CC BY
64
INTEGRATED SECURITY
His
В E S E A R >: II
Механизм подачи уведомления регулирующему органу и субъекту персональных данных в связи с нарушением безопасности персональных данных
Уведомление о нарушение безопасности персональных данных является непрерывным процессом извещения органов власти по контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области защиты персональных данных, которое развивается и дополняется по мере проведения судебной экспертизы новыми данными о произошедших инцидентах. В статье рассмотрены вопросы повышения безопасности персональных данных субъектов за счет внедрения механизма своевременного уведомления регулирующего органа и субъекта персональных данных о произошедших инцидентах с ними.
Ключевые слова: безопасность, персональные данные, уведомление, информационная система, субъект.
Петренко В.И., Суховей Д.Н.,
Ставропольский государственный университет
В настоящее время количество информационных систем, содержащих персональные данные (ПДн), стремительно увеличивается. И государство в этих условиях старается защитить субъекта ПДн. В связи с чем, с одной стороны, постоянно совершенствуется законодательство в этой области (вносятся необходимые изменения в ФЗ-152 "О персональных данных" [1], выходят новые Постановления Правительства), с другой стороны, постепенное расширение международной интеграции российского законодательства, вступление России в ВТО требует приведения законодательства по ПДн к мировому уровню. Одним из основных и эффективных механизмов защиты субъекта ПДн является своевременное предоставление регулирующему органу и субъекту ПДн уведомления об утечке (нарушении ПДн). Однако в РФ такого опыта еще нет, а в Европе только предпринимаются попытки законодательного закрепления данного механизм в связи с выходом нового законопроекта Евросоюза "О защите (персональных) данных" (General Data Protection Regulation) [2], в котором прописано, что операторы ПДн обязаны в течение 24 ч уведомить регулирующий орган и субъекты ПДн о возникших проблемах, связанных с безопасностью персональных данных И поэтому весьма актуальным является разработка в ближайшее время механизма подачи такого уведомления для нашей страны. Вариант такого механизма предложен в данной статье.
Целью статьи является повышение безопасности ПДн субъектов за счет внедрения меха-
низма своевременного уведомления регулирующего органа и субъекта ПДн о произошедших инцидентах с ПДн.
Уведомление о нарушение безопасности персональных данных является непрерывным процессом извещения органов власти по контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области защиты персональных данных, которое развивается и дополняется по мере проведения судебной экспертизы новыми данными о произошедших инцидентах.
Для того, чтобы оператор ПДн своевременно (без неоправданной задержки) уведомлял регулятора и затронутых лиц (субъектов ПДн) о произошедших инцидентах, связанных с нарушением безопасности ПДн, с учетом того, что в некоторых случаях оператору ПДн может потребоваться больше времени, чтобы определить все последствия нарушения безопасности ПДн, предлагается производить оценку нарушения безопасности ПДн в два этапа:
1 этап — первоначальная оценка. Должна начаться сразу после того, как стало известно о нарушении безопасности ПДн. Причем на данном этапе оператор должен определить действительно ли в результате нарушения безопасности ПДн произошло их раскрытие неопределенному кругу лиц и, если это возможно, выяснить обстоятельства нарушения, серьезность нарушения и уведомить в течение 24 часов контролирующий орган.
2 этап — детальная оценка. Выполняется тогда, когда по различным причинам не удается
Notification message feeder to regulator and subject of personal data with safety of personal data violation
Petrenko V.I.,.Sukhovey D.N.,
Stavropol state university
Abstract
The notification message about violation of safety of personal data is the continuous process of notification of authorities on monitoring and supervision of compliance of processing of personal data to legislation requirements in the field of protection of personal data which develops and added in process of carrying out judicial expertize by new data on the occurred incidents. In article questions of increase of safety of personal data of subjects due to implementation of the mechanism of the timely notification message of regulator and the subject of personal data about the occurred incidents with them are considered.
Keywords: safety, personal data, notification message, information system, subject.
High technologies in Earth space research № 2-2012
собрать всю необходимую информацию о произошедшем инциденте с ПДн в течение 24 ч. При этом необходимо пользоваться разработанной и утвержденной методикой оценки воздействия нарушения на ПДн. Такая методика, например, была недавно предложена Европейским агентством по сетевой и информационной безопасности (ЕКНБА) [3, 4]. Методика позволяет определить серьезность нарушения безопасности ПДн и присвоить каждому нарушению степень опасности. Причем при оценке степени серьезности и воздействия нарушения безопасности ПДн для субъектов ПДн необходимо учитывать два основных критерия: идентифицируемость ПДн (чем проще идентифицировать ПДн, тем выше воздействие на субъекты ПДн) и достигаемый уровень воздействия на субъекты ПДн, зависящий от характера нарушения данны х, типа воздействия и применяемых мер устранения нарушения.
Данный подход поможет операторам ПДн правильно определить обстоятельства нарушения ПДн и предоставит им больше времени (более 24 ч), чтобы выполнить оценку нарушения безопасности ПДн (если нужно) и уведомить регулятора и затронутых лиц.
Предварительное уведомление оператор должен сделать без неоправданной задержки в течение 24 ч после того как стало известно об нарушении безопасности Пдн. Причем в течение этого времени оператор должен выполнить предварительную оценку серьезности и степе-
ни воздействия нарушения безопасности ПДн. Предварительное уведомление должно включать лишь основную информацию о произошедшем нарушении.
После предварительной оценки произошедшего инцидента и подачи уведомления, необходимо произвести детальную оценку и предоставить регулятору детальное уведомление. Причем в данном уведомлении должна быть предоставлена дополнительная информация, касающаяся произошедшего инцидента, а также должен быть уведомлен субъект ПДн о произошедшем нарушении (если оператор сочтет это необходимым).
Что касается временных интервалов, в которые должно подаваться уведомление, то было бы целесообразно предоставлять детальное уведомление регулятору после всех мероприятий по оценке нарушения и составления всех отчетов, но не позже, чем временные пороги, представленные в таблице 1, основанные на начальной оценке степени воздействия.
Часть информации, представленная в уведомлении, будет в дальнейшем использована регулятором для анализа случая нарушения. Регулятор будет иметь возможность наблюдать и анализировать тенденции и подготавливать конкретные полезные советы для всех сторон, участвующих в обработке ПДн, в том числе и субъектов ПДн.
Таким образом, можно предложить минимальный набор информации, которую целесо-
КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ
образно было бы указать оператору в уведомлении, предоставляемом регулятору. В уведомлении оператор должен указать следующую информацию:
— информацию об организации, уведомляющей о нарушении данных, а именно: название организации, ФИО, должность уведомляющего лица, адрес электронной почты, номер мобильного и стационарного телефонов;
— тип уведомления (первоначальное или детальное);
— информацию о контактных лицах для получения дополнительной информации об уведомлении (имя должностных лиц, должности, адрес электронной почты, номера стационарного и мобильного телефонов);
— дата и время уведомления;
— краткое описание инцидента, который привел к нарушению безопасности данных;
— дата и время, когда данные нарушения были установлены;
— предполагаемая дата и время возникновения нарушения данных;
—тип нарушенных данных (информация об имени и адресе, номерах мобильных телефонов, адреса электронной почты, идентификационные данные (имя пользователя, пароль и идентификатор клиента), платежные данные (номер счета, кредитной карты), специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни));
—результаты воздействия и оценка серьезности нарушения (тип нарушения: чтение, копирование, модификация, удаление, кража данных злоумышленником; предмет нарушения: компьютер, мобильное устройство, печатный документ, сеть);
—предполагаемая серьезность нарушения данных (в соответствии с методикой: низкая, средняя, высокая, очень высокая);
— число затронутых лиц;
— принятые технические и организационные меры для защиты нарушенных данных;
— содержание уведомления субъектов ПДн, пострадавших от инцидента (если субъекты были об этом уведомлены);
— каналы связи, используемые для уведомления пострадавших лиц;
— технологические и организационные меры, которые будут приняты, что бы избежать
Наукоёмкие технологии в космических исследованиях Земли № 2-2012
Таблица 1
Временная шкала подачи уведомления в контролирующие органы
Оценка воздействия нарушения безопасности ПДн на субъекта Время предоставления детального уведомления
Оценка Воздействие
Низкий/ Незначительный Отсутствует или незначительное: небольшие проблемы или неприятности, которые легко могут быть решены На усмотрение оператора
Средний Отрицательное влияние не очень серьезно и может быть преодолено (например, экономические потери) Не более 15 дней
В ысокии Значительные или серьезные нарушения, но, приложив некоторые усилия, они могут быть преодолены {например, значительный экономический ущерб) Не более 10 дней
Очень высокий Влияние очень серьезно и необходимо предпринять значительные усилия для их устранения или же возможны даже необратимые последствия(воздействие на здоровье) Не более 5 дней
INTEGRATED SECURITY
His
HERE A It i: II
подобных инцидентов в будущем.
В минимальный набор информации, которую следует указать в уведомлении, предоставляемом пострадавшим субъектам ПДн, нужно включить следующие данные:
— информация о контактном центре оператора для обращений пострадавших с целью получения больше информации о нарушении;
— описание произошедшего инцидента, включая то, какие ПДн были подвержены воздействию;
— информация о том, что будет сделано, чтобы смягчить отрицательное воздействие.
А также следует по усмотрению оператора указать следующую дополнительную информацию:
— тип нарушенных данных;
—возможные последствия нарушения;
—меры, которые уже приняты оператором
для смягчения последствий от нарушения;
Важно также отметить, что шаблон формы уведомления рекомендуется использоваться в виде электронной формы1 (например, XML) на web-сайте компетентного органа, для облегчения ввода данных операторами, как это сейчас сделано с уведомлением об обработке (о намерении осуществлять обработку) персональных данных, электронная форма которого размещена на сайте Уполномоченного органа по защите
прав субъектов персональных данных [5].
Так как оператор, вероятнее всего, не знает и не сможет указать всех деталей произошедшего инцидента в своем первом уведомлении, то процедура изменения ответов, которые были даны в первом уведомлении, в последующих уведомлениях будет считаться вполне нормальной.
По этой причине только несколько полей формы должны быть отмечены как "необходимые", а остальные поля должны быть дополнительными (редактируемыми). Система на web-сайте регулятора должна зарегистрировать историю ответов на вопросы.
Данный механизм подготовки уведомлений для регулятора и субъектов ПДн, а также рекомендации по заполнению уведомления позволят российскому регулятору (Роскомнадзору) в будущем разработать (если понадобится) полноценные рекомендации по заполнению образца формы уведомления о нарушении безопасности персональных данных. Тем более опыт разработки и утверждения подобных рекомендаций имеется - утверждены рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
Предложенный механизм подачи уведомления позволит своевременно определить серь-
езность нарушения и степень воздействия нарушения на субъекты ПДн. Это должно способствовать оперативному принятию мер по устранению возникшего нарушения и уменьшению тяжести последствий от инцидента.
Литература
1. Федеральный закон РФ от 27 июля 2006 года N 152-ФЗ "О персональных данных".
2. Законопроект COM(2012) 11/4 "Draft Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)". http://ec.europa.eu/justice/newsroom/data-protec-tion/news/120125_en.htm.
3. "Директива о защите данных" от 1995 года -Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of ndividuals with regard to the processing of personal data and on the free movement of such data.
4. Рекомендации по реализации 4-й статьи Директивы - Recommendations on technical implementation guidelines of Article 4 of April 2012. The European Network and Information Security Agency (ENISA).
5. Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных. http://www.pd.rsoc.ru/operators-registry/notification.
High technologies in Earth space research № 2-2012
