О безопасности персональных данных Текст научной статьи по специальности «Компьютерные и информационные науки»

NATURAL SCIENCES

COMPUTER SCIENCE AND INFORMATICS

Научная статья УДК 004.056

https://doi.org/10.24412/2687-0185-2024-1-255-263 EDN: https://elibrary.ru/WVEOPU NIION: 2007-0083-1/24-434 MOSURED: 77/27-005-2024-01-634

О безопасности персональных данных

Андрей Александрович Страхов1, Наталья Михайловна Дубинина2

1,2 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия

1 cokr@mail.ru

2 nm_dubinina@mail.ru,

Аннотация. Рассматриваются правовые и технологические аспекты компьютерной обработки персональных данных, приводятся результаты анализа наиболее громких утечек и оцениваются риски для потенциальных жертв. Актуальность статьи обусловлена ростом подобных преступлений в связи с ростом хакерской активности и хактивизма в отношении граждан Российской Федерации, в связи с чем изменились требования к правовой, технической и физической защите персональных данных.

Ключевые слова: автоматизированные информационные системы, персональные данные, информационные технологии, кибербезопасность, операционные технологии

Для цитирования: Страхов А. А., Дубинина Н. М. О безопасности персональных данных // Криминологический журнал. 2024. № 1. С. 255-263. https://doi.org/10.24412/2687-0185-2024-1-255-263.

Original article

About the security of personal data

Andrey A. Strakhov1, Natalia M. Dubinina2

1,2 Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Moscow, Russia,

1 cokr@mail.ru

2 nm_dubinina@mail.ru

Abstract. Legal and technological aspects of computerized processing of personal data are considered, the results of analysis of the most high-profile leaks are given and the risks for potential victims are assessed. The relevance of the article is conditioned by the growth of such crimes due to the growth of hacker activity and hacktivism against citizens of the Russian Federation, which has changed the requirements for legal, technical and physical protection of personal data.

Keywords: automated information systems, personal data, information technologies, cybersecurity, operational technologies

For citation: Strakhov A. A., Dubinina N. M. About the security of personal data. Criminological Journal. 2024;(1):255-263. (In Russ.). https://doi.org/10.24412/2687-0185-2024-1-255-263.

По статистике, представленной компанией Натальи Касперской Infowatch за первое полугодие 2023 г., в глобальном информационном пространстве зафиксировано свыше 5,5 тыс. серьезных случаев утечки информации. Это в 2,4 раза превышает аналогичный показатель того же периода прошлого года (АППГ). Существенно выросла доля скомпрометированной коммерческой тайны, ноу-хау и секретов производства, то есть активов, ценность которых высока в условиях жесткой конкурентной борьбы. В России

выросла доля утечек государственной тайны. Персональные данные по-прежнему составляют основной сегмент черного рынка. Несмотря на перенасыщенность черного рынка персональными данными, кражи этой информации по-прежнему актуальны и обусловлены не только экономическими мотивами, но и политическими целями хактивистов.

За первое полугодие 2023 г. (1Н 2023) в мире приходилось в среднем 3,3 млн записей персональных данных на одну утечку, в России - 2,45 млн. По срав-

© Страхов А. А., Дубинина Н. М., 2024

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

нению с АППГ российская утечка «потяжелела» в три раза, то есть возросла активность краж из баз персональных данных крупных российских организаций.

В России скомпрометировано около 20 млрд записей с персональными данными (включая платежную информацию), из которых свыше 700 млн приходится на россиян (на 72 % больше по сравнению с АППГ).

Заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и

массовых коммуникаций (Роскомнадзор) М.Э. Вагнер на международном экономическом форуме в Санкт-Петербурге (ПМЭФ-2023) выразил озабоченность тенденцией роста числа российских граждан, сведения о которых попали в открытый доступ в сети Интернет.

В настоящей статье будут затронуты вопросы безопасности личности в контексте защиты персональных данных - одному из аспектов информационной безопасности Российской Федерации.

Рис. 1. Распределение утечек по типам данных в мире и в России за 1Н 2023

Рис. 2. Динамика скомпрометированных персональных данных в мире и в России (млрд)

Приведем некоторые данные.

Основатель сервиса DLBI (Data Leakage & Breach Intelligence) А. Оганесян в интервью сетевому изданию «Ведомости» (Vedomosti) в 2023 году отметил среди наиболее крупных две утечки данных бонусной программы «Сберспасибо» (52,5 млн записей), кражу из сети «Спортмастер» (46 млн записей) и интернет-аптеки zdravcity.ru (8,9 млн записей). В апреле 2023 г. 4,5 млн телефонов и адресов электронной почты клиентов было украдено из сервиса по продаже билетов kassy.ru, около 10 млн записей - из интернет-магазина zoloto585.ru, более 8 млн записей - из страховой

компании «Согаз». Хакеры из группировки «UHG» выложили в сеть данные свыше 2 млн зарегистрированных клиентов парфюмерного интернет-магазина «Подружка».

В мае 2023 г. Те^гат-канал In2security, а затем компания Infosecurity сообщили появлении в открытом Интернете почти 300 тыс. записей о кандидатах на работу в сетевые рестораны быстрого питания «Вкусно - и точка» за период с января 2018 г. по май 2023 г. Выложенные данные включают личную информацию: фамилию, имя и отчество (ФИО) кандидата, гражданство, возраст, мобильный телефон, место

_NATURAL SCIENCES_

COMPUTER SCIENCE AND INFORMATICS

Ям

текущей работы и желаемую вакансию, а также результаты тестирования на собеседовании.

Летом 2023 г. в Интернет были выложены два текстовых файла в JSON-формате, содержащие в совокупности 1,5 млн записей из базы данных международного детского лагеря «Артек». Каждая запись содержала сведения о детях и их родителях: фамилию, имя и отчество, номер свидетельства о рождении или паспорта, СНИЛС, e-mail, телефон, дату рождения, пол, домашний адрес, гражданство, место учебы, сданные нормативы ГТО, навыки владения иностранными языками, признак малоимущей семьи, членство в «Юнармии», хобби, ограничения по здоровью.

В свободном доступе оказалась база данных 9 млн пользователей платформы «Российская электронная школа» (resh.edu.ru) в формате PostgreSQL. Кроме основных контактных реквизитов табличный файл содержал «соленые» хеш-коды паролей, идентификаторы пользователей в социальных сетях ВКонтакте, Одноклассники, Facebook, идентификаторы ЕСИА1 для авторизации на сайте Госуслуг.

В июле 2023 г. в Интернете появились дампы с персональными данными (включая хэши паролей) более 7 млн клиентов сети медицинских лабораторий «Хеликс». Приблизительно в то же время в открытом доступе оказались около 85 тыс. записей с уникальными телефонами, e-mail, ФИО или именами, текстами обращений клиентов сети клинико-диагностических лабораторий «KDL» за последние два года. Ранее DLBI обнаружила утечки персональных данных из медицинских лабораторий «Гемотест», «ДиаЛаб», «СИТИЛАБ».

Все эти факты указывают на серьезную проблему, заметно обострившуюся с расширением национального ки-берпространства, формированием в нашей стране информационного общества и развитием цифровой экономики.

Что же относится к персональным данным и как должна осуществляться их автоматизированная обработка?

В соответствии с Федеральным законом «О персональных данных» № 152-ФЗ-2006 г. персональными данные (ПДн) является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту ПДн. При этом важно отметить, что законодательство о ПДн не регулирует вопросы обработки персональных данных для личных нужд, сведений, отнесенных к государственной тайне или входящих в архивные фонды.

Любое действие с ПДн, включая сбор, накопление, хранение, систематизацию, коррекцию, использование, передачу, обезличивание, блокирование, удаление и др., считается их обработкой. Если подобные действия осуществляются с помощью компьютера или коммуникатора - автоматизированной обра-

1 Единая Система Идентификации и Аутентификации

боткой. Далее речь пойдет именно о них.

Предоставление ПДн - это действия, направленные на раскрытие ПДн определенному кругу лиц. Раскрытие ПДн неопределенному кругу лиц считается их распространением.

Ограничение доступа к ПДн регламентировано федеральными законами. Частое заблуждение в том, что обработка и предоставление персональных данных третьим лицам без согласия субъекта ПДн запрещены безусловно, не соответствует действительности. Кроме как с разрешения субъекта ПДн в статье 6 Закона «О персональный донных» предусмотрены еще 10 правовых оснований для обработки ПДн без его согласия:

• для исполнения обязательств по договору, в котором субъект ПДн является стороной договора, выгодоприобретателем или поручителем;

• для исполнения полномочий государственных и муниципальных органов власти;

• для обеспечения безопасности финансовых операций, предотвращения хищения денежных средств;

• для судебного разбирательства или на основании актов судебного производства;

• для медицинских, психологических и иных обследований в предусмотренных законом случаях;

• для статистических исследований (при условии обязательного обезличивания данных);

• для ведения ведомственных учетов в предусмотренных законом случаях и т. д.

Множество ПДн можно условно разделить на несколько видов:

Основные личные данные (ФИО, дата рождения, адрес проживания, контактный телефон, email и т. п.). Как правило, сами по себе основные ПДн являются общедоступными и не нуждаются в особых мерах защиты.

Специальные категории ПДн, ограничение доступа к которым наступает в соответствии с федеральными законами (банковская, коммерческая, семейная, врачебная тайна).

Дополнительные специальные ПДн, ограничение доступа к которым наступает в соответствии с требованиями субъекта (отношение к политике или религии, результаты различных опросов и исследований, участие в некоторых мероприятиях на основе анонимности).

Биометрические ПДн, отражающие физиологические или биологические субъекта, по которым можно установить его личность (цифровые образы частей тела, голоса, движений).

В соответствии с п. 2 ст. 11 Закона «О персональных данных» «обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных:

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

• в связи с реализацией международных договоров Российской Федерации о реадмиссии;

• в связи с осуществлением правосудия и исполнением судебных актов;

• в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации,

• а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате».

Единого перечня защищаемых ПДн не существует, так как одна и та же информация в одном случае может считаться персональными данными, а в другом нет, как, например, серии и номера бланков паспортов, дипломов об образовании, дисконтных или банковских карт, заводские номера компьютерного оборудования, агрегатов автомобиля, IMAI (International Mobile Equipment Identity) и номера мобильных телефонов до момента их привязки к конкретному субъекту. Соответственно возникает много ситуаций, когда информация относится к ПДн только в совокупности с другой информацией.

Примерные критерии отнесения информации к ПДн:

• является явным признаком конкретного человека (ФИО, домашний адрес, контактный телефон, фотография, реквизиты паспортных данных и иных удостоверений личности, выписки из ЕГРН);

• документально связана с конкретным человеком (реквизиты документов на право собственности или владения имуществом, банковские реквизиты счетов или платежных карт, электронные кошельки, сведения из личных учетных записей в автоматизированных системах);

• позволяет выделить субъекта ПДн из определенного множества подобных (личный номер по списку, результаты не обезличенных исследований, биометрия).

Оператором, обрабатывающим ПДн в объеме заданных целей с помощью автоматизированной информационной системы (АИС), может быть государственный или муниципальный орган, а также любое юридическое или физическое лицо.

Оператор ПДн обязан обеспечить:

1. Законность обработки ПДн:

• наличие правовых оснований;

• соблюдение конституционных прав субъектов;

• соответствие целям обработки (по составу и срокам хранения);

• выполнение законных требований субъекта ПДн (ознакомление, прекращение обработки в случае отзыва согласия);

• правомерное раскрытие третьим лицам;

2. Безопасность ПДн:

• конфиденциальность (исключить неправомерное раскрытие и передачу третьим лицам);

• целостность (исключить несанкционированное изменение или удаление);

• доступность (обеспечить возможность ознакомления и использования в соответствии с установленными правами доступа);

3. Информирование субъекта об изменениях условий обработки и защиты ПДн;

4. Исполнение требований уполномоченных органов (регуляторов) в сфере обработки персональных данных:

• Роскомнадзор, который осуществляет контроль и надзор за выполнением требований законодательства РФ в части, касающейся обработки ПДн, организует защиту прав субъектов ПДн и привлечение к административной ответственности лиц, виновных в нарушении Закона «О персональных данных»;

• ФСБ России, которая осуществляет контроль и надзор за выполнением требований криптографической защиты ПДн при их обработке в АИС, а также устанавливает требования к технологиям хранения биометрических данных на внешних носителях вне АИС;

• ФСТЭК России, которая осуществляет контроль и надзор за выполнением требований технической защиты ПДн при их обработке в АИС, а также устанавливает требования к технологиям защиты информации от несанкционированного доступа и утечки по техническим каналам.

До начала обработки ПДн оператор обязан уведомить Роскомнадзор о намерении осуществлять их обработку, целях и структуре набора данных, а также о принятых мерах защиты. После проверки предоставленной информации сведения об операторе включаются в «Реестр операторов, осуществляющих обработку персональных данных», размещенный на сайте Ро-скомнадзора в сети Интернет по адресу: https://pd.rkn. gov.ru/operators-registry/operators-list/. По состоянию на 8 октября 2023 г. в реестре азмещены сведения о 922 227 операторах ПДн.

NATURAL SCIENCES

COMPUTER SCIENCE AND INFORMATICS

С учетом изложенного на оператора ПДн возлагаются следующие обязанности:

• разработка политики безопасности с учетом государственных требований и модели угроз безопасности ПДн;

• применение организационно-технических мер защиты ПДн в соответствии с политикой безопасности и установленными уровнями защищенности;

• применение сертифицированных средств защиты информации и оценка их эффективности;

• учет и контроль отторгаемых машинных носителей ПДн;

• своевременное обнаружение инцидентов безопасности ПДн, реагирование на них и организация расследования;

• оперативное восстановление ПДн после несанкционированной модификации или удаления вследствие кибератак, а также непреднамеренного воздействия;

• установление правил разграничения доступа к ПДн, идентификация и аутентификация субъектов доступа;

• регистрация и журналирование всех действий с ПДн;

• контроль полноты и работоспособности системы защиты ПДн;

• взаимодействие с регуляторами по вопросам обработки и защиты ПДн.

Классы угроз безопасности, уровни защищенности и государственные требования к защите ПДн при их обработке с помощью АИС утверждены Постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Административная ответственность за правонарушения при обработке ПДн предусмотрена ст. 13.11 КОАП РФ. Максимальный штраф по этой статье достигает 18 млн руб. для операторов не выполняющих установленные обязанности «по обеспечению записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению) или извлечению персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Какие цели преследуют злоумышленники, организуя утечку данных?

Утечка ПДн - это неконтролируемое распространение ПДн вследствие разглашения, несанкционированного доступа или перехвата с помощью средств технической разведки. Маршрут передачи ПДн от источника через внешнюю среду до технического средства злоумышленника называется канал утечки информации.

В наиболее безопасном варианте для субъекта ПДн следствием утечки будет раздражающий спам в

виде навязчивой рекламы или глупых розыгрышей. Все уже к этому привыкли и не обращают повышенного внимания на звонки, почтовые рассылки или сообщения в мессенджерах и соцсетях с «интересными» предложениями.

Гораздо опаснее для субъектов из украденных баз ПДн такие инциденты, как:

• нарушение неприкосновенности частной жизни (раскрытие личной или семейной тайны);

• разглашение репутационной информации (финансовое состояние, здоровье, покупки, порочащие связи, места развлечений и др.);

• шантаж и дискредитация (клевета на профильных форумах, взлом блогов, фото- видеомонтаж, дипфейки);

• несанкционированный доступ к электронным кошелькам и интернет-банкингу, онлайн оформление услуг, кредитов, микрозаймов, покупка товаров;

• целевые атаки с применением методов социальной инженерии для получения доступа к учетным записям в автоматизированных системах, перехвата управления и подмены личности (личные кабинеты в электронных экосистемах, на торговых площадках, интернет-порталах государственных, муниципальных и коммерческих услуг);

• проведение незаконных сделок с недвижимостью;

• подмена личности в коммуникациях (рассылка поддельных e-mail и сообщений абонентам из списка контактов, негативная активность в социальных сетях, манипуляции на сайтах знакомств);

• использование персональных учетных данных для авторизации и перехвата управления компьютером или коммуникатором;

• получение несанкционированного доступа к устройствам IoT, в том числе к умному дому или умному автомобилю и т. д.

Что характерно для современного хакерского сообщества - это распределение ролей. Одни занимаются кражей ПДн на заказ или для продажи. Другие приобретают ПДн и реализуют преступные схемы уже с конкретными персонами из украденных баз, как правило, в режиме удаленного доступа по сети Интернет. Третьи, так называемые «дропы», входят в непосредственный контакт с жертвой и рискуют быть пойманными на месте преступления. Есть даже категория «белых воротничков», которые сами ничего не крадут, а продают на черном рынке эксплойты и наборы инструментов для взлома автоматизированных систем и совершения хищений ПДн.

Как злоумышленники получают доступ к чужим персональным данным?

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

JäggL

им

Массивы ПДн ежедневно пополняют миллиарды людей и, как правило, их утечки происходят латентно, и пока данные или объявления об их продаже не появятся в общем доступе, владельцы и операторы баз пребывают в неведении. Это дает время злоумышленникам сформировать досье с расширенным составом ПДн, взятых из разных баз, в том числе с помощью интеллектуального поиска по открытым источникам - OSINT (open-source intelligence). После появления обобщенных баз на черном рынке трудно сразу определить, откуда была основная утечка, особенно учитывая отказ крупных агрегаторов признавать свою вину.

Основным методом массовой добычи ПДн является несанкционированный доступ после взлома защиты автоматизированных систем крупных компаний, финансовых организаций и государственных органов, собирающих эти данные на законном основании.

Компьютеры небезопасны, но люди опаснее. Не менее популярны инсайдерские утечки из крупных социальных сетей, мессенджеров, клиентских приложений и поисковых браузеров. Все действия пользователей в сети Интернет оставляют историю, а многие коммерческие программы отслеживают эту историю и запоминают. В истории сохраняется информация о самих людях, их перемещениях, покупках в Интернете, а также об их отношениях с другими людьми и компаниями. Некоторые из этих данных запоминаются по договоренности с разработчиком приложений, например, список контактов, геолокация или маршрут в GoogleMaps, другие пользователь оставляет во время серфинга по Интернету или формируя новостную подборку в социальных сетях, лайкая понравившиеся изображения или делая репост мемов. Третьи вычисляются путем интеллектуального анализа коммуникаций и содержания сообщений. Формально эти функции можно отключить, но на практике выясняется, что иногда это не работает. Обычно официальные представители компаний объясняют подобную деятельность желанием зарабатывать на таргетированной рекламе. Стоимость одной записи зависит от детализации, актуальности, состава сведений и на черном рынке колеблется в широком диапазоне, не говоря об удовлетворении запросов национальных спецслужб.

Сами субъекты представляют угрозу безопасности своих ПДн, оставляя их на ненадежных информационных ресурсах и давая согласие на их обработку, так как в ряде случаев регистрация с указанием ПДн является необходимым условием получения услуги. Некоторые данные, непосредственно связанные или которые можно привязать к конкретной личности размещаются на официальных сайтах государственных органов даже без согласия субъекта.

В этой связи как на дрожжах размножаются

OSINT-технологии - интернет-деаноны или теле-грамм-боты с услугами поиска персональных данных по ФИО или наоборот - поиска ФИО и других ПДн по номерам телефона, автомобиля и другие (@Glas_boga, @LeakedInfoBot, @HimeraSearch, @Quick OSINT bot, @UsersSearchBot).

В 2021 г. по требованию Роскомнадзора из Telegram были удалены наиболее популярные боты для «про-бива» ПДн: «Глаз Бога», «Архангел», «Mail Search Bot», «Smart Search Bot» и «How To Find Bot», но данный бизнес продолжает процветать, даже несмотря на то, что такие действия могут попасть под ст. 137 «Нарушение неприкосновенности частной жизни» УК РФ.

Довольно часто субъекты ПДн становятся жертвами фишинговых атак как массовых, так и целевых, в результате которых мошенникам добровольно предоставляют платежные реквизиты банковских карт, пароли доступа к операциям на торговых площадках, вход в личные кабинеты автоматизированных систем и т. д.

Заманчивой целью для мошенников может стать легитимный доступ к страницам в социальной сети или ссылкам в облачных хранилищах, где размещаются цифровые копии документов, личные фотографии и домашние видео.

Не стоит исключать материально-вещественный канал утечки ПДн, а именно физический доступ посторонних к персональным компьютерам, мобильным коммуникаторам и отторгаемым носителям информации. Имея определенный материальный интерес, злоумышленники могут украсть непосредственно компьютерное устройство со всем содержимым.

Относительно недавно на черном рынке появились инсайдерские услуги «пробива» конкретного человека (или компании) по служебным базам данных в режиме реального времени. Таким способом некоторые служащие подрабатывают непосредственно на рабочем месте, контактируя с заказчиком чужого досье через посредников.

Рис. 3. Динамика медианной цены «пробива» через базы операторов мобильной связи, банков и государственных органов (тыс. р.)

NATURAL SCIENCES

COMPUTER SCIENCE AND INFORMATICS

Рис. 4. Средняя медианная цена «пробива» по некоторым компаниям

В феврале 2022 г. предприниматель Даниил Чо-удхури разместил в одном из мессенджеров заказ на сбор информации о российской журналистке Дарье Дугиной. На запрос откликнулся майор полиции Иван Рыбин и за 3350 руб. продал заказчику персональные данные из базы ФИС ГИБДД. Далее, по версии следствия, Чоудхури передал сведения неустановленным лицам, и 20 августа 2022 г. машина журналистки была взорвана, а сама она погибла. Оба фигуранта утверждали, что с Д. Дугиной лично не знакомы, контактов с украинскими спецслужбами не имели и о планируемом теракте не знали. В отношении Чоудхури и Рыбина возбуждено уголовное дело по ч. 1 и 2 ст. 137 («Незаконное собирание или распространение сведений о частной жизни лица»). Кроме того, бывшего полицейского обвиняют по ч. 1 ст. 285 («Злоупотребление должностными полномочиями») УК РФ.

В апреле 2023 г. скандальным инцидентом стало разоблачение деятельности ряда сотрудников УВД по ЦАО г. Москвы, «сливавших» за денежное вознаграждение личные данные государственных служащих, включая силовиков и участников СВО. По сообщению ТАСС проверка ФСБ и ГУСБ МВД России выявила многочисленные факты несанкционированного обслуживания запросов и предоставления конфиденциальных ПДн данных гражданам Украины. В ходе оперативных мероприятий в Даркнете спецслужбы обнаружили объявления с услугами «пробива» любых персон по автоматизированным учетам МВД России, отправили заказ на сотрудников московской прокуратуры и вскоре получили запрошенную информацию, следы которой указывали на сотрудников УВД по ЦАО, причем некоторые учетные записи использовались без ведома их владельцев. Чистка подсистемы информационной безопасности и обновление ключей доступа к служебным банкам данных приостановили полноценное функционирование ИСОД МВД России на несколько недель.

В заключении следует сказать, что в России ситуация с утечками данных достаточно стабильная и не превышает среднемировые показатели, что можно объяснить более быстрой адаптацией нашей ИТ-индустрии к ландшафту киберугроз в национальном информационном пространстве. В значительной степени этому способствуют меры защиты информационного суверенитета и кибербезопасности, принятые в связи с развязыванием Западом открытой кибервой-ны, особенно после начала СВО.

Инициативы Президента и Правительства Российской Федерации по ужесточению государственных требований к информационной безопасности и им-портозамещению средств защиты информации приводят к очевидным положительным результатам. Снижается давление вражеских хакерских группировок и хактивистов, минимизируется доля потенциально уязвимого иностранного ПО в государственном секторе и на объектах критической информационной инфраструктуры, повышается защищенность промышленного интернета вещей, безопасность интернет-сервисов предоставления государственных и коммерческих услуг. К борьбе с киберугрозами подключаются российские интеллектуальные решения автоматизации обеспечения безопасности класса DLP (Data Leak Prevention), DCAP (Data-Centric Audit and Protection), SIEM (Security Information and Event Management) и др.

С точки зрения правовой защиты ПДн, можно рассмотреть положительный опыт китайских соседей. В законе КНР, принятом в 2021 г., установлено, что согласие на обработку ПДн оператор должен получать у государства, которое будет гарантировать их законную обработку. Данная новелла обусловлена тем, что гражданину в одиночку трудно защищать свои интересы в коммерческих структурах, которые нацелены на извлечение максимальной прибыли. А сильное правовое государство может более эффективно регу-

ЕСТЕСТВЕННЫЕ НАУКИ

КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА

лировать спорные моменты обработки ПДн, действуя в интересах своих граждан.

Библиографический список

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 6 февраля 2023 г.) «О персональных данных» // СПС «КонсультантПлюс».

2. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ (ред. от 4 августа 2023 г.) // СПС «КонсультантПлюс».

3. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // СПС «КонсультантПлюс».

4. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки // URL://https://25.rkn.gov. ru/docs/25/Raz6jasnenija_RKN_po_biometrii_ okonchatel6naj a_versij a.doc.

5. Утечки информации ограниченного доступа в мире и России, первое полугодие 2023 г. // Аналитический отчет экспертно-аналитиче-ского центра InfoWatch. 2023 г. // URL://https:// www.infowatch.ru/sites/default/files/analytics/ files/utechki-informatsii-ogranichennogo-dostupa-v-mire-i-rossii-za-pervoe-polugodie-2023-goda.pdf.

6. Россия: утечки информации ограниченного доступа в 2022 г. // Аналитический отчет экспертно-аналитического центра InfoWatch. 2023 г. // URL://https://www.infowatch.ru/sites/ default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-rossii-za-2022-god. pdf.

7. Количество утечек данных в крупных компаниях выросло в 1,5 раза // URL:// https: //www. ved omosti.ru/tech no logy/ articles/2023/05/12/974660-kolichestvo-utechek-dannih-v-krupnih-kompaniyah-viroslo.

8. Дайджест телеграм-канала «Утечки информации» за июль и август 2023 года // URL://https:// dlbi.ru/leak-digest-july2023/

9. Тайное познание: число утечек информации в мире выросло в 2,4 раза // URL://https:// iz.ru/1563836/ivan-chernousov/tainoe-poznanie-chislo-utechek-informatcii-v-mire-vyroslo-v-24-raza

10. Официальный телеграм-канал Федеральной службы по надзору в сфере связи, информаци-

онных технологий и массовых коммуникаций // URL://https://t.me/rknJg/428

11. Бывший майор МВД России предстал перед судом за слив данных о Дугиной // URL:// https://m.lenta.ru/news/2023/10/17/ribinn/?utm_ source=smi2agr& utm_medium=exchange&utm_ campaign=12827&utm_term=86458&es=smi2

Bibliographic list

1. Federal Law of July 27, 2006, No. 152-FZ (ed. of February 6, 2023) «On Personal Data» // LRS «ConsultantPlus».

2. Code of the Russian Federation on Administrative Offenses of December 30, 2001 No. 195-FZ (ed. of August 4, 2023) // LRS «ConsultantPlus».

3. Resolution of the Government of the Russian Federation of November 1, 2012, No. 1119 «On Approval of Requirements for the Protection of Personal Data in the Processing of Personal Data in Information Systems of Personal Data» // LRS «ConsultantPlus».

4. Federal Service for Supervision in the Sphere of Communications, Information Technologies and Mass Media clarifies the issues of attributing photo and video images, fingerprint data and other information to biometric personal data and peculiarities of their processing // URL:// https://25.rkn.gov.ru/docs/25/Raz6jasnenija_ RKN_po_biometrii_okonchatel6naj a_versij a.doc.

5. Leaks of restricted information in the world and Russia, first half of 2023 // Analytical report of InfoWatch Expert Analytical Center. 2023 // URL://https://www.infowatch.ru/sites/ default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-mire-i-rossii-za-pervoe-polugodie-2023 -goda.pdf.

6. Russia: leaks of restricted information in 2022 // Analytical report of InfoWatch Expert Analytical Center. 2023 // URL://https://www.infowatch. ru/sites/default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-rossii-za-2022-god.pdf.

7. The number of data leaks in large companies has increased 1.5 times // URL:// https://www.vedomosti.ru/technology/ articles/2023/05/12/974660-kolichestvo-utechek-dannih-v-krupnih-kompaniyah-viroslo.

8. Digest of the Telegram channel «Information Leaks» for July and August 2023 // URL://https:// dlbi.ru/leak-digest-july2023/

9. Secret knowledge: the number of information leaks in the world has increased 2.4 times // URL://https://iz.ru/1563836/ivan-chernousov/ tainoe-poznanie-chislo-utechek-informatcii-v-mire-vyroslo-v-24-raza

NATURAL SCIENCES

COMPUTER SCIENCE AND INFORMATICS

10. Official Telegram channel of the Federal Service for Supervision of Communications, Information Technologies and Mass Communications // URL:// https://t.me/rkn_tg/428

11. A former major of the Russian Interior

Ministry is on trial for leaking data on Dugina // URL://https://m.lenta.ru/ news/2023/10/17/ribinn/?utm_source=smi2agr& utm_medium = exchange&utm_ campaign=12827&utm_term=86458&es=smi2

Информация об авторах

А. А. Страхов - доцент кафедры информатики и математики Московского университета МВД России имени В.Я. Кикотя;

Н. М. Дубинина - начальник кафедры информатики и математики Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук, доцент.

Information about the authors

A. A. Strakhov - Associate Professor of the Department of Computer Science and Mathematics Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot';

N. M. Dubinina - Head of the Department of Computer Science and Mathematics of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Candidate of Legal Sciences, Associate Professor,

Вклад авторов: все авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.

Contribution of the authors: the authors contributed equally to this article. The authors declare no conflicts of interests.

Статья поступила в редакцию 15.01.2024; одобрена после рецензирования 26.01.2024; принята к публикации 06.02.2024.

The article was submitted 15.01.2024; approved after reviewing 26.01.2024; accepted for publication 06.02.2024.