Облака и обезличивание. «Скоро нас ждут качественные изменения»

Облака и обезличивание. «Скоро нас ждут качественные изменения»

Долгое время в России скрывали случаи, связанные с утечкой информации. Но буквально два года назад подход изменился, и стало очевидно, что со взломами так или иначе сталкиваются все. Рынок информационной безопасности начал расти. Так как в основном утечки касаются персональных данных, в планы стали включать работы по созданию системы по их защите.

КАК ЭТО ДЕЛАЕМ МЫ

Каждой категории ИСПДН (информационная система персональных данных) соответствует свой уровень защищённости, который необходимо обеспечивать по требованиям 152-ФЗ «О персональных данных». «Онланта» много лет предоставляет услуги по защите ПД согласно законодательству: размещение данных обеспечивает защищённый сегмент облака OnCloud.ru.

Облачные решения для хранения персональных данных можно разделить на два типа. В первом случае обеспечивается защищённое хранение ПД в аттестованной инфраструктуре провайдера. Многим кажется, что для соблюдения требований 152-ФЗ этого достаточно. В действительности необходимо не просто поместить персональные данные в облако провайдера, но и обеспечить безопасность этих данных при помощи сертифицированных средств защиты на всех этапах обработки, о чём сказано в приказе № 21 ФСТЭК России.

Своим заказчикам мы рекомендуем внедрять именно такой тип решения, когда провайдер дополнительно предоставляет всю необходимую документацию, модель угроз, инструкции, с которыми заказчик должен работать. Схема внедрения и подключения к аттестованной инфраструктуре не повторяется — в каждом случае учитывается сфера деятельности заказчика, класс персональных данных и требования к его защите. Единого коробочного решения нет.

При передаче информации третьим лицам или при уменьшении требований по защите персональных данных обычно обращаются к их обезличиванию. Выделяют четыре метода обезличивания: введение идентификаторов, декомпозиция, перемешивание сведений, замена семантики/состава. Цель всех методов — скрыть данные от злоумышленника при помощи шифрования. Определённой сфере соответствует свой метод. Если компания привлекает к работе подрядную организацию, например, разработчиков, то для обезличивания скорее будет использоваться метод замены семантики или использование идентификаторов, чем декомпозиция.

ДВЕ ПРОБЛЕМЫ

Компании, которые самостоятельно обеспечивают защиту персональных данных, сталкиваются с одинаковыми проблемами. Во-первых, это недостаточная квалификация сотрудников, которые используют неправильные технологии обезличивания и в итоге не могут вернуть данные в первоначальный вид. А ведь согласно приказу № 996 Роскомнадзора одно из требований — это обратимость процедуры. Во-вторых, необходимо учитывать требования ФСБ по шифрованию данных, а у бизнеса на это нет времени и ресурсов. Компании учитывают эти проблемы и чаще всего обращаются к провайдерам/консалтерам.

РЕГУЛЯТОРНЫЕ ТРЕБОВАНИЯ

Несоблюдение законодательных норм влечёт за собой риски для бизнеса. Положительным примером госрегулирования для нас как большого облачного провайдера выступает 152-ФЗ, регулирующий обращение с персональными данными. Сегодня активно обсуждается версия законопроекта, регулирующего оборот данных, — планируется создание единой базы персональных данных для защиты данных от дезобезличивания. Сама идея создания единой базы хороша, но процесс перехода, вероятно, будет трудоёмким. Например, сейчас при выходе новой операционной системы вендор по ИБ разрабатывает средства защиты информации, для выпуска которой требуется получить сертификат соответствия и аттестационные документы. Согласование долгое — за это время операционная система обновляется, а средство защиты информации устаревает и не устанавливается на новый релиз ОС.

Для более быстрого реагирования на изменения производители средств защиты информации должны более плотно взаимодействовать с вендорами по ИТ-инфраструктуре. Это поможет развитию направления ИБ и, в частности, упрощению процедуры обезличивания данных.

Подводя итог вышесказанному, уверен, что в скором времени нас ждут качественные изменения.

Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.