.png&w=384&q=75)
В последние годы стремительная цифровизация всех сфер деятельности привела к тому, что персональные данные (ПДн) превратились из рядовой информации в критически важный цифровой актив, сравнимый по ценности с финансовыми ресурсами. Этот трансформированный статус данных привлек пристальное внимание не только бизнеса, стремящегося к их анализу, но и киберпреступных сообществ, видящих в них источник для шантажа и мошенничества, а также государства, вынужденного балансировать между защитой прав граждан и обеспечением правопорядка в цифровой среде. Де-юре защищённая система обработки ПДн, основанная на соблюдении требований законодательства, в теории должна предоставлять субъектам данных гарантии конфиденциальности и целостности их информации. Однако на практике парадоксальным образом растущая сложность и прозрачность нормативных требований зачастую становятся недостатком для операторов, порождая лишь формальное, «бумажное» соответствие, в то время как реальные технические системы остаются уязвимыми для современных атак. Преимущества централизованного хранения и удобства обработки данных для организации оборачиваются её главной ахиллесовой пятой в момент киберинцидента.
Обработка персональных данных в России существует не в правовом вакууме, а в плотном и порой противоречивом поле нормативных актов, где каждый новый закон или приказ добавляет новый уровень сложности для оператора. Ключевым ядром этого поля, безусловно, остается Федеральный закон № 152-ФЗ «О персональных данных», именно данный законодательный акт вводит основные определения, требования и меры для реализации защиты персональных данных. Но система регулирования работы с персональными данными не ограничена единственным законом, в дополнение к нему различные государственные органы, такие как Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН) издают подзаконные акты, которые вносят понимание и точность процессов, требований при обработке ПДн. Конкретные требования к реализации безопасности персональных данных содержатся в Приказе ФСТЭК России от 18.02.2013 № 21 [1]. Данный нормативный акт устанавливает классификацию информационных систем по четырём уровням защищенности и регламентирует исчерпывающий перечень минимально необходимых мер защиты, обязательных для применения оператором в зависимости от присвоенного системе уровня. В свою очередь Постановление правительства РФ № 1119 от 01.11.2012 г. [2] дополняет данный приказ, вводя понятия типов угроз и устанавливая взаимосвязь между вероятными угрозами и уровнем защищенности. Таким образом выстроена система защиты ПДн в Российской Федерации, но что это даёт в сухом остатке?
Вступление в должность специалиста по информационной безопасности (ИБ) организации неизбежно требует проведения комплексного аудита существующих в ней защитных механизмов и активов. Первоочередной задачей в данной ситуации является системная инвентаризация текущего состояния системы защиты информации (СЗИ), которая включает в себя несколько этапов:
1. Анализ нормативно-правовой и организационной базы
Основой для построения СЗИ служит комплект внутренней документации организации. В первую очередь необходимо проверить наличие и корректность следующих документов:
- локальные акты, определяющие состав и категории обрабатываемых персональных данных (ПДн), а также устанавливающие порядок их обработки;
- документы, регламентирующие применяемые меры защиты информации;
- документы, подтверждающие правомерность обработки ПДн. К ним относятся оформленные согласия субъектов ПДн, а также действующее уведомление в Роскомнадзор обработке персональных данных.
2. Верификация соответствия реализованных мер
Следующим этапом является проверка соответствия фактически внедрённых технических и организационных мер защиты требованиям, установленным как внешними регуляторами (например, Приказом ФСТЭК России [1]), так и внутренними положениями организации. Данная проверка направлена на выявление разрывов между декларируемыми и реально действующими практиками.
3. Моделирование и планирование развития
На основе полученной картины проводится моделирование актуальных угроз ИБ с последующей оценкой уровня рисков для критичных активов. Результатом этого этапа является разработка плана совершенствования текущей модели безопасности, направленного на устранение выявленных недостатков и повышение её эффективности.
Рассмотрим типовой сценарий организации технической защиты персональных данных на примере небольшой компании, которая осуществляет обработку ПДн исключительно в отношении собственных сотрудников.
Таблица 1
Исходные данные сценария
Критерий | Данные |
Обрабатываемые ПДн | ФИО, дата и место рождение, образование, семейное положение, номер р/с, номер б/к, номер паспорта, ИНН, СНИЛС |
Наличие спец. категории ПДн | Отсутствуют |
Количество сотрудников | 10 человек |
Применение АС для обработки ПДн | Да (1-Г) |
На основании исходных условий анализируемого сценария и в соответствии с критериями [1] для информационной системы обработки ПДн организации был присвоен 3-й уровень защищенности. Данное решение обусловлено следующими факторами:
- отсутствие обработки специальных или биометрических категорий ПДн;
- ограниченная численность субъектов данных (сотрудников);
- принцип разумной достаточности, исключающий экономически необоснованное завышение требований к системе защиты.
После определения базового уровня защищенности перейдем к проектированию системы технических мер, адекватных выявленным рискам. В рамках предлагаемой модели архитектуру безопасности целесообразно декомпозировать на четыре концептуальных уровня, каждый из которых решает специфический круг задач:
- Периметральный (внешний) уровень. Обеспечивает защиту информационного периметра организации от внешних сетевых угроз.
- Уровень рабочих станций (персональный уровень). Направлен на защиту конечных точек доступа (рабочих мест пользователей) от вредоносного программного обеспечения и несанкционированных действий.
- Уровень корпоративных ресурсов (общий уровень). Обеспечивает безопасность централизованных серверных компонентов и общих сетевых ресурсов, где осуществляется обработка и хранение ПДн.
- Уровень внутренней безопасности (внутренний уровень). Реализует меры по предотвращению, выявлению и нейтрализации инсайдерских угроз, возникающих внутри защищаемого контура.
Таблица 2
Соответствие мер защиты информации уровню угрозы
Уровень | Меры и средства, применяемые на данном уровне |
Внешний уровень |
|
Персональный уровень |
|
Общий уровень |
|
Внутренний уровень |
|
Такое разделение позволяет реализовать принцип эшелонированной (многоуровневой) защиты ПДн, которая обеспечивает защиту данных на всех этапах их жизненного цикла и во всех сегментах корпоративной информационной среды.
В заключении отметим, что в работе были проанализированы актуальные проблемы обеспечения безопасности персональных данных в российской правоприменительной практике. Доказано, что, несмотря на детально регламентированное законодательное поле, сформированное вокруг Федерального закона № 152-ФЗ, в реальности зачастую доминирует формальное, «бумажное» соответствие регуляторным требованиям в ущерб созданию систем, обладающих действительной устойчивостью к современным киберугрозам. Особую опасность в данном контексте представляет централизованная модель обработки ПДн, которая объективно увеличивает риски для организаций. На примере типового сценария для малого предприятия демонстрируется комплексный методологический подход к построению системы защиты: от этапа правового аудита и классификации информационной системы с присвоением уровня защищенности (в рассматриваемом случае – 3-й уровень) до проектирования и внедрения эшелонированной системы технических мер, структурированной по уровням защиты (внешний, персональный, общий и внутренний уровни). И обосновывается вывод о необходимости перехода к сбалансированной парадигме, которая интегрирует обязательное соблюдение нормативных требований с внедрением технически и экономически обоснованных решений для обеспечения реальной безопасности данных.
.png&w=640&q=75)
