Раньше серьезную инфраструктуру для хранения и анализа Больших данных (Big Data) могли позволить себе только масштабные организации. Сегодня же, большие данные находят все более разнообразное применение в самых различных областях. При этом, развитие Big Data не только открывает возможности, но и сопряжено с многочисленными сложностями. Современные организации все чаще используют технологии машинного обучения и когнитивные технологии, которые часто позволяют более эффективно использовать большие данные. Так же, в этой области присутствуют и свои, присущие относительно новым технологиям угрозы безопасности информации.
Примерно в 2013 году, организация Cloud Security Alliance (CSA) провела анализ основных проблем безопасности технологии больших данных. CSA является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности «облачных вычислений», а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон. На основе анализа они выделили 10 основных:
- Безопасные вычисления в распределенных структурах программирования
- Рекомендации по безопасности для нереляционных хранилищ данных
- Безопасное хранение данных и журналы транзакций
- Проверка / фильтрация ввода конечных точек
- Мониторинг безопасности в режиме реального времени
- Масштабируемый и составной интеллектуальный анализ данных и аналитика
- Криптографически усиленная система безопасности данных
- Гранулированный контроль доступа
- Гранулированный аудит
- Прогнозирование данных
Позже добавили еще 3 новых вопроса:
- Моделирование: формализация модели угрозы, которая охватывает большинство сценариев кибер-атаки или утечки данных
- Анализ: поиск приемлемых решений на основе модели угрозы
- Внедрение: внедрение решения в существующие инфраструктуры
Если кого заинтересует, полную версию отчета можно получить по ссылке.
В 2016 году CSA публикуeт под заголовком «Руководство по обеспечению безопасности и конфиденциальности больших данных: 100 передовых практик» (Big Data Security and Privacy Handbook). Материал доступен в каталоге рабочей группы по большим данным по ссылке.
В ней сообщается, что уязвимости информационной безопасности определяются многообразием источников и форматов больших данных, потоковой природой сбора данных и необходимостью передачи данных между распределенными облачными инфраструктурами. Кроме того, увеличению поверхности атаки способствуют и большие объемы таких данных.
Прошло 2 года и 17.10.2018 на официальном сайте компании «МегаФон» появляется новость, что в России создана «Ассоциация участников рынка больших данных». «МегаФон», Mail.Ru Group, oneFactor, Тинькофф Банк, «Яндекс» и «Сбербанк» учреждают Ассоциацию участников рынка больших данных. Президентом организации избрана Анна Серебряникова, операционный директор «МегаФона».
Цитата из пресс-релиза компании Мегафон:
«Члены Ассоциации займутся созданием единых принципов и стандартов обработки, хранения, передачи и использования больших данных. Совместные разработки лягут в основу политики обращения с big data каждой компании-участницы Ассоциации. Приоритетные задачи организации — выработка бизнес-ориентированной стратегии развития рынка больших данных, повышение технической и операционной эффективности взаимодействия участников отрасли, а также формирование кодекса этики для защиты интересов пользователей.»В голове всплыл сюжет известного ролика «Семь красных линий»:
«Наша компания разработала новую стратегическую инициативу, чтобы расширить проникновение на рынок, максимизировать лояльность бренду и увеличить нематериальные активы. Для достижения этих целей… мы начали новый проект.»
Примерно в то же время, 23.10.2018 на сайте Системы обеспечения законодательной деятельности появляется проект нового Федерального Закона. По этой ссылке вы можете ознакомиться со всем пакетом поданных документов по этому проекту.
Мы же пройдемся кратко по сопроводительным документам и самому ФЗ. Для начала процитирую пояснительную записку к нему:
«Ежедневно в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий пользователи оставляют о себе в сети «Интернет» огромный массив обезличенной информации, которую принято называть «большими пользовательскими данными». Данная информация в результате автоматизированной обработки позволяет определять отдельные пользовательские характеристики, которые в дальнейшем используются операторами больших пользовательских данных для собственных целей либо передаются ими другим заинтересованным лицам безвозмездно или за плату. При этом такие данные не являются персональными данными.Оттуда же:
Правовой вакуум в сфере регулирования больших пользовательских данных в Российской Федерации лишает физических лиц (пользователей) должной правовой защиты и поддержки.»
«Указом Президента Российской Федерации от 7 мая 2018 г. № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» Правительству Российской Федерации совместно с органами государственной власти субъектов Российской Федерации поручено в том числе обеспечить к 2024 году создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций и домохозяйств; создание глобальной конкурентоспособной инфраструктуры передачи, обработки и хранения данных преимущественно на основе отечественных разработок; информационную безопасность на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства.»В самом законопроекте предлагается в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определить понятия:
- «большие пользовательские данные»,
- «оператор больших пользовательских данных»,
- «обработка больших пользовательских данных».
Так же предлагается установить особенности государственного регулирования обработки больших пользовательских данных (порядок сбора, передачи и иной обработки больших пользовательских данных). И так же, обязанности оператора больших пользовательских данных.
Группа депутатов Госдумы во главе с Михаилом Романовым предложила понимать под большими пользовательскими данными совокупность информации о физлицах и их поведении, не содержащей персональных данных, но при этом позволяющей без использования дополнительной информации и обработки определить конкретного человека. Уточняется, что речь идет о сведениях, собираемых из различных источников, в том числе Интернета, количество которых превышает тысячу сетевых адресов.
Предполагается установить правило, согласно которому пользователей будут в обязательном порядке информировать о такой обработке путем размещения на сайте оператора больших пользовательских данных соответствующего информационного сообщения, а при его отсутствии – другим доступным способом. Законом может быть введено положение, запрещающее обработку больших пользовательских данных, направленную на идентификацию конкретного физлица. Однако планируется, что в отношении обработки таких данных по запросам федеральных органов исполнительной власти, осуществляющих оперативно-розыскную деятельность, оно применяться не будет.
Требования к информационному сообщению и его форма, а так же ведение реестра операторов больших данных «по традиции» повесили на Роскомнадзор. Сразу же прослеживается явная аналогия: «оператор», «данные пользователей», «уведомить»…
Защиты персональных данных нам мало, теперь мы начинаем защищать по закону Большие Пользовательские Данные (БПДн). Возможно, что в скором времени будет вытащен из-под сукна когда-то внезапно забытый проект ГОСТ «Защита информации при использовании облачных технологий. Общие положения.»
Подробнее изучить вопрос обработки персональных данных в Россию в соответствии с нормативными правовыми актами поможет наше исследование: