Базовые технические меры при проектировании решения для обработки персональных данных

В соответствии с требованиями законодательства РФ и требованиям регуляторов, все компании, работающие с ПДн(Персональными данными), обязаны обеспечить их безопасность и защиту.

Персональные данные (ПДн) - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Группы персональных данных:

·         Общие. ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail

·         Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях

·         Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие

·         Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.

Работу с персональными данными в России регулируют следующие органы и службы:

1.        ФСТЭК проверяет техническую и организационную части обработки персональных данных.

2.       Роскомнадзор защищает права субъекта ПДн и контролирует соответствие технологии обработки персональных данных требованиям закона 152-ФЗ.

3.       ФСБ осуществляет контроль за безопасностью ПДн в процессе их обработки.

Невыполнение требований безопасности при работе с персональными данными влечет ответственность в соответствии со статьей 13.11 КоАП РФ.

Угрозы безопасности ПДн — это совокупность условий и факторов, создающих риск несанкционированного доступа к ПДн. В ходе такого проникновения нарушители могут уничтожать, менять, блокировать, копировать, предоставлять, распространять данные, а также совершать иные неправомерные действия.

Последствия: репутационные риски, дополнительные затраты на устранение последствий, штраф от регулятора.

Как определить уровень защиты ИСПДн

Чтобы понять, какие конкретно меры необходимо предпринять для обеспечения безопасности персональных данных, для начала необходимо разобраться:

·         Что такое ИСПДн

·         Какие уровни защиты бывают

·         Как определить необходимый уровень защиты для конкретной системы.

ИСПДн – информационная система персональных данных — совокупность информационных и программных, а также технических средств, т.е.:

1.        Базы данных, где хранятся ПДн

2.       Сервера для хранения ПДн

3.       ПО для обработки данных

4.       ПК, ноутбуки сотрудников, на которых работают с ИСПДн

5.       Средства защиты информации

В Постановлении Правительства РФ № 1119 выделяются 4 уровня защищенности к ИСПДн, критерии для определения уровня, а также описаны конкретные меры профилактики несанкционированного доступа к конфиденциальным сведениям.

Для того, чтобы понять уровень защищенности, необходимо определить основные характеристики ИСПДн:

1.        Установить категории обрабатываемых персональных данных физических лиц - они могут быть:

a.       1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

b.       2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

c.       3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

d.       4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

2.       Вид обработки по форме отношений между субъектами и организацией:

a.       обработка персональных данных штатных сотрудников вашей компании

b.       обработка персональных данных субъектов, не являющихся сотрудниками вашей организации

3.       Определить количество субъектов ПД:

a.       менее 100 000 субъектов

b.       более 100 000 субъектов

4.       Определить тип актуальных угроз для информационной системы:

a.       угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн, другими словами, преднамеренно видоизмененная часть ПО, с помощью которой можно получить скрытый несанкционированный доступ

b.       угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн

c.       угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн

Установив исходные характеристики для конкретной ИСПДн, определяется уровень защищенности персональных данных, например, с помощью калькулятора ФСТЭК.

После определения уровня защищенности мы получаем конкретные требования к ИСПДн, которые необходимо учесть при проектировании и реализации решения.

Пример обеспечения защищенности ИСПДн для коммерческой организации 3-его уровня

Давайте на примере одного из наших решений определим уровень защищенности и разберем, что делать дальше.

Итак, мы делаем ИСПДн для коммерческой организации, которая специализируется на подборе и аутсорсинге персонала, соответственно, наша система хранит в базе данных резюме кандидатов, карточки с контактной информацией, что является персональными данными.

Первым делом определяем характеристики нашей ИСПДн:

1.        Нужно определить категорию обрабатываемых ПДн = биометрия (фото кандидатов) + иные данные (т.е. не специальные и не общедоступные)

2.       Сотрудники оператора или нет = нет

3.       Количество обрабатываемых ПДн = более 100 тыс

4.       Определить тип актуальных угроз = 3-ий тип, так как мы разрабатываем собственное ПО

С помощью калькулятора ФСТЭК получаем, что для нашей системы необходимо обеспечить 3-ий уровень защищенности ИСПДн.

Смотрим в документ о правительственном Постановлении № 1119, утверждённом 1 ноября 2012 года, и получаем описание мер, которые необходимо соблюсти при проектировании, разработке и эксплуатации ИС.

В данной статье мы не будем разбирать все меры, иначе эта статья легко перерастет в книгу, поэтому остановимся только на базовых технических мерах при обработке ПД, которые необходимо учесть при разработке ПО.

Чтобы обеспечить 3-ий уровень защищенности получения и хранения персональных данных необходимо реализовать:

1.        Размещение хранилища ПД на территории РФ - на основании требования ФЗ №152 (ч.5 ст.18) о расположении серверов БД ПДн на территории РФ.

2.       Шифрование документов перед их сохранением. Для этих целей мы используем современные надежные стандартные криптографические алгоритмы.

3.       Безопасное хранение логинов/паролей доступа к БД и прочим ресурсам реализуем в HashiCorp Vault, а не в конфигурационных файлах сервисов. Эта мера значительно усложняет получение паролей третьей стороной.

4.       Использование одноразовых идентификаторов документов при доступе к ним через API. Это позволит исключить возможность «перебора» идентификаторов в запросах, чтобы выгрузить документы злоумышленнику.

5.       Программное блокирование доступа к хранилищу при массовом скачивании документов одним пользователем.

6.       Ограничение прав доступа к документам на уровне ролей: доступ к функциям и документам регулируется администратором.

7.       Проверка загружаемых файлов - реализация на стороне сервиса по работе с документами функционала проверки загружаемых файлов в соответствии с рекомендациями OWASP о безопасной работе с файлами. Чтобы не допустить запуск вредоносного скрипта.

Заключение

Важно понимать, что это далеко не все меры, которые необходимо учесть при проектировании. В данной статье мы сфокусировались на определении уровня защиты и привели пример реализации технической части решения, связанной с обеспечением безопасности получения данных, хранения и передачи ПД.

Дополнительно при проектировании вам необходимо учесть вопросы, связанные с организационно-техническими мерами: вычислительной техникой, инфраструктурой, вспомогательными техническими средства, системами коммуникации и другими составляющими ИСПДн.

Мы имеем необходимые лицензии на осуществление деятельности по обеспечению безопасности:

1.        ФСТЭК № Л024-00107-00/00583444: Деятельность по технической защите конфиденциальной информации

2.       ФСТЭК № Л050-00107-00/00581342: Разработка и производство средств защиты конфиденциальной информации

3.       ФСБ № Л051-00105-54/00614586: Деятельность, связанная с шифровальными (криптографическими) средствами, разработка, производство, монтаж, обслуживание защищенных информационных систем

Сертифицированных сотрудников в штате компании:

1.        Защита информации и персональных данных

2.       Работа с шифровальными и криптографическими средствами

3.       Безопасность web приложений

4.       Безопасность мобильных приложений