SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Практическая защита персональных данных

Практическая защита персональных данных
24.05.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В этом году исполняется 15 лет Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных». За столь уже продолжительный срок закон и подзаконные акты к нему претерпели существенные изменения, пройдя путь от жестких требований до того, что мы имеем сейчас. Я занимаюсь защитой персональных данных с самого начала и видел все происходящие изменения в требованиях по обработке и защите, наблюдал, как изменялись взгляды регуляторов (ФСТЭК России, ФСБ России и Роскомнадзора). В данной статье я постараюсь рассмотреть динамику и изменения 152-ФЗ, сопутствующих требований и подходов регуляторов.


Итак, в 2006 году в один день, 27 июля, выходят два закона: 149-ФЗ «Об информации, информационных технологиях и о защите информации» и 152-ФЗ «О персональных данных». Закон 149-ФЗ отменил своим выходом Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». С выходом этих двух законов и изданных впоследствии различных подзаконных актов у компаний, работающих с персональными данными, появился ряд ключевых вопросов:

  1. Что такое персональные данные?

  2. Где компания обрабатывает персональные данные?

  3. Как компания должна обрабатывать и защищать персональные данные?

  4. Что компании будет за нарушения в области обработки персональных данных?


Последний, четвертый вопрос, я не планирую рассматривать в настоящей статье, т.к. не преследую цели запугать читателя.


Итак, первый вопрос: что такое персональные данные?


С уходом 24-ФЗ ушла и некоторая неопределенность, которая была связана с вопросом обработки и защиты персональных данных. С одной стороны, ст. 11 24-ФЗ требовала обеспечить безопасность персональных данных, относя ее к конфиденциальной информации, с другой стороны, в категорию персональных данных попадала информация, которая мало где в компаниях обрабатывалась. Кроме этого, до 2008 года вопрос, как защищать персональные данные, порождал неопределенность.


До 2008 года информация, которая подпадала под определение персональных данных, сильно отличается от того, что существует сейчас. Согласно ст. 11 24-ФЗ персональные данные определялись как «информация, относимая к личной тайне, семейной тайне, тайне переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица».


Кроме этого, существовало и до сих пор существует иное определение персональных данных, а именно, согласно п. 1 Указа Президента Российской Федерации от 23.05.1996 № 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» - «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».


Из определений до 2008 года мы видим, что фактически к персональным данным, которые могли появиться у компании (тогда еще отсутствовало понятие «оператор»), при определенных обстоятельствах могла быть отнесена личная информация работника, которая содержалась в сообщениях/переговорах работников компаний. Учитывая существовавшие определения персональных данных, позицию компаний, что рабочее оборудование должно использоваться работниками только для исполнения служебных нужд, а также отсутствие общедоступных требований по защите персональных данных, компании зачастую не проводили работ по защите персональных данных.


Определение персональных данных, которое появилось в 152-ФЗ, существенно отличалось от того, что было до этого. Определение гласило: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.


Как видим, новое определение задавало более широкую область того, что подпадает под понятие персональных данных: в область действия закона (требований по обработке и защите персональных данных) попадали все компании и зачастую индивидуальные предприниматели, действовавшие на территории Российской Федерации.


Таким образом, с выходом 152-ФЗ у компании (оператора) появилась первая «головная боль» – что относить к персональным данным и где в компании они обрабатываются/появляются.


В самом начале становления процесса контроля персональных данных Роскомнадзор в лице Россвязьохранкультуры, а в последствии Россвязькомнадзора рассматривал и пытался применить практику, которая была сформирована по аналогичному вопросу в Евросоюзе:

  1. Дополнительный протокол к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации» ETS № 181 (Страсбург, 08.11.2001)

  2. Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных

  3. Директива Европейского Парламента и Совета Европейского Союза 2002/22/ЕС от 7.03.2002 об универсальных услугах и правах пользователей в отношении сетей электронных коммуникаций и услуг»

  4. Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12.07.2002 в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи).


Компании же в целях минимизации издержек, связанных с процессом обработки и защиты персональных данных, прибегали к различным ухищрениям – от попыток подвести все персональные данные (кроме специальных и биометрических) под категорию общедоступных до попыток скрытия (кроме кадров и бухгалтерии) процессов, в ходе которых происходит обработка персональных данных.


Опустив вопросы, как развивалась мысль, что следует относить к персональным данным в 2008 году, перенесемся в июль 2011 года, когда Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» изменил понятие персональных данных. Внесенное определение продолжает действовать до сегодняшнего дня. На апрель 2021 года согласно ч. 1 ст.3 152-ФЗ персональные данные – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».


Как мы видим, определение, которое существует сегодня, имеет очень широкое толкование, и под него при большом желании можно подвести много чего. Позиция юристов в данном вопросе зачастую опирается на комментарии к 152-ФЗ, которые сформулированы следующим образом: «если данные позволяют выделить некоего индивида из множества лиц, использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация - его персональными данными» (Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных», автор Савельев А. Г.). С таким подходом мне пришлось столкнуться в ряде крупных организаций, относящихся к различным сферам деятельности. Каждый волен принять его или искать свой уникальный подход. Однако, как показала практика, с такой позицией на сегодняшний день согласны проверяющие в лице представителей Роскомнадзора.


Один из вопросов, который зачастую упускается многими компаниями из виду, -  использование интернет-сервисов для сбора аналитических данных на сайтах и/или в мобильных приложениях (например, Яндекс.Метрика, Google Analytics, AppFlyer и т.д.). Данный подход позволяет отнести указанные сведения к персональным данным. Без указания имен компаний можно сказать, что указанная практика преследуется  Роскомнадзором на протяжении нескольких лет. Проработка подобного вопроса позволит компании избежать/принять риск, связанный с еще одним требованием 152-ФЗ, а именно с трансграничной передачей персональных данных и требованием о записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).


После того как мы определили, по какому критерию/методике следует относить те или иные данные к группе персональных, необходимо учесть еще один важные аспект, а именно, какие группы/категории персональных данных бывают. Забегая вперед, скажу, что чем корректнее компания определит, какие группы/категории персональных данных в ней обрабатываются и каков их набор, тем правильнее и законнее потом выстроится система их защиты.


Согласно положениям 152-ФЗ все персональные данные подразделяются на следующие группы/категории:


1) Специальная категория персональных данных (ч. 1ст. 10 152-ФЗ) – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;


Необходимо добавить, что определение Специальной категории персональных данных п.1 ст.10 152-ФЗ не содержит исчерпывающий набор персональных данных, относимых к ней, так как в ч.3 ст.10 152-ФЗ добавляется еще один вид - персональные данные о судимости. Обращаю на это внимание, т.к. в дальнейшем указанный вид персональных данных пропадает из другого, но не менее важного нормативно-правового акта, регулирующего обработку персональных данных. Я говорю про постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Данное упущение впоследствии может существенно повлиять на требования к создаваемой системе защиты персональных данных.


2) Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ) – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его и которые используются оператором для установления личности субъекта персональных данных;


Так сложилось, что Роскомнадзор за время своего существования несколько раз существенно менял свое мнение относительно того, что относить к биометрическим персональным данным. Так, в начале действия 152-ФЗ были попытки представителей контролирующего органа отнести данные кадрового учета, а именно фотографии с данными работников, указанными в форме Т-2, к биометрическим. Различное толкование того, что является биометрическими персональными данными, привело к тому, что в 2013 году Роскомнадзор совместно с группой экспертов разработал и опубликовал документ в котором разъяснял свою позицию в данном вопросе - Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки». Однако по состоянию на 2021 год регулятор давно не придерживается указанной позиции и все более апеллирует к стандартам в области биометрии и качественным характеристикам материалов, которые характеризуют особенности человека и используются для установления личности субъекта. К стандартам, которые упоминает Роскомнадзор, в частности, относятся ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура». Как долго продержится указанная позиция и будет ли ее придерживаться другой контролирующий орган в лице Прокуратуры Российской Федерации, неизвестно.


На мой взгляд, наиболее правильная позиция - придерживаться определения, данного в 152-ФЗ, в котором ни о каких стандартах или допущениях не говорится.


3) Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ) - персональные данные с письменного согласия субъекта персональных данных, включенные в общедоступные источники персональных данных. В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.


4) Иные (п. 5 ПП 1119) – персональные данные, не отнесенные к категориям: биометрические персональные данные, специальная категория персональных данных и общедоступные персональные данные.


После того как мы поняли, что такое персональные данные и на какие категории/группы они подразделяются, добавим два дополнительных критерия из постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которые также должны быть учтены при последующих работах:


1) Чьи персональные данные рассматриваются:

  • Субъекта, являющегося работником (в положениях ПП 1119 – сотрудником) компании;

  • Субъекта, не являющегося работником компании.


Важный момент, который часть компаний упускает из виду. Сейчас распространена практика, когда компания выводит часть процессов (обслуживание ИТ инфраструктуры или отдельных средств/систем, охрану, обслуживание инженерных систем и т.д.) на обслуживание/поддержку в сторонние компании, в частности, в дочерние зависимые общества. При этом зачастую игнорируя/забывая тот факт, что дочернее зависимое общество данной компании является другим юридическим лицом. А значит, по закону персональные данные работников дочернего общества, обрабатываемые в компании, подпадут под категорию «Персональные данные субъектов, не являющихся работниками компании».


2) Объем обрабатываемых персональных данных (записей):

  • До 100 000;

  • Свыше 100 000.


Формально в ПП 1119 есть еще один критерий объема – без указания количества объема. Однако эта категория относится к очень узкой группе и в рамках проводимых работ по второму вопросу (где компания обрабатывает персональные данные) введение данного критерия скорее усложнит работы.

Практика ИБ ГОСТы и документы ИБ Стандарты ИБ Подкасты ИБ Защита персональных данных (ИСПДН)

Рекомендуем

DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Динамический анализ исходного кода
Динамический анализ исходного кода
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows

Рекомендуем

DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Динамический анализ исходного кода
Динамический анализ исходного кода
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows

Похожие статьи

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Тестирование на проникновение
Тестирование на проникновение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2

Похожие статьи

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Тестирование на проникновение
Тестирование на проникновение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2