Законодательный уровень информационной безопасности
~ 30 минут
Компании при создании архитектуры своих сервисов сегодня должны учитывать не только технические и бизнес-требования, но и действующее законодательство, чтобы обеспечить защиту данных и избежать юридических рисков.
Законы устанавливают обязательные требования к защите информации, определяют стандарты обработки персональных данных, а также устанавливают ответственность за нарушения.
В этом уроке мы рассмотрим ключевые законодательные акты в области информационной безопасности, их требования и способы их реализации в информационных системах.
Законодательный уровень информационной безопасности
✏️ Законодательный уровень информационной безопасности — это совокупность правовых норм, которые определяют, какие данные в информационных системах и как должны быть защищены.
Законы РФ, выступая в роли обязательных ограничений при разработке архитектуры безопасности, устанавливают базовые требования к конфиденциальности, целостности и доступности информации. Их игнорирование может привести к серьёзным юридическим последствиям.
Однако законодательные требования лучше рассматривать не как ограничения, а как то, что помогает создавать качественную систему безопасности. Они задают обязательные стандарты, на которые нужно опираться при проектировании надёжных информационных систем.
На этапе анализа зрелости существующей системы безопасности знание требований законов помогает точнее определить угрозы и учесть их на этапе проработки рисков и мер по устранению этих угроз.
Перечислим основные законы, регулирующие сферу информационной безопасности.
Конституция РФ
Конституция — основной закон, её статьи имеют непосредственное отношение к информационной безопасности:
Статья 23 гарантирует право на личную и семейную тайну, тайну переписки и иных видов сообщений. Эта статья уже ограничивает доступ к персональной информации и определяет правила обмена конфиденциальными данными.
Статья 29 предоставляет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
Это фундаментальные принципы защиты данных, которые раскрываются в других законодательных актах.
Федеральный закон 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Определяет такие понятия, как «информация», «обладатель информации», «распространение информации», «информационная система» и многие другие.
Вводит ключевые принципы информационной безопасности: актуальность, доступность, целостность и конфиденциальность данных.
Федеральный закон 152-ФЗ «О персональных данных»
Определяет основные понятия и принципы обработки персональных данных.
Устанавливает обязанности оператора персональных данных и права субъекта данных.
Для большинства информационных систем этот закон имеет огромное значение, поскольку в них так или иначе обрабатываются персональные данные.
Сергей
Что важно знать об этом законе?
Определение персональных данных в 152-ФЗ охватывает любые сведения, связанные с определяемым физическим лицом, что затрудняет автоматизированную классификацию и структурирование информационных обменов.
152-ФЗ предусматривает обезличивание персональных данных, при котором исключается возможность идентификации субъекта. После корректного обезличивания такие данные не подпадают под требования закона, что упрощает их использование и обмен.
Закон допускает обработку персональных данных вместе с другой информацией, что усложняет архитектуру ПО, так как оператор обязан обеспечить целостность, конфиденциальность и безопасность персональных данных.
В законе не определяются конкретные методы для обеспечения целостности и актуальности персональных данных. Ответственность за это возлагается на оператора — того, кто собирает, хранит, обрабатывает и использует персональные данные. Это усложняет архитектуру ИС в целом, требуя от оператора регулярно уточнять, блокировать или удалять недостоверные данные и актуализировать их при изменениях.
💡152-ФЗ предоставляет определённую гибкость в организации обработки и защиты персональных данных. Однако эта гибкость создаёт дополнительные сложности: оператор обязан не только обеспечить конфиденциальность, целостность и безопасность персональных данных, но и разработать собственные методы для поддержания их актуальности.
Ответственность за нарушение 152-ФЗ Роскомнадзор может выдавать предписания об устранении нарушений в установленный срок. И в случае неисполнения — наложить штраф, размер которого варьируется в зависимости от характера нарушения. В соответствии с Кодексом РФ об административных правонарушениях (КоАП РФ):
для должностных лиц штрафы могут составлять от 10 тыс. до 50 тыс. рублей;
для юридических лиц — от 30 тыс. до 1,5 млн рублей в зависимости от типа и повторности нарушения. Штрафы могут быть выше при серьёзных инцидентах (например, утечка данных).
За повторные нарушения штрафы значительно увеличиваются: до 800 тыс. рублей для должностных лиц и 18 млн — для юридических. А также могут быть применены меры уголовной ответственности, если нарушение носит особо серьёзный характер.
Работа с персональными данными
Нельзя просто так начать обрабатывать персональные данные. Сначала необходимо подготовить пакет документов (положение об обработке персональных данных, приказы о назначении ответственных) и принять меры по защите данных. После этого можно подавать уведомление в электронной форме на сайте Роскомнадзора.
Чтобы данные оставались полезными, проверяется их корректность и актуальность. Эта часть работы с персональными данными предполагает использование следующих методов.
Автоматизированная проверка данных — данный метод позволяет проверять корректность формата email или телефона, это позволит исключить некорректные данные на раннем этапе.
Периодическое обновление данных — оператор рассылает клиентам запросы на подтверждение или обновление контактной информации, например, каждые шесть месяцев.
Возможность самостоятельного обновления — пользователям предоставляется функция обновления данных (например, в личном кабинете).
Алгоритмы анализа и контроля — изменения в информации (например, адреса доставки) могут автоматически инициировать проверку или обновление данных.
Сбор, обработка и использование персональных данных в контексте соблюдения нормативных требований и сохранения конфиденциальности требует механизмов защиты. Поэтому отдельным важным процессом является механизм обезличивания. Он включает действия, которые делают невозможным определение владельца данных без дополнительной информации.
Механизм обезличивания
✏️ Основная цель обезличивания — удалить или скрыть идентифицирующую информацию, чтобы конкретный человек не мог быть идентифицирован на основе обрабатываемых данных.
Чтобы компания могла собирать и анализировать персональные данные, не нарушая законодательства, и при этом аналитические данные оставались полезными, система безопасности может применить разные методы обезличивания.
Шифрование гарантирует, что даже если злоумышленник получит доступ к данным, он не сможет прочитать их без соответствующего ключа.
Этот метод можно использовать, когда необходимо защитить данные при передаче или хранении, особенно в случае если есть риск перехвата или кражи данных.
Токенизация подразумевает, что персональные данные меняются на уникальные токены, которые связываются с исходными данными только в защищённой среде.
Она применяется в ситуациях, когда необходимо безопасно хранить и обрабатывать персональные данные, не сохраняя их в исходном виде. Подходит для систем, обрабатывающих платёжную информацию или идентификаторы клиентов. Токенизация помогает исключить риск утечки исходных данных.
Псевдонимизация — персональные данные меняются псевдонимами, которые могут быть связаны с реальной личностью только через дополнительную информацию.
Полезна, когда нужно работать с данными, сохраняя их связь с конкретными личностями, но без прямого указания на них. Псевдонимизация применяется в анализе данных, исследованиях, где сохранение конфиденциальности личности критично, но обратная идентификация возможна при наличии дополнительных данных.
Удаление идентифицирующей информации позволяет анализировать поведение пользователей или обрабатывать статистические данные без привязки к конкретным лицам.
Этот метод используется, когда, например, нужно анализировать поведение пользователей и нет необходимости привязывать полученные данные к конкретным личностям.
Например, когда клиент заказывает доставку в сервисе Яндекс Еда, для защиты персональных данных сервис сообщает курьеру городской номер с добавочным кодом вместо настоящего номера телефона. А для идентификации во время звонка — имя клиента.
Курьер видит псевдоним реального номера телефона. Такой набор данных не позволяет напрямую идентифицировать клиента без доступа к дополнительной информации внутри сервиса.
Все эти методы требуют значительных усилий в проектировании архитектуры и могут стать источником проблем при интеграции персональных данных с другой вспомогательной информацией.
Трансграничная передача персональных данных
Отдельная область, которая регулируется 152-ФЗ «О персональных данных», — защита персональных данных при их передаче за пределы Российской Федерации.
Трансграничная передача персональных данных без проблем возможна только в те страны, которые обеспечивают адекватный уровень защиты прав субъектов данных. В сложных ситуациях лучше обратиться за консультацией в Роскомнадзор. Например, если страна не обеспечивает адекватный уровень защиты, передачу данных можно осуществить только с явного и информированного согласия. То есть субъект должен быть проинформирован о стране назначения и мерах безопасности, применяемых для защиты его персональных данных.
В силе остаются общие требования 152-ФЗ, включая обеспечение конфиденциальности и безопасности данных в процессе передачи, но добавляется необходимость учёта фактов трансграничной передачи.
Чтобы понять, адекватный ли уровень защиты у страны с точки зрения 152-ФЗ, нужно предпринять несколько шагов:
Проверка перечня стран с адекватным уровнем защиты
На этом шаге нужно проанализировать актуальный перечень стран, которые обеспечивают необходимый уровень защиты персональных данных. Если страна есть в этом перечне, то компании повезло — можно сразу переходить к пятому шагу.
Оценка локального законодательства страны назначения
Затем важно провести анализ законодательства страны назначения в области защиты персональных данных. Определить, соответствует ли законодательство страны основным принципам, установленным в 152-ФЗ. Например, соблюдаются ли принципы конфиденциальности, законности обработки, согласия субъектов данных. Возможно, здесь потребуются консультации с юристами, специализирующимися на международной защите данных.
Запрос информации у иностранного получателя данных
На этом шаге направляется запрос иностранному получателю с просьбой предоставить информацию о мерах защиты персональных данных, применяемых в их организации. Стоит также изучить политику конфиденциальности, технические и организационные меры безопасности, которые применяются к обрабатываемым персональным данным.
Заключение договора с иностранным получателем
Если страна назначения не имеет своего законодательства, соответствующего требованиям 152-ФЗ, оператор должен заключить с получателем договор, в котором будут прописаны обязательства по защите персональных данных. Договор должен содержать условия, требующие от получателя соблюдения адекватного уровня защиты персональных данных, аналогичного требованиям российского законодательства.
Если получатель отказывается от заключения такого договора, передача данных становится невозможна.
Документирование результатов
Важно задокументировать результаты проведённого анализа и обоснование принятого решения о трансграничной передаче данных. Всю документацию необходимо сохранять на случай проверок со стороны Роскомнадзора.
Мониторинг и контроль
После этого стоит регулярно проверять изменения в законодательстве страны назначения, а также соблюдение договорных обязательств иностранным получателем данных. При выявлении изменений в законодательстве или несоблюдения договорных условий — пересмотреть условия передачи данных и при необходимости приостановить трансграничную передачу.
💡Если оператор нарушит требования трансграничной передачи персональных данных, он может столкнуться с юридическими последствиями, включая штрафы и запрет на дальнейшую обработку персональных данных.
Что почитать про защиту персональных данных
Ответственность за нарушение закона о персональных данных прописана на сайте Гарант.ру
Посмотреть перечень стран с адекватным уровнем защиты можно в приказе
Как подать уведомление и собрать пакет документов о предпринятых мерах защиты данных, есть на сайте Роскомнадзора
Как учитывать законодательные нормы в архитектуре
Рассмотрим на примере, как учитывать законодательные нормы в проектировании архитектуры сервиса.
Представьте стартап FitLook, который предоставляет услуги виртуальной примерки одежды. Он начал быстро набирать популярность, и крупные онлайн-магазины одежды встраивают возможности сервиса в процесс подбора одежды на своих маркетплейсах.
Механизм работы сервиса простой: покупатель загружает фотографию в полный рост в личном кабинете сервиса. На сайте интернет-магазина одежды с помощью API покупатель уже получает небольшой видеоролик с ожившим персонажем в выбранной им одежде. Допустим, персональные данные не покидают пределов страны. Процесс встраивания законодательных норм в архитектуры информационной безопасности стартапа должен выглядеть так:
1. Классификация данных
Первым делом нужно классифицировать обрабатываемые персональные данные: фотографии, метаданные, рост, размер. И установить, что все данные, которые могут быть использованы для идентификации пользователя (например, предпочтения клиентов), подлежат строгому контролю.
2. Получение согласия на обработку персональных данных
При первой загрузке фотографии пользователь видит всплывающее окно с политикой обработки данных, в котором чётко указывается, какие данные собираются и для каких целей.
В системе реализуется механизм сбора согласия на обработку персональных данных: пользователь соглашается с условиями использования сервиса, отмечая галочкой поле «Согласен на обработку персональных данных».
3. Хранение и шифрование данных
Фотографии и другие персональные данные хранятся на серверах, расположенных в дата-центрах на территории России.
Шифрование: все фотографии и связанные персональные данные хранятся в зашифрованном виде. Используются алгоритмы шифрования и TLS для защиты данных при передаче между клиентом, API и онлайн-магазинами.
Управление ключами: ключи шифрования хранятся в защищённых аппаратных модулях (HSM), которые обеспечивают надёжное управление криптографическими операциями и ротацию ключей.
4. Обезличивание данных
На этом шаге внедряется механизм обезличивания фотографий — они хранятся без прямой привязки к другой идентифицирующей информации. Данные пользователей обезличиваются для аналитических целей (например, статистики выбора одежды). Связей между конкретной фотографией и любой аналитикой быть не должно.
После обезличивания используется псевдонимизация: каждому пользователю присваивается уникальный идентификатор, чтобы его личность не могла быть определена напрямую.
5. Журналирование и контроль доступа
Логирование: все операции с данными фиксируются в журналах. Журналы также шифруются.
Контроль доступа: доступ к данным в системе имеет только ограниченный круг сотрудников. Каждый сотрудник получает доступ на основе принципа наименьших привилегий (Least Privilege), а все действия записываются в журнал аудита.
6. Предоставление пользователям контроля над своими данными
В личном кабинете пользователя нужно реализовать возможность просматривать, корректировать или удалять свои персональные данные, включая фотографии и предпочтения в одежде. Пользователь может в любое время отозвать согласие на обработку данных, что приведёт к автоматическому удалению его данных из системы.
Политика хранения данных: система автоматически удаляет данные пользователя, если они неактивны в течение определённого периода (например, шесть месяцев). Это позволяет минимизировать объём хранимых персональных данных.
Информирование об утечках данных
В архитектуре системы должны быть предусмотрены механизмы мониторинга безопасности, которые отслеживают несанкционированные попытки доступа или утечки данных.
При обнаружении потенциальной утечки персональных данных система автоматически запускает процесс информирования Роскомнадзора и затронутых пользователей. В процессе проектирования определяется чёткий протокол реагирования на инциденты, включающий блокировку доступа к скомпрометированным данным и расследование инцидента.
Построение гибкой архитектуры для соответствия изменениям в законодательстве
Архитектура разрабатывается на основе микросервисов: это позволяет быстро обновлять алгоритмы шифрования, механизмы получения согласия или хранения данных в случае изменений в законодательстве. Проводятся регулярные обновления и аудиты безопасности.
Обеспечение безопасности интеграций с онлайн-магазинами
Онлайн-магазины, которые встраивают API FitLook, передают только минимально необходимый набор данных. Архитектура API проектируется таким образом, чтобы во время виртуальной примерки использовались только обезличенные или анонимные данные.
Безопасность API: Все запросы к API используют https, проверку аутентификации и авторизации.
Встраиваем сгенерированный видеоролик через собственный видеоплеер, который принимает контент в зашифрованном виде и не сохраняет его в браузере.
Сгенерированный контент не хранится на сайте сервиса (удаляется сразу после передачи).
💡Перечисленные пункты могут меняться. Это зависит от специфики компании и многих других факторов: например, с какими данными она работает, как построена архитектура приложения, какие есть ресурсы на реализацию и поддержание должного уровня безопасности.
Чтобы оставаться эффективной, команда должна постоянно оценивать риски угроз, увеличивать контроль за точками возможных атак и масштабировать меры безопасности.
Скачайте чек-лист с пунктами, которые важно учесть для соблюдения требований законодательства при разработке архитектуры сервиса.
Сергей
Подведём итоги
Итоги
Законодательные нормы задают обязательные стандарты, на которые необходимо опираться при создании информационных систем. Они не только ограничивают, но и помогают построить качественную систему защиты, предлагая чёткие принципы для повышения безопасности данных и минимизации рисков.
Соблюдение 152-ФЗ в информационных системах требует защиты персональных данных (например, с помощью шифрования, токенизации, псевдонимизации, удаления идентифицирующей информации). Данные классифицируются по уровням защищённости, а их обработка проводится с согласия субъектов. Важна регулярная проверка безопасности и соответствия законодательным требованиям.
Один их механизмов, позволяющий организациям анализировать и использовать данные, не нарушая законодательства о защите конфиденциальной информации, — обезличивание. Обезличивание данных защищает персональную информацию, скрывая идентифицирующие элементы.
При передаче данных между странами необходимо учитывать местные законы и международные соглашения. В рамках законодательства данные могут передаваться только в страны с признанным должным уровнем защиты, которые включены в специальный реестр. В ином случае оператор должен заключить с получателем договор, в котором будут прописаны обязательства по защите персональных данных.