«Роскомнадзор» рекомендует

«Роскомнадзор» в начале августа опубликовал рекомендации для операторов персональных данных по защите от утечек (https://rkn.gov.ru/news/rsoc/news74733.htm), реализация которых позволит сократить количество инцидентов, но может потребовать от компаний перестройки своих приложений. Изначально эти рекомендации были частью законопроекта Минцифры по введению оборотных штрафов для операторов персональных данных, однако в январе этого года в процесс законотворчества вмешался Гарант Конституции РФ и потребовал согласовать с ним изменения до 1 июля. По некоторым данным из РБК (https://www.rbc.ru/technology_and_media/27/07/2023/64c15e069a79474102dac8b0) новый законопроект был к указанному сроку согласован, однако Государственная Дума летом не работает, поэтому финальный документ будет обсуждаться в осеннюю сессию ГД. Тем не менее, рекомендации уже официально опубликованы, и можно приступать к их реализации.

Разделяй и властвуй

РКН рекомендует операторам ИСПДн при организации и осуществлении деятельности по обработке персональных данных руководствоваться следующими подходами:

  • минимизация перечня персональных данных. Cобирать данные лучше всего только те, которые необходимы для предоставления услуг и исполнения требований законов. Например, для интернет-магазина совсем не обязательно знать отчество клиента, да и фамилия не всегда нужна, а ведь за счет запроса только имени (чего в большинстве случаев достаточно для доставки) компания вообще может выйти из-под действия закона о ПДн – имя не является персональными данными, поскольку не позволяет гарантированно идентифицировать человека;
  • раздельное хранение ПДн. Не стоит создавать полный профиль персональных данных каждого конкретного человека в одной базе данных, в которую обычно «сваливают» все переданные человеком сведения. Разные данные лучше хранить в разных системах. Причем наиболее ценные – имена, адреса и номера телефонов – рекомендуется сохранять в специализированной системе управления персональными данными (СУПД). В то же время для быстрого доступа целесообразно создать, например, в публичных облаках, базы данных для отдельных нужд, возможно, с псевдонимами или алиасами вместо реальных данных;
  • разделение идентификаторов человека и данных о взаимодействии с ним. Информацию о самом человеке следует хранить внутри защищенной СУПД, однако взаимодействие с клиентами требует определенных данных, таких как адрес доставки, номер телефона для связи или адрес электронной почты для рассылки уведомлений. Эти адреса можно разносить по разным системам, а для связи их между собой – использовать синтетические идентификаторы, например, номер заказа или ID-клиента – их можно сделать полностью случайными. Альтернативой являются псевдонимы, которые исключают возможность раскрыть персональных данных конкретных пользователей;
  • отказ от практики профилирования. Сейчас пропагандируется экономика, управляемая данными, которая предполагает накопление максимального количества информации о клиентах с ее последующим анализом и персонификацией взаимодействия. Однако для этого совсем не обязательно хранить полные данные о клиенте. Их можно обезличивать – для анализа пользовательского поведения имена не очень важны. Вбольшинстве случаев переоценена и персонификация сервисов – затраты на нее могут оказаться больше, чем достигнутый результат. Поэтому «Роскомнадзор» рекомендует своевременно уничтожать бесполезные персональные данные – при достижении цели их обработки;
  • собственные технические и программные средства. Если в компании нет компетентных специалистов, то и получение прав собственности на ПО и «железо» не обеспечивает безопасности. Лучше доверить защиту специалистам – благо, закон «О защите ПДн» такую возможность предусматривает. Однако поручение обработки данных третьим лицам не снимает с оператора ИСПДн ответственности, при этом снижает контроль с его стороны за принимаемыми мерами безопасности. В облака рекомендуется выносить только базы оперативной доступности с учетом вышеописанных принципов разделения данных;
  • cвоевременное информирование «Роскомнадзора». На оператора ИСПДн также возлагается ответственность за информирование контрольного ведомства об утечках персональных данных с подробным расследованием. Причем в соответствии с последними изменениями срок предоставления информации о взломе достаточно ограниченный. Чтобы уложиться в него, компании придется создать службу информационной безопасности, которая будет контролировать защищенность ИСПДн. Впрочем, мониторинг можно организовать и из облака с помощью специального приложения, с привлечением сотрудников коммерческого SOC;
  • меры физического контроля доступа к данным. Для ИСПДн лучше использовать выделенные серверные стойки с ограничением к ним физического доступа. Не менее эффективный способ – «запутать» внутреннего злоумышленника с помощью облака – даже администраторам сложно будет разобраться, где и какие данные хранятся. А если пользоваться гибридным облаком, в котором данные могут быть распределены между несколькими локациями, то ценность физического доступа к данным сильно снижается;
  • ответственный за защиту ПДн. Это уже является законодательным требованием, поэтому в организации должен быть как минимум один ответственный за обработку ПДн – в противном случае за утечки будет отвечать генеральный директор. Впрочем, сейчас разработано достаточно много сервисов и приложений, которые обеспечивают безопасность персональных данных, так что квалификация этого специалиста заключается скорее в правильном понимании законов и требований регуляторов, а не принципов защиты данных от утечек и технической реализации информационной безопасности.

Перестройка и ускорение

Перечисленные рекомендации разделены на две части: управление данными (первые четыре пункта) и ИБ (последние четыре). Если с требованиями по безопасности данных все более-менее ясно – необходимо предусмотреть создание службы управления безопасностью данных, которая организует контроль физического доступа и самих информационных систем, а также расследование инцидентов. Эти требования находятся в русле государственной ИБ-стратегии для других отраслей, таких как КИИ. Пункты по управлению персональными данными достаточно новые. Они требуют определенной работы, причем специалистов не столько по информационной безопасности, сколько по управлению данными.

По мнению генерального директора компании Makves (входит в группу компаний «Гарда») Романа Подкопаева, начинать нужно с инвентаризации этих самых данных: «Для организации работы с персональными данными в соответствии с рекомендациями «Роскомнадзора» прежде всего надо определить, насколько остро в конкретной компании стоит проблема с их хранением и обработкой. Для этого необходимо выявить объем персональных данных в ИТ-инфраструктуре компании, определить места их хранения, а также круг лиц, которые имеют к ним доступ».

В небольшой компании, которая к тому же только начала свою деятельность, сделать это достаточно просто. А вот в крупных, да и в средних компаниях, где уже накоплен большой объем данных, специалисты не всегда могут точно сказать, что и где именно хранится. Им понадобятся инструменты для поиска как самих ИСПДн, так и хранящихся «в закромах» файловых систем документов с персональными данными.

«Если в компании хранятся миллионы файлов, с которыми постоянно взаимодействуют сотрудники, найти все документы, содержащие персональные данные, просто невозможно, – считает Роман Подкопаев. – Решить эту проблему помогают системы класса DCAP. Они позволяют обнаружить на файловых хранилищах документы, содержащие персональные данные, обеспечить их своевременное уничтожение, а также контролировать все действия с конфиденциальной информацией во избежание компрометации данных внутренним нарушителем».

Когда все места хранения персональных данных обнаружены, можно переходить к их защите. Для этого технический директор компании «Инполюс» Юрий Заболотников рекомендует использовать те самые СУПД. «Наиболее адекватным и безопасным решением было бы выделение всех персональных данных в отдельную систему управления персональными данными, – отметил он. – При этом данные в исходных системах могут заменяться некими псевдонимами или алиасами, которые соответствуют реальным персональным данным, хранящимся в СУПД, что может значительно снизить требования к доработкам информационных систем. Система управления ПДн кроме обеспечения защищенного хранения может предоставлять механизмы, которые позволят субъекту персональных данных (или его представителю) определять права на их использование операторами персональных данных, а операторам – более гранулярно определять права на ПДн для их обработки в информационных системах (собственных и их партнеров)». Понятно, что сами системы управления персональными данными нужно защищать максимально тщательно в соответствии со всеми требованиями регуляторов.

Обратную подмену данных (вместо алиасов реальные персональные данные) можно организовать с помощью интеграционной шины. «Когда требуется объединить системы на уровне данных и обеспечить интеллектуальный обмен между ними, может использоваться интеграционная шина, которая способна как собирать фрагменты данных из разрозненных БД и предоставлять участникам бизнеса только нужные им фрагменты, так и реализовывать бизнес-логику, обеспечивая необходимую обработку и трансформацию собранных и передаваемых данных – за счет реализации соответствующих бизнес-сценариев, – пояснил Юрий Заболотников. – Причем интеграционная шина может помочь и в выделении персональных данных для их переноса в СУПД, выступая своего рода объединяющим ядром и позволяя определять циркулирующие персональные данные, а также сопоставлять алиасы и реальные данные в СУПД. Это обеспечивает возможность значительно снизить затраты на переход к использованию СУПД и автоматизировать процесс. В дальнейшем, после внедрения СУПД, интеграционная шина продолжит функционировать как единое связующее звено между всеми системами компаний. При этом она может взять на себя функции проверки прав доступа при обращении к персональным данным в СУПД, а также обеспечить механизмы выявления нарушений при передаче персональных данных между системами».

Заключение

Вполне возможно, что операторы СУПД могут быть выделены в отдельный рынок сервисов, с помощью которых у граждан появится возможность контролировать доступ различных приложений к их персональным данным. Доставщики смогут получать только  адрес покупателя, магазин – иметь доступ только к платежной информации, а колл-центр, который согласовывает с клиентом подробности заказа, – только данные о телефонном номере. Каждая компания в цепочке поставки будет иметь доступ только к своей части персональных данных, не собирая их в единый профиль. В то же время оператор СУПД, хотя и имеет «коллекцию» ПДн различных пользователей, не имеет доступа ни к финансовым транзакциям, ни к корзинам покупателей, ни к маршрутам доставщиков. Подобную систему можно реализовать на блокчейне, с помощью которого пользователи смогут контролировать каждый доступ к своим персональным данным от всех участников цепочки поставки, не допуская их повторного использования злоумышленниками.

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку