CC BY
50
Защита персональных данных в России: методы и технологии соблюдения регулирования персональных данных
personal data protection in Russia: methods and technologies for compliance with personal
data regulation
Виноградова В. Л.
студентка,
ФГАОУВО «Российскийуниверситет транспорта» (РУТ(МИИТ),
РФ, г.Москва e-mail: btssuny13@yahoo.com
Vinogradova V.
student,
Russian University of Transport (RUT (MIIT)),
Russia, Moscow e-mail: btssuny13@yahoo.com
Худякова Н. С.
студентка,
ФГАОУ ВО «Российский университет транспорта» (РУТ(МИИТ),
РФ, г.Москва e-mail: nadezdakhuduacova@gmail.com
Khudyakova N.
student,
Russian University of Transport (RUT (MIIT)),
Russia, Moscow e-mail: nadezdakhuduacova@gmail.com
Милованова Л. Р.
к.т.н., доцент,
ФГАОУ ВО «Российский университет транспорта» (РУТ(МИИТ),
РФ, г.Москва e-mail: sarmilovanova@mail.ru
Milovanova L.
candidate of technical sciences, associate professor, Russian University of Transport (RUT (MIIT)),
Russia, Moscow e-mail: sarmilovanova@mail.ru
Аннотация.
В статье приводятся обзорные данные о современном состоянии вопроса по защите личной информации граждан России, а также корпоративных сведений различных организаций. Приводятся сведения об основных методах и технологиях, применяемых в России для сохранения целостности и конфиденциальности персональных данных, таких как локализация и классификация данных, аудит безопасности и сертификация, шифрование, контроль доступа и обучение сотрудников.
Annotation.
The article provides an overview of the current state of the issue of protecting the personal information of Russian citizens, as well as corporate information of various organizations. Information is provided on the main methods and technologies used in Russia to maintain the integrity and confidentiality of personal data, such as data localization and classification, security audit and certification, encryption, access control and employee training.
Ключевые слова: информационная безопасность, персональные данные, шифрование данных, кибератака.
Key words: information security, personal data, data encryption, cyber attack.
Защита персональных данных имеет особое значение во всех странах мира, в том числе и в России, так как конфиденциальность и безопасность информации пользователей являются приоритетом для компаний и государственных организаций, а в нынешней ситуации это стало еще более актуально. Законодательство РФ регулирует обработку и защиту персональных данных, включая Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" [1] и другие нормативные акты [2,3]. В этой статье мы рассмотрим методы и технологии, которые помогают организациям в России соблюдать требования по защите персональных данных.
Персональные данные (ПД) — это любая информация, которая относится к конкретному человеку или субъекту персональных данных. К ним относятся: ФИО, дата рождения, адрес проживания, номер телефона и т.д.
Для сохранения целостности, конфиденциальности и доступности персональных данных в России применяются следующие методы и технологии: локализация данных, классификация данных, аудит безопасности и сертификация, шифрование, контроль доступа и обучение сотрудников. Рассмотрим их подробнее.
1. Локализация данных.
Локализация данных — это процесс сбора, хранения и обработки личных данных российских пользователей на территории РФ. Этот процесс был введен в действие в России с 1 сентября 2015 года после изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных".
Локализация данных касается таких видов данных, как ФИО, адрес, дата рождения, номер телефона, адрес электронной почты, номер паспорта и других документов, а также информации, связанной с финансовыми операциями, медицинскими данными и рядом другой персональной информацией. Это означает, что все организации в том числе и зарубежные, которые работают с личными данными российских пользователей, обязаны хранить информацию на серверах, находящихся в пределах территории Российской Федерации, и обрабатывать эти данные в соответствии с законодательством России. Такой подход был введен для обеспечения надежной защиты персональных данных граждан РФ и предотвращения возможных утечек или несанкционированного доступа к информации. Данный метод также способствует соблюдению правил о защите данных и требованиям по обработке личной информации, установленным российским законодательством.
Наказание за неисполнение требований локализации данных в России может быть различным и зависит от конкретных нарушений, обстоятельств и серьезности нарушения. Главным органом, ответственным за контроль и наказание в этой области, является Роскомнадзор. Возможные виды наказания за неисполнение требований локализации данных: штрафы (при первом нарушении штраф будет составлять от 1 млн до 6 млн руб. для юридических лиц, а при повторном - от 6 млн до 18 млн руб.), блокировка сайта на территории РФ, ограничение обработки персональных данных, включение компании в реестр нарушителей.
Один из первых известных примеров блокировки интернет-сервиса на территории России был связан с социальной сетью для деловых контактов Linkedln. В результате нарушения требований Роскомнадзора о хранении и обработке данных о пользователе на территории РФ, Microsoft, владелец LinkedIn, был включен в реестр нарушителей закона о персональных данных. В результате доступ к сайту LinkedIn на территории РФ был заблокирован.
2. Классификация данных.
Классификация ПД необходима для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает четыре категории обрабатываемых ПД [4]:
✓ общедоступные;
✓ специальные;
✓ биометрические;
✓ иные.
Под общедоступными персональными данными подразумевают сведения о человеке, большая часть которых имеется в паспорте. К ним относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, сведения об образовании. Такие данные опубликованы в открытых источниках с согласия владельца и обычно отмечаются галочкой в отдельной графе.
Специальные ПД хранят в себе закрытую информацию о человеке. Это такие сведения, как расовая и национальная принадлежность, политические взгляды, принадлежность к религии, состояние здоровья, сведения о судимости, административных взысканиях и др. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
Биометрические ПД — это любые биологические, либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Для обработки таких ПД требуется предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Если же данные используются не с целью установления личности, то в таком случае их относят к общедоступным или специальным в зависимости от ситуации.
Иные ПД — это сведения, которые нельзя отнести к трем вышеперечисленным группам, в основном это дополнительная информация о человеке (социальный статус, рабочий стаж и др.).
За нарушение или невыполнение условий обработки персональных данных российским законодательством предусмотрены различные наказания в виде наложения административного штрафа или взыскания, прекращения деятельности или уголовная ответственность.
3. Аудит безопасности и сертификация.
Важными мерами в области защиты персональных данных граждан Российской Федерации являются аудит безопасности и сертификация. Они позволяют оценить и обеспечить эффективность системы защиты данных, а также демонстрируют приверженность организации соблюдению высоких стандартов безопасности. Аудит безопасности помогает выявить уязвимые места в системе обработки и хранения персональных данных. Это очень важно для того, чтобы своевременно принять меры и усовершенствовать систему безопасности, предотвратить потенциальные угрозы и утечку информации. Сертификация в свою же очередь позволяет организации убедиться в соответствии своей системы защиты персональных данных международным или национальным стандартам безопасности, таким как ГОСТ Р ИСО/МЭК 27001-2021.
ГОСТ Р ИСО/МЭК 27001-2021 - (ГОСТ Р ИСО/МЭК 27001:2013) - это российский национальный стандарт, в основе которого лежит международный стандарт ИСО/МЭК 27001:2013 (ISO/IEC 27001:2013) [5]. Оба стандарта имеют идентичное название: "Информационная технология. Системы управления информационной безопасностью. Требования". Этот стандарт устанавливает требования к системе управления информационной безопасностью (СУИБ) в организации. Цель стандарта — помочь организациям защитить свою информацию от различных угроз, таких как несанкционированный доступ, кибератаки, утечки данных и другие нарушения безопасности. Данный стандарт опирается на концепцию системного подхода к управлению информационной безопасностью. Он основан на цикле Деминга (PDCA (Plan-Do-Check-Act)), который включает в себя планирование, реализацию, проверку и улучшение системы управления информационной безопасностью.
Такой подход позволяет организации создавать и поддерживать эффективную СУИБ, а также постоянно совершенствовать ее в соответствии с изменяющимися условиями внутри и вне организации.
4. Шифрование.
Законом о персональных данных № 152-ФЗ в России установлены строгие требования и меры в отношении шифрования персональных данных, с целью обеспечения безопасности информации и защиты прав граждан. Этот закон определяет алгоритмы и принципы работы с зашифрованной информацией, а также устанавливает меры ответственности за нарушения, включая административные, гражданско-правовые и уголовные санкции.
Необходимые требования [6]:
✓ использование криптографических средств, соответствующих уровням защиты при помощи модели угроз;
✓ защита корпоративной информации путем шифрования данных на удаленных серверах, прозрачное или ассиметричное шифрование, в том числе сетевых папок, разграничение права доступа между различными сотрудниками, использование токенов (закрытых ключей внешних информационных носителей);
✓ использование межсетевых экранов, систем предотвращения вторжений, файерволлов и антивирусов, разработка и обновление моделей угроз, использование сканеров уязвимостей, выработка защитных политик, контроль за электронным документооборотом, мониторинг сотрудников;
✓ использование электронной подписи для безопасности документов и скорости их оформления;
✓ защита электронной корпоративной почты (сертификаты открытого и закрытого ключей);
✓ информационная защита использует механизмы шифрования, сертификация которых проверяется ФСБ.
Необходимость постоянного совершенствования технологий защиты позволила выработать ГОСТы шифрования персональных данных (Р 34.11-2012 «Стрибог», блочные Р 34.12-2015 «Магма»/ «Кузнечик», Р 34.13-2015). ГОСТовские алгоритмы устойчивы к взлому, отличаются высокой производительностью.
Шифрование персональных данных является одной из важных мер в области защиты информации о гражданах, и его соблюдение помогает предотвратить утечки и несанкционированный доступ к личным данным. Правильное применение шифрования также помогает организациям соблюдать законодательство о персональных данных и обеспечивать высокий уровень безопасности информации.
5. Контроль доступа.
Контроль доступа — это процесс управления правами доступа к информации, ресурсам, а также системам внутри организации. Он определяет, кто имеет доступ к каким данным и какие действия могут быть выполнены с этой информацией. Основная цель контроля доступа - предоставить доступ только авторизованным пользователям и ограничить доступ к конфиденциальной информации для неавторизованных лиц.
Существует несколько типов контроля доступа: идентификация, аутентификация, авторизация, управление привилегиями, многофакторная аутентификация (МБА). Применение эффективных методов контроля доступа способствует созданию безопасной и надежной среды для обработки, хранения и передачи персональных данных, что является критически важным для защиты конфиденциальности пользователей.
6. Обучение сотрудников.
В контексте кибербезопасности, люди часто являются слабым звеном, и злоумышленники активно пытаются использовать это. Сотрудники, особенно когда находятся вне офиса или используют социальные сети, могут стать легкой мишенью для кибератак. Их поведение и недостаточная осведомленность о правилах безопасности в Интернете могут представлять риск как для их собственной конфиденциальности, так и для
безопасности рабочих мест. Когда сотрудники покидают офис или работают удаленно, уровень защиты может быть снижен. В таких случаях они могут стать более уязвимыми перед угрозами, такими как фишинговые атаки, вредоносные программы и кибершпионаж. Использование неофициальных сетей Wi-Fi или небезопасных устройств также представляет риск для безопасности информации.
Эксперты по кибербезопасности называют социальную инженерию угрозой, как никогда раньше [7]. В России методы социальной инженерии получили куда большее распространение, чем в других странах, связано это в основном с низкой киберграмотностью граждан. Сотрудникам следует предоставлять обучение по обработке и защите личной информации, а также по управлению рисками и предотвращению атак, связанных с социальной инженерией.
Обучение сотрудников по вопросам безопасности является критическим элементом создания безопасной и информированной культуры в организации. Правильно обученные сотрудники могут стать первой линией защиты от киберугроз и помочь предотвратить множество потенциальных инцидентов безопасности. Необходимо обучать сотрудников компании отличать фишинговые письма от обычных, разбирать возможные кейсы атак социальной инженерии, способы противодействия им, проводить мероприятия по моделированию угроз. Обученные сотрудники становятся более ответственными в отношении безопасности данных и помогают обеспечить защиту информации и систем организации от угроз со стороны социальной инженерии.
Заключение.
Защита персональных данных в России играет ключевую роль в обеспечении безопасности граждан и сохранении их конфиденциальности. Развитие цифровых технологий и распространение интернет-сервисов сделали персональные данные особенно уязвимыми к киберугрозам и злоумышленникам. Законодательство о персональных данных в России, включая Федеральный закон № 152-ФЗ "О персональных данных" и другие соответствующие нормативные акты, предоставляет основу для обеспечения прав граждан на защиту и контроль над их личной информацией. В условиях постоянно меняющейся киберугрозовой среды, защита ПД остается постоянным вызовом для организаций. Киберпреступники постоянно совершенствуют свои методы, атаки становятся все более изощренными, и потенциальные угрозы становятся все серьезнее. Это все требует от организаций соблюдения строгих правил и принятия необходимых мер для обработки, хранения и передачи персональных данных. Активное внедрение технических средств и методов защиты, использование современных алгоритмов шифрования и контроль доступа позволяет повысить безопасность данных и минимизировать риски утечек информации. Однако, важно понимать, что технические меры не могут полностью гарантировать защиту данных без участия обученных и осведомленных сотрудников. Обучение сотрудников должно стать неотъемлемой частью корпоративной культуры, и каждый сотрудник должен осознавать свою ответственность за обеспечение безопасности данных.
Список используемой литературы:
1. Федеральный закон "О персональных данных" от 27.07.2006 №152-ФЗ. https://normativ.kontur.ru/document?moduleId=1&documentId=447363
2. Постановление Правительства РФ от 1 ноября 2012 года № 1119. https://base.garant.ru/70252506/
3. Повышение осведомлённости сотрудников: ваш вклад в безопасность. https ://www.anti-malware.ru/practice/methods/Raising-employee-awareness-your-contribution-to-safety
4. Категории персональных данных. https://data--sec-ru.turbopages.org/data-sec.ru/s/personal-data/categories/
5. ГОСТ Р ИСО/МЭК 27001-2021 https://docs.cntd.ru/document/1200181890
6. Защита персональных данных шифрованием. https://integrus.ru/blog/it-decisions/zashhita-personalnyh-dannyh-shifrovaniem.html
7. Социальная инженерия: киберугроза, нависшая над всем. Что такое социальная инженерия и чем она опасна? https://ru.go-travels.com/social-engineering-cyber-threat-looming-large
