дешево обеспечить резервирование и масштабирование сервисов • Необходимость делегировать многие функции безопасности облачному провайдеру • Риск нарушения ряда законодательных требований (например, локализации ПДн) • Риск неправомерного использования данных облачным провайдером (особенно, SaaS)
Примеры - ISO 27001:2022, Annex A • 5.2 “Information security roles and responsibilities shall be defined and allocated according to the organization needs” • 5.13 “An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization” • 5.25 “The organization shall assess information security events and decide if they are to be categorized as information security incidents”
Примеры – PCI DSS compliance checking
Инфраструктура разделена, но процессы обеспечения безопасности сквозные! Through 2025, 99% of cloud security failures will be the customer’s fault (https://www.gartner.com/smarterwithgartner/is-the-cloud-secure) AWS Shared Responsibility Model Для примера: Incident Management – сквозной процесс, и оркестрация компонентов и инструментов (AWS GuardDuty, SNS, Lambda Functions, …) всегда в зоне ответственности компании!
Что можно сделать? Разумно выбрать облачного провайдера •Обратите внимание на сертификацию SOC2 или ISO 27017 Построить и сертифицировать сквозную СУИБ •Постройте модель угроз и увяжите с нею СУИБ Обеспечить формальное соответствие СУИБ требованиям регуляторов •Помните – регуляторов немало, и зачастую их требования трудно совместить и одновременно исполнить Неформально согласовать с регуляторами модель угроз и СУИБ на ее базе •Ключевая задача – услышать обеспокоенности и убедительно ответить на них Протестировать сквозные процессы в рамках СУИБ •Результаты тестов, в том числе, и неудачных – убедительное свидетельство эффективности СУИБ и для регуляторов, и для клиентов Поэтапно перенести приложения и данные в облако
Пример • Казахстанский банк хочет разместить часть приложений в зарубежном публичном облаке • Инвентаризация применимого законодательства и регуляторов • Составление short-листа подходящих облачных провайдеров • Разработка модели угроз (STRIDE) и планирования контролей безопасности (Preventive, Detective, Reactive) с привлечением архитекторов облачных провайдеров • Согласование модели угроз и контролей безопасности со своими юристами и с регуляторами • Реализация контролей безопасности и поэтапная миграция приложений и данных в облако ?
Пример: о чем мы должны беспокоиться • Трансграничная передача персональных данных (ЗРК № 94-V «О персональных данных и их защите» ст. 16, GDPR Chapter V): • Явное согласие клиента (с возможностью отзыва в любое время) • Возможность ограничить доступ к этим данным (при отзыве согласия), если нельзя данные удалить • Наличие страны, где размещается ЦОД выбранного региона облачного провайдера, в списке одобренных стран (European Commission Adequacy Decision - https://commission.europa.eu/law/law-topic/data- protection/international-dimension-data-protection/adequacy- decisions_en) • Явное объяснение, почему выбранная страна обеспечивает должную защиту персональных данных (ст. 16.2 ЗРК № 94-V) • Хранение локального бэкапа персональных данных (ЗРК № 94-V ст. 12) 1
Пример: о чем мы должны беспокоиться • Необходимость шифровать данные, находящиеся в облаке, ключом на стороне банка (ПП НБРК № 48, п. 60.2) • Использование только облачных сервисов, поддерживающих KMS (например, AWS DynamoDB или Azure SQL) • Использование KMS с ключами, генерируемыми в On-Premise HSM (например, Azure Key Vault Managed HSM или AWS KMS custom key store это позволяет) 2
Краткое резюме: факторы успеха при миграции в публичное облако • Внятная причина, зачем это делать (миссия, ценности, риски) • Понимание применимого законодательства • Риск-ориентированная СМИБ со сквозными процессами • Уважительный разговор с регуляторами, базирующийся на рисках • Компетентная команда, пользующаяся поддержкой руководства
Буду рад помочь, чем смогу! +7 777 726 4790 vshabad@vshabad.com https://linkedin.com/in/vshabad

Recommended

Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulationCisco Russia
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvAlexey Yankovski
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещейAleksey Lukatskiy
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаковAndrey Beshkov
 

Recommended

Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulationCisco Russia
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvAlexey Yankovski
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещейAleksey Lukatskiy
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаковAndrey Beshkov
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский InfowatchExpolink
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure XS.E. CTS CERT-GOV-MD
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014Expolink
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологииOlena Sukhina
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологииExpert and Consulting (EnC)
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеCisco Russia
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Vsevolod Shabad
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБVsevolod Shabad
 

More Related Content

Similar to Государственное регулирование защиты данных в облаках - международный и казахстанский опыт

Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский InfowatchExpolink
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014Expolink
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологииOlena Sukhina
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеCisco Russia
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 

Similar to Государственное регулирование защиты данных в облаках - международный и казахстанский опыт (20)

Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatch
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологии
 
перспективные технологии
перспективные технологииперспективные технологии
перспективные технологии
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. Исследование
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
 

More from Vsevolod Shabad

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Vsevolod Shabad
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБVsevolod Shabad
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...Vsevolod Shabad
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...Vsevolod Shabad
 
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаС широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаVsevolod Shabad
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scaryVsevolod Shabad
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Vsevolod Shabad
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Vsevolod Shabad
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Vsevolod Shabad
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Vsevolod Shabad
 
ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityVsevolod Shabad
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыVsevolod Shabad
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыVsevolod Shabad
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиVsevolod Shabad
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорVsevolod Shabad
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровVsevolod Shabad
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Vsevolod Shabad
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)Vsevolod Shabad
 
Программно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими даннымиПрограммно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими даннымиVsevolod Shabad
 

More from Vsevolod Shabad (20)

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБ
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...
 
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаС широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scary
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
 
ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in Cybersecurity
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзор
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеров
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)
 
Программно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими даннымиПрограммно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими данными
 

Государственное регулирование защиты данных в облаках - международный и казахстанский опыт

  • 1. Государственное регулирование защиты информации в облаках: международный и казахстанский опыт Всеволод Шабад, CISSP, CCSP +7 777 726 4790 vshabad@vshabad.com
  • 2. Коротко обо мне: международный осьминог IT Cybersecurity Cloud Technologies Risk Management Compliance Data Science & ML Project Management Culture Changes Fraud Prevention 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇸🇬 🇹🇷
  • 3. Расскажите о СЕБЕ и СВОИХ ожиданиях!
  • 4. Due Care – мост между «бумажной» и «реальной» безопасностью • Incident Management* • Detection • Response • Mitigation • Reporting • Recovery • Remediation • Lessons learned • Vulnerability Management • … * Фазы взяты из CISSP CBK Reference (6th Edition) Вы виноваты по умолчанию (пока не предъявите документы и реальные меры безопасности)
  • 5. Важность баланса Три направления регулирования защиты данных в облаках • Персональные данные • Критическая инфраструктура • Отраслевое регулирование Три стороны регулирования • Компания • Государство • Пользователи Формальное соответствие требованиям закона Реальные обеспокоенности представителей регуляторов * * В Казахстане также регламентируется размещение программно-аппаратных комплексов доменов зон .KZ и .ҚАЗ на территории Казахстана
  • 6. При чем здесь персональные данные? • Защита частной жизни (privacy) – одно из фундаментальных человеческих прав • ст. 8 Европейской конвенции по правам человека (47 стран) • ст. 18 Конституции Республики Казахстан • Наказания за нарушения правил защиты персональных данных бывают очень жесткими (сотни миллионов евро) • Доказывать нарушения правил защиты персональных данных относительно просто • Даже если нарушения допускает облачный провайдер, за это в первую очередь отвечает сама компания
  • 7. Ключевые понятия GDPR • ‘Controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law • ‘Processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller Это означает, что, в подавляющем большинстве случаев, за нарушения защиты персональных данных отвечает перед государством и пользователями сама компания как Data Controller, если не докажет, что облачный провайдер допустил нарушения, выйдя за пределы поручений компании-клиента (то есть превратившись из Data Processor в Data Controller)
  • 8. При чем здесь критическая инфраструктура? * • В ряде случаев национальные законы о защите критической инфраструктуры могут оказаться применимы к веб-приложениям • В сферу действия директивы EU 2022/2555 (NIS2) попадают следующие организации (п. 6 Приложения II “Other Critical Sectors”): • Providers of online marketplaces • Providers of online search engines • Providers of social networking services platforms Малые и средние предприятия (до 250 человек персонала, годовой оборот до 50M EUR, активы до 43M EUR) выведены из-под действия директивы NIS2 * В Казахстане государство определяет конкретный перечень КВОИКИ, в Европе – только сектора экономики
  • 9. Что беспокоит регуляторов? • Нарушение прав и свобод граждан как «слабой стороны» во взаимоотношениях с компаниями-поставщиками услуг • Масштабная угроза жизни и здоровью граждан – например, при успешной атаке злоумышленника на городскую систему очистки воды • Угроза для всей отрасли – например, всеобщая банковская паника при масштабном киберинциденте в ведущем банке, если информация получит огласку в прессе Защита государством прав и свобод граждан – ключевой фактор доверия граждан к государству и, соответственно, развития экономики! Чтобы дискуссии с регуляторами были продуктивными, совершенно необходимо обсуждать не только те или иные запреты, но и влияние этих запретов на отрасль и экономику страны в целом!
  • 10. Что беспокоит регуляторов? Типичные примеры ситуаций, когда регулятор должен вмешиваться: • Незаконное разглашение персональных данных • Незаконный сбор персональных данных • Незаконная трансграничная передача персональных данных • Недоступность критической информационной инфраструктуры • Незаконное разглашение банковской тайны • … Регулятор вмешивается не только тогда, когда случился инцидент или поступила жалоба! «Под микроскоп» попадают и доминирующие участники рынка, и компании, риски деятельности которых, по мнению регулятора, чрезмерны
  • 11. Персональные данные (Люксембург, EU) • Законодательство – GDPR (2016) • (неочевидная) Область применения – любая компания, ведущая мониторинг поведения субъектов на территории EU (Anti-DDoS? Cookie?) • Законные штрафы – от €10M / 2% всемирного годового оборота до €20M / 4% годового оборота • Максимальный фактический штраф – Amazon, 2021 (€746M) Ex-CEO @ Amazon Jeff Bezos
  • 12. Персональные данные (UK) • Законодательство – UK Data Protection Act (1998) • Прецедент: масштабная утечка данных в американском кредитном бюро Equifax (2017) • Количество пострадавших субъектов персональных данных – 146 миллионов, в том числе, 15.7 миллионов британцев • Штраф £ 500’000 в UK (в дополнение к $575M в США) • Глава компании ушел в отставку Ex-CEO @ Equifax Richard Smith
  • 13. Персональные данные (Сингапур) • Законодательство – Personal Data Protection Act 2012 • (неочевидная) Область применения – любая компания, ведущая мониторинг поведения субъектов на территории SG (Anti-DDoS? Cookie?) • Законные штрафы – до 10% годового оборота в Сингапуре • Возможность тюрьмы до 3 лет для частных лиц • Максимальный фактический штраф – 250K SGD ($188K) для SingHealth и 750K SGD ($564K) для IHiS CEO @ IHiS Bruce Liang
  • 14. Персональные данные (Казахстан) • Законодательство – ЗРК от 21.05.13 № 94-V «О персональных данных и их защите» • Область применения – территория Казахстана • Законные штрафы – до 1000 МРП (примерно $7600) • Максимальный фактический штраф – 100 МРП, за неисполнение предписания об устранении нарушений 500 МРП
  • 15. Критическая инфраструктура и отраслевое регулирование • Германия (EU) – German Federal Network Agency (Bundesnetzagentur) наложило в 2018 году штраф в €10M на энергокомпанию Energieversorgung Offenbach (EVO) за недостаточность мер кибербезопасности • США – Federal Energy Regulatory Commission (FERC) наложила в 2018 году штраф в $10M на энергокомпанию Duke Energy за недостаточность мер кибербезопасности • Казахстан (максимальный фактический штраф 100 МРП): • за 2022 год – привлечено к ответственности 48 должностных лиц на сумму 1’172’475 KZT и 17 юрлиц на сумму 3’492’535 KZT • за 1 квартал 2023 – привлечено к ответственности 74 должностных лица на сумму 2’026’875 KZT и 8 юрлиц на сумму 672’750 KZT
  • 16. Кто может нанести наибольший ущерб компании при небрежной организации ИБ? Государство!
  • 17. Пять ключевых обязательств компании • Обрабатывать информацию клиентов в соответствии с заявленными целями • Реагировать на законные требования клиентов (например, предоставлении копии собранных ПДн) • Своевременно уведомлять регулятора и клиентов об инцидентах • Обеспечивать локализацию персональных данных • Иметь работоспособную СУИБ • иногда регуляторы выставляют очень подробные требования +
  • 18. Что дает миграция в облака? • Возможность делегировать многие функции безопасности облачному провайдеру • Возможность просто и дешево автоматизировать многие процессы безопасности • Возможность просто и дешево обеспечить резервирование и масштабирование сервисов • Необходимость делегировать многие функции безопасности облачному провайдеру • Риск нарушения ряда законодательных требований (например, локализации ПДн) • Риск неправомерного использования данных облачным провайдером (особенно, SaaS)
  • 19. Примеры - ISO 27001:2022, Annex A • 5.2 “Information security roles and responsibilities shall be defined and allocated according to the organization needs” • 5.13 “An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization” • 5.25 “The organization shall assess information security events and decide if they are to be categorized as information security incidents”
  • 20. Примеры – PCI DSS compliance checking
  • 21. Инфраструктура разделена, но процессы обеспечения безопасности сквозные! Through 2025, 99% of cloud security failures will be the customer’s fault (https://www.gartner.com/smarterwithgartner/is-the-cloud-secure) AWS Shared Responsibility Model Для примера: Incident Management – сквозной процесс, и оркестрация компонентов и инструментов (AWS GuardDuty, SNS, Lambda Functions, …) всегда в зоне ответственности компании!
  • 22. Что можно сделать? Разумно выбрать облачного провайдера •Обратите внимание на сертификацию SOC2 или ISO 27017 Построить и сертифицировать сквозную СУИБ •Постройте модель угроз и увяжите с нею СУИБ Обеспечить формальное соответствие СУИБ требованиям регуляторов •Помните – регуляторов немало, и зачастую их требования трудно совместить и одновременно исполнить Неформально согласовать с регуляторами модель угроз и СУИБ на ее базе •Ключевая задача – услышать обеспокоенности и убедительно ответить на них Протестировать сквозные процессы в рамках СУИБ •Результаты тестов, в том числе, и неудачных – убедительное свидетельство эффективности СУИБ и для регуляторов, и для клиентов Поэтапно перенести приложения и данные в облако
  • 23. Пример • Казахстанский банк хочет разместить часть приложений в зарубежном публичном облаке • Инвентаризация применимого законодательства и регуляторов • Составление short-листа подходящих облачных провайдеров • Разработка модели угроз (STRIDE) и планирования контролей безопасности (Preventive, Detective, Reactive) с привлечением архитекторов облачных провайдеров • Согласование модели угроз и контролей безопасности со своими юристами и с регуляторами • Реализация контролей безопасности и поэтапная миграция приложений и данных в облако ?
  • 24. Пример: о чем мы должны беспокоиться • Трансграничная передача персональных данных (ЗРК № 94-V «О персональных данных и их защите» ст. 16, GDPR Chapter V): • Явное согласие клиента (с возможностью отзыва в любое время) • Возможность ограничить доступ к этим данным (при отзыве согласия), если нельзя данные удалить • Наличие страны, где размещается ЦОД выбранного региона облачного провайдера, в списке одобренных стран (European Commission Adequacy Decision - https://commission.europa.eu/law/law-topic/data- protection/international-dimension-data-protection/adequacy- decisions_en) • Явное объяснение, почему выбранная страна обеспечивает должную защиту персональных данных (ст. 16.2 ЗРК № 94-V) • Хранение локального бэкапа персональных данных (ЗРК № 94-V ст. 12) 1
  • 25. Пример: о чем мы должны беспокоиться • Необходимость шифровать данные, находящиеся в облаке, ключом на стороне банка (ПП НБРК № 48, п. 60.2) • Использование только облачных сервисов, поддерживающих KMS (например, AWS DynamoDB или Azure SQL) • Использование KMS с ключами, генерируемыми в On-Premise HSM (например, Azure Key Vault Managed HSM или AWS KMS custom key store это позволяет) 2
  • 26. Краткое резюме: факторы успеха при миграции в публичное облако • Внятная причина, зачем это делать (миссия, ценности, риски) • Понимание применимого законодательства • Риск-ориентированная СМИБ со сквозными процессами • Уважительный разговор с регуляторами, базирующийся на рисках • Компетентная команда, пользующаяся поддержкой руководства
  • 27. Буду рад помочь, чем смогу! +7 777 726 4790 vshabad@vshabad.com https://linkedin.com/in/vshabad