Что такое информационная безопасность персональных данных
С точки зрения законодательства информационная безопасность персональных данных (ИБ ПДн) — это состояние защищенности информации, обрабатываемой оператором, которое обеспечивает конфиденциальность, целостность и доступность данных при их обработке в информационных системах ПДн. Это комплексный процесс, включающий правовые, организационные и технические меры, направленные на нейтрализацию актуальных угроз.
Реализация этих мер базируется на фундаментальных принципах, закрепленных в статье 5 закона от 27.07.2006 № 152-ФЗ:
Законность и справедливая основа. Обработка должна осуществляться строго в рамках законодательства. Обрабатывать ПДн можно на основании согласия субъекта, без него — для исполнения обязательств по договору или на других основаниях, предусмотренных ст.6 ФЗ №152-ФЗ, когда согласие необязательно.
Ограничение обработки целями. Нельзя собирать данные «про запас» — цели должны быть конкретными и заранее определенными.
Соответствие целям. Содержание и объем обрабатываемых данных должны полностью соответствовать заявленным целям. Нельзя собирать лишнюю информацию.
Достоверность и достаточность. Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
Недопустимость объединения баз. Базы данных, собранные для несовместимых между собой целей, не могут обрабатываться совместно.
Ограничение хранения сроком. Данные должны храниться не дольше, чем этого требуют цели обработки, после чего они подлежат уничтожению или обезличиванию, если законодательством не предусмотрено иное.
Какие персональные данные нужно защищать
Подход к защите ПДн различается в зависимости от категории таких данных. Для корректного выстраивания объектов информационной безопасности и определения методов защиты ИСПДн, необходимо четко классифицировать обрабатываемую информацию.
Выделяют четыре основные категории:
Обычные ПДн, которые собираются чаще всего: ФИО, паспортные данные, номер телефона, адрес регистрации/проживания и т.д.
Специальные категории: наиболее чувствительная информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка по общему правилу запрещена, за исключением случаев, прямо предусмотренных ст.10 ФЗ №152-ФЗ.
Биометрические персональные данные: сведения, характеризующие физиологические и биологические особенности человека (отпечатки пальцев, радужная оболочка глаз, образцы голоса), на основании которых можно установить его личность, если они используются для идентификации (ст.11 ФЗ №152-ФЗ).
Иные ПДн: все остальные данные, не отнесенные к первым трем категориям.
Законодательство в сфере информационной безопасности персональных данных
Нормативное регулирование в этой сфере базируется на нескольких ключевых актах, определяющих требования информационной безопасности. Основополагающим является ФЗ № 152-ФЗ. Он устанавливает принципы и условия обработки данных, права субъектов и обязанности операторов.
Кроме того, нужно учитывать постановление Правительства от 01.11.2012 № 1119, которое утверждает требования к защите ПДн при их обработке в ИСПДн и устанавливает уровни защищенности (УЗ) в зависимости от типа угроз и категории данных.
Также операторы обязаны руководствоваться:
Постановлением Правительства от 15.09.2008 № 687, регламентирующим особенности неавтоматизированной обработки.
Приказами ФСТЭК и ФСБ, определяющими конкретные меры и средства защиты информации.
Постановлением Правительства от 21.03.2012 № 211, утверждающим перечень мер, направленных на обеспечение выполнения обязанностей оператора.
Виды угроз информационной безопасности персональных данных
Для построения эффективной защиты необходимо понимать, от чего именно защищаться. Для этого разрабатывается отдельный документ — Модель угроз информационной безопасности персональных данных. Он является отправной точкой для проектирования системы защиты. Модель описывает актуальные угрозы, реализация которых может привести к нарушению конфиденциальности, целостности или доступности данных.
Ниже представлены основные виды угроз информационной безопасности персональных данных:
Угрозы несанкционированного доступа (НСД). Реализуются за счет использования штатных функций ОС или прикладного ПО для получения доступа к информации в обход установленных политик. Например, подбор пароля к учетной записи администратора или эксплуатация уязвимости в веб-приложении для доступа к базе данных клиентов.
Угрозы утечки по техническим каналам. Связаны с перехватом информации с использованием технических средств (побочные электромагнитные излучения, перехват акустических сигналов). Актуальны для организаций, работающих с данными особой важности.
Угрозы, связанные с действиями инсайдеров. Это могут быть как умышленные действия (продажа базы данных конкурентам), так и халатность сотрудников (потеря ноутбука с нешифрованной базой клиентов, отправка данных не на тот адрес).
Угрозы вредоносного ПО. Включают заражение шифровальщиками, шпионским ПО, троянами, которые могут парализовать работу ИСПДн и привести к уничтожению или краже данных.
Угрозы отказа в обслуживании (DoS/DDoS). Направлены не на кражу данных, а на блокировку работы системы, делая недоступными сервисы, критичные для бизнеса.
Меры обеспечения информационной безопасности персональных данных
Обеспечение информационной безопасности персональных данных достигается путем внедрения комплекса взаимоувязанных мер. Этот процесс должен быть системным и начинаться с организации ИБ на уровне управления компанией. Только сочетание административного контроля и технических средств дает необходимый результат.
Организационные меры защиты информационной безопасности
Прежде чем закупать сложные технические средства и ПО, необходимо выстроить нормативную базу. Документы регламентируют действия сотрудников и являются доказательством принятия оператором необходимых мер при проверках Роскомнадзором. Базой для этого служит Политика информационной безопасности персональных данных — внутренний документ, определяющий цели, задачи и правила обработки защищаемой информации. Разработка документов должна базироваться на ФЗ № 152 и ФЗ № 149-ФЗ.
Также базовый пакет организационно-распорядительной документации должен включать:
Приказы о назначении ответственного за обработку ПДн и о вводе документов в действие.
Акты классификации ИС.
Журналы учета носителей информации и обращений субъектов.
Памятки и инструкции для пользователей ИС.
Порядок взаимодействия с госорганами при утечках.
Положения о структурных подразделениях в части обработки ПДн.
Модель угроз, содержащая описание актуальных нарушителей и уязвимостей.
Правила обработки данных и разграничения доступа.
Перечень помещений, где осуществляется обработка, и допущенных сотрудников.
План мероприятий по обеспечению ИБ и контролю защищенности.
Технические меры защиты информационной безопасности
Такие меры реализуются путем внедрения средств информационной безопасности, которые аппаратно или программно блокируют угрозы. Выбор конкретных средств зависит от уровня защищенности ИС, определенного по методике из постановления Правительства № 1119.
Какие системы должны быть внедрены для технической защиты:
Межсетевые экраны (Next-Generation Firewall): фильтруют трафик на всех уровнях модели OSI, предотвращая несанкционированный доступ во внутренний контур сети. Они позволяют сегментировать сеть и контролировать соединения между сегментами.
Системы обнаружения и предотвращения вторжений (IDS/IPS): анализируют сетевой трафик и поведение системы в реальном времени, выявляя и блокируя аномалии и известные атаки до того, как они достигнут целевых систем.
Средства антивирусной защиты: обеспечивают защиту рабочих станций и серверов от вредоносного ПО, включая шифровальщики и программы для скрытого майнинга. Важно использовать централизованное управление антивирусной защитой.
Системы предотвращения утечек данных (DLP): контролируют каналы передачи данных (электронная почта, мессенджеры, съемные носители) и блокируют попытки отправки конфиденциальной информации за пределы периметра. Именно этот класс систем позволяет бороться с инсайдерскими угрозами.
Системы управления идентификацией и доступом (IDM) и двухфакторная аутентификация (2FA): минимизируют риски компрометации учетных записей. Строгое разграничение прав доступа гарантирует, что сотрудник будет иметь доступ только к тем данным, которые необходимы ему для выполнения должностных обязанностей.
Средства криптографической защиты информации (СКЗИ): используются для шифрования данных на жестких дисках, съемных носителях, а также при передаче по открытым каналам связи (VPN).
SIEM-системы (Security Information and Event Management): обеспечивают централизованный сбор и корреляцию событий безопасности со всех вышеперечисленных средств. Это позволяет оперативно выявлять сложные атаки и расследовать инциденты.
Системы резервного копирования: обеспечивают возможность восстановления данных в случае их повреждения или уничтожения, защищая целостность и доступность информации.
WAF (Web Application Firewall): защищает веб-приложения от атак, направленных на кражу данных клиентов через уязвимости кода (SQL-инъекции, межсайтовый скриптинг).
Только комплексное применение описанных мер позволяет повысить безопасность информационных систем персональных данных и минимизировать риски для бизнеса в условиях постоянно меняющегося ландшафта киберугроз.
