Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – третья часть обзора Главы 3 CyBOK, в которой описываются принципы защиты приватности и международные нормы обеспечения безопасности персональных данных.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
3.3. Общие принципы законодательства по защите приватности и перехвату электронных коммуникаций
Понятие приватности (конфиденциальность или неприкосновенность частной и личной жизни) встречается достаточно часто, но, тем не менее, ему сложно дать чёткое определение. В книге авторы используют термин "приватность" в смысле, заложенном еще в конце 19-го века: в 1890 году в журнале "Harvard Law Review" два американских юриста (С. Уоррен и Л. Брандайс) определил приватность как право частного лица на уединение и свободу от внимания посторонних. В рамках работы специалиста по кибербезопасности вопросы приватности возникают, как правило, в контексте цифрового слежения и действий при расследовании киберинцидентов.
3.3.1. Международные нормы по защите прав личности
Приватность признается одним из неотъемлемых прав личности, при этом оно может быть предметом различных ограничений и исключений. Свобода от вторжения в личную жизнь защищается в случае случайного, злонамеренного или необоснованного доступа, при этом допускается нарушение приватности в случаях, установленных законодательством. Правила соблюдения приватности сначала применялись только к помещениям и местам проживания граждан, но в последние несколько десятков лет они применяются и в отношении нематериальных объектов, таких как электронные коммуникации частных лиц. Право на приватность интерпретируется и реализуется в различных странах по-разному: где-то оно применяется почти ко всем ситуациям по умолчанию, а где-то - лишь немного ограничивает возможности государства по вмешательству в личную жизнь граждан. Кроме того, весьма разнообразными могут быть и условия по легальному вмешательству работодателя в приватность работника. При этом распространение облачных вычислений повышает озабоченность пользователей в вопросе обеспечения конфиденциальности огромных массивов их личных данных, которые подвергаются трансграничной передаче и обработке в различных юрисдикциях. В установленных законом случаях допускается ограниченное вторжение в личную жизнь субъекта, при этом сопровождающие документы (например, ордер или постановление об обыске) могут ограничивать объем нарушения приватности рамками определенных мест или лиц, конкретного оборудования или помещения. Еще один актуальный вызов - защита приватности метаданных: традиционно считалось, что необходимо обеспечивать только конфиденциальность непосредственно пользовательских данных, а метаданные (т.е. «данные о данных» - свойства документов и фотографий, информация о сетевых соединениях, история операций и т.д.) могут обрабатываться без ограничений, однако, учитывая растущий объем метаданных и современные технологии их обработки, данный подход постепенно меняется.
3.3.2. Перехват электронных коммуникаций государственными органами
Санкционированный перехват электронных коммуникаций (англ. lawful interception) государственными органами в законодательно определенных целях признается допустимым в международном праве. При этом каждая страна по-своему регулирует такой доступ - например, в некоторых государствах каждый запрос на перехват электронных коммуникаций тщательно предварительно изучается независимым юристом-экспертом. Пока что не существует единых международных законодательных правил в отношении законного перехвата электронных коммуникаций, однако существует ряд стандартов, которыми руководствуются производители средств для такого перехвата. Решение о применении подобных средств принимается провайдерами телеком-услуг в зависимости от требований местного законодательства, включая необходимость обслуживания соответствующего оборудования и помещений, предоставление поддержки при получении запросов на санкционированный перехват электронных коммуникаций от представителей власти и соблюдение конфиденциальности запросов на перехват коммуникаций, включая сведения о личности объектов расследования. В некоторых странах законодательство требует хранить в тайне информацию о частоте и предметах запросов на перехват коммуникаций и о характеристиках и местоположении оборудования для такого перехвата, что накладывает определенные ограничения на телеком-провайдеров при выпуске ими отчетов о прозрачности (англ. transparency reports).
Повсеместное распространение криптографических технологий для шифрования трафика привело к повышению сложности в получении доступа к содержимому электронных коммуникаций. Государства применяют различные юридические механизмы для дешифрования трафика и получения доступа к сообщениям в открытом виде, включая ордеры на обыск и изъятие устройств, запросы на дешифрование производителям устройств и сторонним компаниям, принуждение объектов расследования к выдаче ключей шифрования и паролей. Еще одна сложность связана с распространением транснациональных виртуальных телекоммуникационных провайдеров, которые должны выполнять требования страны присутствия в части перехвата коммуникаций - в случае отказа от сотрудничества, доступ пользователей к таким сервисам может быть ограничен юридически (путем отказа в выдаче лицензии на оказание услуг связи) или технически (путем блокирования трафика локальными телеком-операторами).
3.3.3. Перехват электронных коммуникаций лицами, не относящимися к государственным органам
Несанкционированный перехват электронных коммуникаций со стороны работников телеком-провайдеров, как правило, юридически запрещен. Это касается также и иных общедоступных сетей - в некоторых случаях такой перехват может рассматриваться как киберпреступление. При этом если трафик перехватывается частным лицом в его собственной сети и на его оборудовании (например, на роутере или почтовом сервере в локальной сети), то это может не иметь признаков киберпреступления, однако могут применяться положения законодательства о защите приватности или персональных данных.
3.3.4. Соблюдение законодательства о защите приватности - штрафы за нарушение
Соблюдение прав на защиту приватности сопряжено с рядом вызовов - например, жертва нарушения своей приватности может этого не заметить и свидетельств этому не будет. Однако, могут действовать требования об уведомлении субъектов при обнаружении несанкционированного доступа к их данным (англ. data breach notification), а при судебном разбирательстве лицо может быть ознакомлено с полученными против него свидетельствами и доказательства. Средством правовой защиты для граждан, пострадавших от нарушения их приватности, может стать гражданский иск к компании-нарушителю с требованием материальной компенсации. Кроме того, в определенных странах доказательства, собранные с нарушениями прав на приватность обвиняемого, могут быть не признаны судом, а некоторые нарушения приватности, такие как перехват электронных коммуникаций без ордера или несанкционированный доступ к хранящимся данным, могут рассматриваться как преступления.
3.4. Защита данных
Законодательство о защите данных разрабатывалось на основе законов о защите приватности, но охватывает более современные технологии обработки информации. Специалистам по ИБ часто приходится иметь дело с нормативными требованиями по защите данных, особенно в части практического обеспечения их кибербезопасности, при этом основное внимание уделяется защите законных прав субъекта, чьи данные обрабатываются. Традиционно, большое внимание законодательству о защите данных уделялось в ЕС, где сейчас действуют нормы GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных), которые применяются в том числе и для защиты персональных данных граждан ЕС при их обработке в любой стране, которая может и не являться членом ЕС.
3.4.1. Тематика и нормативная направленность
Целью законодательства ЕС о защите данных является соблюдение законных интересов субъектов данных операторами (англ. controllers) и обработчиками (англ. processors) при обработке персональных данных (ПДн).
3.4.1.1. Субъект ПДн, персональные данные
В Статье 4(1) GDPR указано, что персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту ПДн). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Под ПДн могут пониматься в том числе и технические данные, на основе которых с помощью обогащения и аналитики можно получить сведения о физическом лице - например, логи сервера с IP-адресами или cookie-файлы. Помимо ЕС, в США, например, используется термин «личная информация» (англ. personally identifiable information, персонально идентифицируемая информация), при этом под данное определение могут не попадать технические данные, такие как MAC-адрес или IP-адрес устройства.
3.4.1.2. Обработка
В Статье 4(2) GDPR указано, что обработка - это любая операция (или набор операций), которые выполняются с ПДн (или с наборами ПДн) независимо от того, автоматизированы они или нет, включая сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, извлечение, использование, раскрытие путем передачи, распространение или предоставление доступа иным способом, комбинирование, ограничение, стирание или уничтожение. Таким образом, любое возможное действие с ПДн является их обработкой.
3.4.1.3. Оператор и обработчик
В Статье 4(7) GDPR указано, что оператор - это физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. В случае, если цели и средства такой обработки определяются законодательством ЕС (или государства-члена ЕС), то оператор или конкретные критерии его назначения могут быть определены законодательством ЕС (или государства-члена ЕС). В Статье 4(8) GDPR указано, что обработчик - это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает ПДн от имени (по поручению) оператора.
Таким образом, оператор принимает решения (в отношении обработки ПДн), а обработчик - исполняет их. У операторов, как правило, больше возможностей для взаимодействия с субъектами ПДн, поэтому выше и ответственность, а обработчик во многих случаях лишь действует в соответствии с указаниями оператора. Однако, развитие технологий SaaS привело к более равномерному разделению ответственности между пользователями облачных услуг и провайдерами-обработчиками - зачастую SaaS-провайдеры не предоставляют пользователям возможностей выбора вариантов защиты их ПДн, предлагая в случае несогласия с политикой обработки ПДн просто не пользоваться сервисом вообще.
3.4.2. Основные регуляторные принципы GDPR
Принципы обработки ПДн сформулированы в Статье 5 GDPR:
законность, справедливость и прозрачность обработки: соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);
ограничение целей обработки: обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;
минимизация данных: обработка ровно такого объема ПДн, который требуется для достижения целей обработки;
точность: обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;
ограничение на хранение: после достижения цели обработки данные удаляются;
целостность и конфиденциальность: обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.
Особенно пристальное внимание следует обращать на защиту определенных типов чувствительных ПДн: в соответствии со Статьей 9 GDPR, это сведения о расовой или национальной принадлежности, политических мнениях, религиозных или философских убеждениях, членстве в профсоюзах, а также генетические и биометрические данные (используемые для идентификации лиц), сведения о здоровье и интимной жизни. При обработке таких данных следует применять повышенные меры безопасности, а регуляторы внимательно следят за их соблюдением, поскольку неправомерное использование такого типа информации может привести к высоким рискам для законных интересов субъекта ПДн.
Вопрос получения согласия субъекта ПДн на обработку его данных также достаточно комплексный: с одной стороны, в GDPR определены случаи, когда такое согласие не требуется, с другой - если согласие всё же необходимо, то оно должно быть свободным, специфичным, информированным и однозначным, при этом субъект может дать такое согласие в виде утверждения, письменного согласия или конклюдентного действия.
3.4.3. Защита данных при расследовании и предотвращении преступлений
В соответствии с нормами GDPR, нанятые государством лица имеют определенные послабления в части защиты ПДн при расследовании преступлений и судебном преследовании нарушителей. Если расследование преступлений ведут лица, не относящиеся к государственным органам, то GDPR допускает разработку отдельными государствами отдельных сниженных требований по защите ПДн при предотвращении, расследовании, выявлении преступлений.
3.4.4. Соответствующие меры безопасности
В соответствии со Статьей 32(1) GDPR, операторы и обработчики должны реализовать технические и организационные меры для того, чтобы уровень безопасности соответствовал уровню риска. Таким образом, качество мер безопасности и затраты на их реализацию должны соответствовать рискам обработки ПДн, которые они минимизируют. В качестве технических мер защиты ПДн могут рассматриваться псевдонимизация и шифрование ПДн, непрерывное обеспечение конфиденциальности, целостности и доступности, поддержание киберустойчивости информационных систем, разработку надежных планов по реагированию и восстановлению после киберинцидентов. В качестве организационных мер защиты ПДн могут рассматриваться договорные обязательства с поставщиками и подрядчиками. Кроме того, для доказательства корректности выбора защитных мер компании могут использовать процедуры сертификации и оценки соответствия лучшим практикам, но они не являются подтверждением того, что все требования GDPR были выполнены.
3.4.5. Оценка и проектирование систем обработки ПДн
Для предотвращения нарушений законодательства в области защиты ПДн зачастую эффективнее изначально спроектировать информационную систему соответствующим образом, поэтому в GDPR заложено требование по реализации концепции конструктивно заложенной конфиденциальности (Privacy by Design) и конфиденциальности по умолчанию (Privacy by Default) в разрезе технических и организационных мер. Выполнение этого требования должно быть обеспечено на этапе планирования - до начала обработки ПДн и одновременно с определением способов обработки ПДн оператором в соответствии со Статьей 25 GDPR.
Оператор обязан провести дополнительную оценку воздействия на защиту данных (data protection impact assessment) в случае, если какие-либо действия по обработке ПДн представляют значительный риск для субъектов ПДн, особенно при разработке или миграции на информационные системы, которые обрабатывают большие объемы данных. Если такая оценка выявит значительные риски, то оператор должен провести дополнительные консультации с соответствующим надзорным органом по вопросу планируемых рискованных действий.
3.4.6. Трансграничная передача данных
Статья 44 GDPR запрещает передачу ПДн жителей ЕС любому государству за пределами Европейской экономической зоны или любой международной межправительственной организации. Однако, подобная трансграничная передача ПДн допускается в случае, когда она определена соответствующим механизмом соблюдения экспортного законодательства.
3.4.6.1. Понятие адекватной защиты и соглашение Privacy Shield
Решение о трансграничной передаче ПДн принимается на основе оценки адекватности защиты, которую обеспечивает какое-либо государство (не член ЕС) или международная межправительственная организация. Оценку адекватности защиты выполняет Европейская комиссия путем изучения юридических норм, которые реализует страна, желающая получать ПДн - этот процесс может затянуться на длительное время. Адекватность защиты определяется либо на основе принципиального наличия законов о защите передаваемых ПДн, либо на основе наличия условий для защиты передаваемых ПДн.
Соглашение о защите конфиденциальности между ЕС и США ("EU-U.S. Privacy Shield") было введено в действие в июле 2016 года и определяет подходы к защищенной обработке ПДн граждан ЕС компаниями из США. Американский бизнес, желающий обрабатывать ПДн граждан ЕС, должен соответствовать требованиям EU-U.S. Privacy Shield: подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США,а компания-оператор должна выполнять определенные требования, подтверждающие адекватный уровень защиты ею ПДн граждан ЕС.
3.4.6.2. Трансграничная передача данных, требующая защиты
В соответствии со Статьей 46 GDPR, трансграничная передача данных также разрешена в случае, когда применяются соответствующие меры защиты. Типичными защитными мерами являются обязательные корпоративные правила и условия защиты ПДн, прописанные в договорах между экспортерами и импортерами данных. Обязательные корпоративные правила - это процедуры управления, используемые транснациональными корпорациями для демонстрации соответствия принципам защиты ПДн перед надзорными органами. В частности, многие американские облачные провайдеры, оказывающие услуги гражданам ЕС, используют подобные правовые механизмы - они существенным образом влияют на архитектуру безопасности и процедуры управления в таких компаниях. В случае же передачи ПДн между экспортерами и импортерами данных для защиты прав субъектов ПДн, в контрактах прописываются определенные условия - они могут быть стандартными или специфическими (включающими, например, подробности о характеристиках ПДн и целях их обработки), которые согласовываются соответствующими надзорными органами.
3.4.6.3. Трансграничная передача данных в рамках международных договоров о юридической взаимопомощи
Трансграничная передача ПДн, которая в других случаях запрещена нормами GDPR, становится возможной в случае запросов от правоохранительных органов других стран в рамках международных договоров о юридической взаимопомощи - об этом говорится в Статье 48 GDPR.
3.4.6.4. Исключения, разрешающие трансграничную передачу данных
В отсутствие иных разрешительных юридических механизмов, в соответствии со Статьей 49 GDPR экспорт ПДн из Европейской экономической зоны может быть возможен при определенных ограниченных обстоятельствах:
Субъект ПДн выразил осознанное информированное согласие на передачу его ПДн;
Передача необходима для выполнения договора с субъектом ПДн или с третьим лицом в интересах субъекта ПДн;
Передача ПДн имеет высокую общественную значимость;
Передача ПДн сопряжена с юридическим разбирательством;
Передача ПДн необходима для защиты жизни или благополучия субъекта ПДн, который физически не может дать согласие.
3.4.7. Уведомление об утечке данных
Законы, регламентирующие оповещение субъектов ПДн об утечке данных (англ. data breach), начали появляться в ЕС и США в начале 21 века. В соответствии со Статьей 4(12) GDPR, утечка данных - это нарушение безопасности, приведшее к случайному или противоправному уничтожению, утере, изменению, несанкционированному разглашению или доступу к обрабатываемым, передаваемым, хранимым персональным данным. Таким образом, несанкционированное изменение ПДн, кража ПДн, воздействие на ПДн вируса-шифровальщика будут считаться утечками ПДн.
В соответствии со Статьей 33 GDPR, в случае обнаружения подобной утечки, обработчик ПДн обязан без необоснованной задержки уведомить об обстоятельствах происшествия соответствующего оператора ПДн, который, в свою очередь, обязан уведомить об утечке соответствующий надзорный орган - опять же, без необоснованной задержки, и, по возможности, в течение 72 часов с момента обнаружения утечки. Из данного правила есть исключения - об утечке можно не уведомлять, если мала вероятность того, что она приведет к реализации риска для прав и свобод физических лиц. Вне зависимости от того, было ли отправлено уведомление надзорному органу, оператор обязан документировать все инциденты, связанные с утечками ПДн, и эти документы подвергаются периодическому аудиту со стороны надзорного органа.
В случае же, если вероятность реализации риска для прав и свобод физических лиц высока, то оператор должен уведомить субъектов ПДн об обстоятельствах утечки их ПДн без необоснованной задержки. Уведомлять субъектов ПДн не требуется в случае, если оператор реализовал меры, которые снижают вред субъектам в результате утечки ПДн - например, зашифрованные персональные данные остаются ПДн с юридической точки зрения, но шифрование снижает потенциальный ущерб для субъектов в случае утечки. Подобное исключение - полезная опция в GDPR, поскольку в США, например, уведомлять субъектов об утечках положено вне зависимости от оценки уровня потенциального ущерба для них. Тем не менее, у надзорных органов остаётся право на самостоятельное уведомление субъектов в случае, если регулятор не согласен с оценкой вреда, проведенной оператором.
3.4.8. Контроль за соблюдением и наказание за неисполнение
Грубые нарушения закона о защите ПДн могут расцениваться как преступления в соответствии с внутренним законодательством государств-членов ЕС и могут рассматриваться как компьютерные преступления, а субъекты ПДн могут подавать судебные иски за нарушение их законных прав. Органы государственной власти также обладают полномочиями по выдаче предписаний об устранении нарушений в обработке ПДн для приведения её в соответствие законодательным требованиям или даже полностью запрещать обработку ПДн компанией-нарушителем.
Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений, составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. К настоящему времени (октябрь 2025 года) общая сумма штрафов за неисполнение норм GDPR составляет более 6,7 миллиарда евро. В конечном итоге, подобные внушительные штрафные санкции привлекли внимание руководителей компаний к проблематике защиты ПДн и к повышению приоритета задач обеспечения кибербезопасности в целом.
