Почему закон о персональных данных глубже, чем кажется
Как должны храниться персональные данные, почему они попадают в сеть, и что с этим делать бизнесу. Как распределяются зоны ответственности и какие федеральные законы регламентируют действия операторов данных.
О чем 152-ФЗ
В России с 2007 года действует Федеральный Закон №152, в котором отражено большинство требований и предписаний, касающихся защиты персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.
25 мая 2022 года в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА.
152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть не только интернет-ресурсы, но и бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно безошибочно идентифицировать человека. Например, одного ФИО для этого часто недостаточно, поскольку таких людей даже в одном городе может быть несколько. Хотя исключения и уникальные ФИО тоже бывают.
Какими бывают персональные данные
- Общедоступные. Эти данные открыты неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ, либо на основании ФЗ: выписки из ЕГРЮЛ или ЕГРИП.
- Биометрические. В эту группу попадает информация о биологических и физиологических особенностях, которые используются для идентификации. Отпечатки пальцев, даже образцы голоса и сканы сетчатки глаз.
- Специальные. Сюда относятся не только данные, которые хранят карточки в поликлиниках. Это также информация о судимостях и прохождении воинской службы. Информация о расовой и национальной принадлежности, политических и религиозных взглядах.
- Иные. Название группы достаточно общее, но это самая популярная категория персональных данных. Сюда относятся данные, которые не были упомянуты в других группах. Это ФИО, адрес, паспортные данные, электронная почта и мессенджеры, стаж работы — данные, полученные с согласия субъекта. Эти данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.
Тем не менее, не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.
В мире социальных сетей и интернет-покупок персональные данные можно считать персональными лишь частично. С ними постоянно взаимодействуют различные сервисы, они обрабатываются и хранятся в самых разных условиях. Данные часто становятся товаром для бесплатных VPN и спам-сервисов. На заседании от 25 мая также обратили внимание на компании, занятые передачей трансграничных ПДн, поэтому этот сектор в ближайшее время скорее всего ждут новые ограничения и новые санкции за несоблюдение мер безопасности.
Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам данных хранить их на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.
Кого касается 152-ФЗ
Может показаться, что исполнять требования 152-ФЗ должны только банки и медицинские учреждения. То есть организации, работающие с целым набором документов и данных.
На самом деле, под действие закона попадают почти все информационные системы. Интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.
Многие компании воспринимают требования 152-ФЗ как ростовую фигуру, за которой может не стоять содержания. Кажется, что достаточно спросить пользователя, готов ли он записать данные в cookie, и все. Система действительно может так работать до первой утечки данных или до проверки регулятором.
Если говорить о технической защите персональных данных, то стоит обратиться к подзаконным актам 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК. В них прописаны меры обеспечения защиты персональных данных, в зависимости от характера данных.
Например, сервисам, которые обрабатывают специальные категории персональных данных >100000 пользователей необходимо соблюдать защитные меры второго уровня защищенности.
Для каждой системы должна быть разработана модель угроз. Несмотря на то, что применение криптографических средств защиты не является обязательным пунктом при защите персональных данных, они могут требоваться, если актуальны угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз требуется использовать криптографические средства для шифрования баз данных с персональными данными.
Почему персональные данные попадают в сеть
Причин, почему персональные данные оказываются в открытом доступе, достаточно много. Все инциденты можно локализовать на трех уровнях: на уровне персонала, приложения или инфраструктуры. Стоит заметить, что 152-ФЗ в меньшей степени сконцентрирован на действиях персонала, способствующих утечке ПДн. Его фокус направлен на то, как компании должны организовать работу с конкретным типом данных.
Уровень персонала
Все инциденты утечек данных тщательно расследуются с применением DLP-систем анализа трафика сотрудников. Всей правды мы никогда не узнаем, но, например, исследование RTM Group говорит, что чаще всего в утечках данных виноваты сотрудники салонов сотовой связи.
Правильнее читать эту новость в другом ключе.
Чаще всего в утечках данных виноваты не вредоносные программы или уязвимости в инфраструктуре, а персонал. Сотрудники часто раскрывают персональные данные случайно, когда общаются с конкурентами или коллегами с другим уровнем допуска.
В этом деле всегда есть место обычной халатности и незаблокированным экранам. Часто данные просто копируют и уносят на флешках, чтобы продать.
Бороться с такими преступлениями следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.
Уровень приложения
Утечка персональных данных может случиться на уровне приложения.
Само приложение может содержать массу уязвимостей, поэтому если утечка произошла на уровне приложения, то даже провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может на это повлиять, поскольку это находится не в его зоне ответственности. Например, для услуги выделенные серверы Selectel, схема ответственности выглядит следующим образом:
Уровень инфраструктуры
Если клиент размещает свои информационные системы/приложения с персональными данными у провайдера, то ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.
Стоит заметить, что выделенные серверы и облака проходят «раздельную» оценку эффективности принимаемых мер защиты персональных данных по 152-ФЗ. Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне защищенности возможно хранить, например, почти все персональные и медицинские данные до 100 000 субъектов.
С клиентской точки зрения, это решение не несет каких-либо дополнительных затрат, поскольку является особенностью инфраструктуры компании.
В России есть несколько специализированных центров, которые с равным успехом проводят мероприятия по оценке эффективности.
Процедура оценки эффективности принимаемых мер защиты предполагает проверку соответствия инфраструктуры провайдера на соответствие уровню защиты. Сам провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса. Процесс предполагает оценку как организационных (документация, приказы и т.п.), так и технических мер (настройка средств защиты и пр.).
С точки зрения бизнеса, следует еще на этапе выбора провайдера проверить наличие Акта оценки эффективности или Аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.
Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.
152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данных
Аттестованный сегмент ЦОД — это не только соответствие Tier III. По факту это отдельные стойки, которые дополнительно оборудованы электронным замком со стороны холодного и горячего коридоров и дополнительными камерами. В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном. Таким образом достигается изоляция систем клиента от других клиентов и сетей Selectel. Доступ в это пространство имеют, как правило, только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.
Ключевая проблема, которую решает размещение в аттестованном сегменте ЦОД — потребность в полном контроле за безопасностью и аттестации своей системы для операторов данных.