С появлением и развитием компьютерных технологий использование персональных данных (ПДн) – любой информации, прямо либо косвенно относящейся к определенному физическому лицу (субъекту), – дает все больший простор для эксплуатации различного рода сервисов, обеспечивая комфорт и удобство пользователей во всем мире. Однако оборотной стороной медали является уязвимость ПДн, порождающая кражи денежных средств, взлом интернет-ресурсов и более серьезные последствия. Не случайно наряду с расширением возможностей использования персональных данных в электронной коммерции активно развиваются методы физического и правового урегулирования доступа к ним.
Предпосылки возникновения Закона «О персональных данных» в России
Вопрос о защите персональных данных от пагубных последствий несанкционированного доступа поднимался задолго до времен легендарного Шерлока Холмса. Так, один из распространенных методов защиты – шифрование – появился еще в IV в. до нашей эры одновременно с возникновением письменности. Сегодня люди по-прежнему не уверены в защищенности приватной информации. Исследование, проведенное холдингом ROMIR Monitoring в 2006 г., показало, что лишь 3,4% россиян полностью спокойны за сохранность своих ПДн. Противоположной точки зрения придерживались почти 25% российских граждан, а в пользу бескомпромиссной борьбы государства, например, с распространением пиратских баз операторов сотовой связи, владельцев недвижимости и т. д. высказались более 70% опрошенных. И если в 1990-х гг. в России персональные данные сотрудников и клиентов организаций можно было без труда приобрести в подземном переходе, то уже с 2007 г. судебные органы и стражи правопорядка получили законодательную возможность привлекать и осуждать всех виновников несанкционированного распространения приватной информации.
Важность совершенствования законодательной базы в сфере защиты ПДн
С тех пор много воды утекло, однако применение на практике Закона «О персональных данных» (так называемого № 152-ФЗ), принятого в 2006 г., по-прежнему порождает множество вопросов и требует постоянного совершенствования. Даже за рубежом, несмотря на более развитую законодательную базу, не раз возникали крупные скандалы, связанные с утечкой личной информации. Так, согласно рейтингу центра аналитики «СофтИнформ», наиболее громкие утечки в 2009 г. были характерны для США, Европы и Японии. К примеру, в Германии по причине нарушения тайны вкладов пострадали тысячи клиентов банка LBB, а в США скомпрометированными оказались свыше 130 млн номеров банковских карт, платежи по которым обрабатывала компания Hertland Payment Systems. В рейтинге также засветился гигант ИТ-сферы – компания Google: точное количество пользователей сервиса Google Docs, данные которых оказались во всеобщем доступе, не подсчитано и по сей день.
Что касается «свежих» утечек, то на третьем месте по незащищенности данных оказалась в прошлом году Великобритания, на втором – Россия, а лидируют в списке по-прежнему США. Наиболее громким скандалом обернулся взлом около 150 млн учетных записей пользователей Adobe Systems – это сделало небезызвестную компанию кандидатом для внесения в книгу рекордов Гиннеса. В Германии от хакеров пострадали около 2 млн абонентов сотового оператора Vodafone, а в России злоумышленники похитили базу данных около миллиона заказчиков СК «Цюрих».
Ближайшие перспективы мирового законодательного регулирования защиты ПДн
На фоне описанных инцидентов сенаторы США решили разработать законопроект, обеспечивающий защиту персональных данных. Инициатива предусматривает надежные, но вместе с тем гибкие стандарты безопасности, обязательное информирование жертв утечек, предоставление правительственных льгот предприятиям, внедряющим передовые технологии шифрования, и др. По сообщению «РИА Новости», поправки к существующему закону будут внесены и в России, в частности, предусматривается ответственность компаний за замалчивание факта утечек и многократное увеличение размеров штрафных санкций.
Итак, правовое урегулирование становится все строже, однако положительные сдвиги в области защиты информации происходят крайне медленно, и это свидетельствует не только о недостатке внимания к проблеме со стороны ответственных инстанций, но и о слабости самих механизмов защиты, позаботиться о которых следует, в частности, самим компаниям – держателям баз персональных данных.
Классификация информационных систем персональных данных
На практике персональные данные объединяются в информационные системы (ИСПДн). К ним можно отнести следующие формирования:
- кадровые и бухгалтерские системы (данные о сотрудниках предприятия);
- CRM-системы (данные о клиентах предприятия);
- биллинговые системы (данные о физических и юридических лицах, осуществляющих платежи);
- системы документооборота (ПДн сотрудников, клиентов, поставщиков, партнеров);
- банковские и медицинские автоматизированные системы, базы ПДн провайдеров сотовой связи (данные о сотрудниках, клиентах, абонентах, пациентах, партнерах и т. п.);
- сall-центры;
- автоматизированные системы бюро пропусков и СКУД (данные о посетителях);
- адресные книги почтовых систем (ПДн сотрудников, клиентов, поставщиков, партнеров) и др.
Определенная сложность заключается в том, что зачастую ИСПДн не имеют четкого разграничения: например, сектор бухгалтерии перемежается с модулем учета персонала, а тот, в свою очередь, с системой контроля и управления доступом (СКУД) и др. Таким образом, размывание границ может привести к тому, что требования, предъявляемые к защите персональных данных, приходится переносить на всю информационную инфраструктуру предприятия.
МНЕНИЕ СПЕЦИАЛИСТА
Действительно, законодательство в сфере обеспечения безопасности ПДн со временем становится жестче и дополняется новыми требованиями. Однако на практике это не всегда приводит к повышению уровня безопасности обработки ПДн и росту надежности процессов обеспечения защиты. Это происходит потому, что изменения нормативной базы зачастую инициируются, не основываясь на фактических утечках данных и других инцидентах информационной безопасности. Такой подход мог бы существенно приблизить предъявляемые регуляторами требования к реальной картине в операторах ПДн. Но положительные сдвиги в развитии законодательства безусловно есть. К примеру, в последней редакции закона № 152-ФЗ учтено много важных моментов, ранее вызывавших споры. А приказ ФСТЭК России, определяющий состав технических мер защиты ПДн, существенно отличается от своего предшественника в лучшую сторону по методике выбора механизмов защиты и учету современных информационных технологий.
Несмотря на жесткость и большое количество требований по обеспечению безопасности ПДн, приведение информационных систем в соответствие № 152-ФЗ не всегда выливается в крупные ресурсные и финансовые затраты. Подход к построению систем защиты достаточно гибкий: набор базовых требований в зависимости от уровня защищенности невелик и его можно существенно «кастомизировать», избегая экономически нецелесообразных требований, так же физически не применимых. С точки зрения выбора средств защиты «свободы» стало гораздо больше: можно не ограничиваться сертифицированными по требованиям безопасности информации решениями. Их нужно применять только для нейтрализации актуальных угроз.
Операторы персональных данных и предъявляемые к ним требования
Под операторами ПДн понимаются государственные или муниципальные структуры, а также физические лица и предприятия, осуществляющие обработку ПДн. Это, в частности, интернет-магазины и сервисы, ЦОД, провайдеры связи и других услуг, государственные структуры, налоговые службы, банки и др. Казалось бы, что может быть очевиднее, однако нередко лица или организации, обрабатывающие ПДн, уверены в том, что они не являются операторами. Таким образом, многие из них пытаются уклониться от предписаний № ФЗ-152. Между тем любой оператор прежде всего должен обеспечивать защищенность ПДн от третьих лиц. Исключением являются общедоступные или обезличенные данные. Кроме того, оператор не имеет права на обработку данных без согласия субъекта, за исключением случаев, предусмотренных Законом.
Особенности обработки персональных данных
Обработка персональных данных требует особого режима, с четким определением технологий обработки и условий существования ПДн на любом этапе их жизненного цикла – от сбора, записи, систематизации и хранения до обновления, передачи, использования, блокировки и уничтожения. К примеру, после достижения цели обработка ПДн, как правило, должна быть прекращена, а сами ПДн – уничтожены. Сроки обработки определяются нормативно-правовыми актами: в частности, для сведений об услугах связи, предоставленных абонентам, этот срок составляет три года.
Обработка ПДн бывает автоматизированной и неавтоматизированной. Автоматизированной является та обработка, при которой данные хранятся и обрабатываются в электронном виде (внесение данных в компьютер для их распечатки без сохранения файла не является основанием для того, чтобы считать обработку автоматизированной). Неавтоматизированная обработка происходит при непосредственном участии человека. Например, автоматизированной обработкой уже нельзя считать ту, в процессе которой ПДн были извлечены из системы.
Основные пути поступления угроз потери данных и формирование моделей угроз
Что касается основных угроз потери данных, они, как правило, реализуются следующими путями:
- технические каналы (каналы утечки данных, обрабатываемых в технических средствах информационной системы ПДн, перехват данных при их передаче по цифровым или речевым каналам);
- несанкционированный доступ с помощью специализированного ПО.
Обнаружение технических каналов осуществляется согласно нормативно-методическим документам, составленным Федеральной службой по техническому и экспортному контролю (ФСТЭК) России. Что же касается несанкционированного доступа, субъектами-нарушителями могут быть:
- носители вредоносных программ или кодов;
- аппаратные закладки;
- физические лица, случайно либо преднамеренно осуществляющие нарушение безопасности данных (внешние и внутренние нарушители).
Угрозы выявляются путем использования программных и/или аппаратных средств и с учетом проведенных опросов. Далее формируется список наиболее актуальных угроз и основных каналов утечки ПДн. Типовые модели угроз разработаны применительно к основным видам ИСПДн и описаны в специальном документе ФСТЭК. На основании этих моделей (их шесть) определяются методика выявления актуальных угроз и мероприятий, направленных на их устранение, а также порядок выбора программно-технических средств защиты ПДн, объединенных в специальную систему защиты персональных данных (СЗПДн).
Технические средства защиты персональных данных
Система защиты персональных данных должна обеспечивать в первую очередь следующие функции:
- управление доступом к информационным системам ПДн;
- целостность ПДн;
- регистрация и учет ПДн;
- безопасное межсетевое взаимодействие;
- своевременность обнаружения вторжений;
- антивирусная защита;
- анализ степени защищенности баз ПДн.
п/Ж Управление доступом и учетом обычно осуществляется путем блокирования несанкционированного доступа к данным и разграничением прав доступа посредством различных программ с ведением журнала действий пользователей, зарегистрированных в системе.
п/Ж Средства антивирусной защиты должны своевременно обнаруживать и блокировать деструктивные воздействия на ПО, осуществляющее работу в ПДн, а также обнаруживать и уничтожать вирусы и осуществлять профилактику заражения. Данная подсистема СЗПДн строится с учетом централизованного управления с рабочего места администратора, оперативного оповещения о несанкционированном воздействии. Среди сертифицированных антивирусных средств можно выделить ПО «Лаборатории Касперского».
п/Ж Подсистема анализа степени защищенности ПДн контролирует настройки защиты ОС и помогает оценить возможность атак на оборудование сети. Она производит сканирование сети для поиска слабых мест и подключений, а в завершение предоставляет отчет о выявленных уязвимостях. Одним из средств анализа, сертифицированных ФСТЭК, является сетевой сканер Xspider, проверяющий все возможные уязвимости. Другое распространенное средство, направленное на внутренний анализ ресурсов, – система MaxPatrol.
При межсетевом обмене выявление угроз осуществляется посредством п/Ж систем обнаружения вторжений. Их действие основано на сигнатурном анализе, методе обнаружения аномалий и комбинации этих двух методов. Достойным сертифицированным средством обнаружения угроз являются продукты бренда Cisco. Также распространено п/Ж межсетевое экранирование. Уровень его защищенности устанавливается в зависимости от классов ИСПДн, рассортированных по степени негативности последствий утечки ПДн. Экран устанавливается между внутренней и внешней сетями и является составной частью защищаемой сети.
Безопасность передачи ПДн по открытым каналам достигается использованием криптографических методов защиты. п/Ж Подсистема защиты каналов также обеспечивает безопасность при удаленном администрировании и работе с технологическими сетями.
Если говорить о так называемых п/Ж пассивных средствах защиты ПДн, то они, как правило, реализуются еще на этапе проектирования здания и его инженерно-коммуникационных систем. Например, п/Ж проектирование звукоизоляции: для обеспечения наилучшей защиты информации требуется повышение звукоизоляции на 10–15 дБ. При этом п/Ж активным средством защиты со стороны звукоизоляции будет являться акустическая маскировка (например, формирование акустических шумов в местах, где персональные данные могут быть подслушаны посторонним).
Немаловажным средством защиты ПДн является и сам сетевой кабель, по которому поступает и передается информация. Так, наиболее защищенной средой передачи ПДн считаются п/Ж оптоволоконные линии (ВОЛС) – оптоволокно в отличие от традиционного медного кабеля не излучает электромагнитную энергию, поэтому к нему сложно подключиться в целях перехвата данных, что позволяет использовать его в военных организациях и на предприятиях повышенной секретности. Относительно других слаботочных систем действует схожее правило: сэкономив на кабеле, владелец системы многократно снижает надежность и работоспособность всей сети.
Рекомендации по самостоятельному снижению рисков утечки персональных данных
Подводя итоги, можно сказать, что, несмотря на серьезные достижения в области производства программно-аппаратных средств защиты персональных данных и активную работу над законодательной базой в области защиты ПДн (Россия в последнее время стремится стать мировым лидером в данной сфере законодательства), по-прежнему работает правило «береженого бог бережет». Именно поэтому для предотвращения утечек персональных данных, равно как и любой другой информации, разглашение которой может иметь негативные последствия и для субъектов, и для операторов ПДн, при формировании системы обработки ПДн следует придерживаться следующих рекомендаций:
- все компьютеры должны быть защищены путем установки антивирусного программного обеспечения. При этом необходимо соблюдать определенную иерархию: например, данные на центральном сервере должны быть защищены в первую очередь и с применением наиболее надежного ПО;
- определить круг лиц, ответственных за безопасность. С одной стороны, желательно максимально сузить его, с другой – учитывать то, что безопасность не способен обеспечить один, даже самый компетентный специалист;
- доверять, но проверять. Иногда, вопреки уверениям специалистов, некоторые аппаратные и криптографические средства защиты могут помешать основным бизнес-процессам предприятия;
- требовать от ИT-специалистов четкого алгоритма действий и повышения эффективности защиты. Необходимо иметь четкий план формирования и настройки средств безопасности, лично контролировать поддержку ИT-отделом состояния максимальной защищенности персональных данных.
Таким образом, правильная организация работы лиц или структурных подразделений, ответственных за безопасность персональных данных, или обращение за помощью в специализированную компанию наряду с соблюдением требований современного законодательства сможет максимально обезопасить оператора ПДн от потери репутации на рынке и ответственности перед законом ввиду утечки персональных данных, не обладающих достаточной степенью защищенности.