Журнал "Information Security/ Информационная безопасность" #6, 2024

Не только бумажные проверки В настоящее время задача по прове- дению плановых проверок организаций операторов/обработчиков ПДн возложе- на на Роскомнадзор. До 2022 г., когда был наложен мораторий на проведение проверок, представители РКН – юристы с уникальным опытом и теоретики биз- нес-процессов по нетиповым направле- ниям деятельности – проводили ком- плексные проверки процессов обработки ПДн без привязки к практическим аспек- там защиты ИСПДн и к фактическим условиям обработки и хранения ПДн, в частности, без эмуляции актуальных кибератак. Это обстоятельство откры- вало для проверяемой организации широкое поле для маневров при прове- дении проверки, а также при устранении недочетов из предписаний по результа- там проверки. Суть предложения: чтобы параллельно с документарной проверкой (выездной или камеральной) создать для РКН воз- можность реализации практической про- верки процессов обработки и защиты ПДн путем проведения мероприятий, приближенных к тестам на проникнове- ние (более известным как пентесты), с отчетом об актуальном уровне защи- щенности ИСПДн и перечнем выявлен- ных уязвимостей. Совершенно понятно, что при действующей в РКН штатной структуре такое предложение собствен- ными силами реализовать будет сложно. Однако, присутствие в штате подразде- ления практической (не юридической) направленности с полностью понятным практическим функционалом и задачами является назревшей необходимостью. В свое время, до 2022 г., к подобной мысли последовательно пришли пред- ставители "большой четверки" работав- ших в России аудиторских компаний, а также представители ФинЦЕРТ Банка России. Изменение методики проведе- ния проверки операторов/обработчиков ПДн с включением в нее практического пентеста позволит сделать проверки по линии РКН более "живыми" и мотивиро- вать проверяемые организации тща- тельнее к ним готовиться. Нужна новая парадигма Подготовка и выпуск нормативных документов, оценка уровня защищен- ности ИСПДн, методология и проведе- ние проверок, оценка ущерба при совместном проведении расследований инцидентов, разработка моделей угроз и нарушителей для ИСПДн – все эти и иные смежные активности прово- дятся РКН, исходя из парадигмы, что наборы персональных данных счи- таются скрытыми (не публичными), не утекшими, и требуется обеспечить их дальнейшую защиту. С учетом стати- стики 2022–2024 гг. стоит пересмотреть этот подход и реализовывать обнов- ленную стратегию защиты, постулирую- щую, что наборы персональных данных уже были скомпрометированы, стали публичными, а их абсолютная конфи- денциальность почти наверняка нару- шена. Аналогичный подход уже много лет практикуется крупнейшими миро- выми корпорациями для своих публич- ных медиа- и Интернет-проектов (Gmail, Apple, Samsung и др.). Владельцы почты Gmail меня поймут. Попробуйте зайти в свой аккаунт с чужо- го компьютера в стране с высоким уров- нем риска киберпреступлений. Помимо стандартного знания наименования учет- ной записи (принцип "я – это я"), ввода пароля от учетной записи ("я знаю"), владельцу учетной записи на привязан- ный номер телефона отправляется смс- код, подтверждающий наличие у него доступа к мобильному телефону, на который зарегистрирована учетная запись ("у меня есть"), а также на каждом шаге предлагается пройти проверку в системе антибот ("я не бот"). После успешного входа в Gmail владельцу учетной записи на основной и резервный адреса электронной почты приходят уве- домления с предложением заблокиро- вать сессию, если владелец учетной записи не подтверждает действия по входу на портал (принцип пост-уведом- лений о подозрении на инцидент). Ответственность за формализм Вопрос корректного учета требований при реализации новых и модернизации действующих ИСПДн у большинства крупных операторов/обработчиков ПДн упирается в отсутствие достаточных ресурсов, бюджетов и планов приведе- ния всего в соответствие. Низкие прио- ритеты технических работ по доработ- кам, модернизации процессов и систем с учетом регулярного обновления тре- бований со стороны РКН к тому же раз- биваются о риск-ориентированный под- ход бизнеса, в котором комплаенс-риски по ПДн не идут ни в какое сравнение с операционными или финансовыми рис- ками от основных бизнес-процессов. Поэтому представители бизнес-подраз- делений и бизнес-технологи более склон- ны к модели принятия (покупки) ком- плаенс-рисков некорректной обработки и защиты ПДн в своих процессах, в том числе в части потенциальных предписа- ний и штрафов со стороны РКН. В этой связи целесообразно пере- смотреть подход к привлечению к ответ- ственности за несвоевременную реали- зацию мероприятий по корректировке процессов обработки или защиты ПДн не только руководителей и исполнителей в организации, допустивших нарушение, но и отдельных руководителей направ- лений и членов коллегиальных органов принятия решения, чье фактическое попустительство или бездействие при- вели к инциденту. Подобный подход нацелен на формирование в организа- ции операторе/обработчике ПДн куль- туры своевременного исполнения тре- бований регуляторов в части обработки и защиты наборов ПДн субъектов раз- личной категорий. В заключение Чтобы подытожить размышления, при- веду две цитаты президента РФ Влади- мира Путина на тему важности и необхо- димости защиты персональных данных, совершенствования работы по контролю за операторами/обработчиками ПДн. "Мы предпринимаем энергичные шаги по цифровизации нашей экономики, и вообще жизни в целом, и социальной сферы. В этой связи особенно актуаль- ным является вопрос защиты персо- нальных данных", – сказал 3 Путин. "Нужно определить правильную и эффективную модель работы с боль- шими массивами информации, основан- ную на безусловной защите безопасно- сти персональных данных" – неодно- кратно отмечал в своих выступлениях глава государства 4 . Только непрерывно совершенствуясь, применяя лучшие отечественные и мировые практики, мы сможем обес- печить не только формальное выпол- нение указаний Правительства РФ, но и перейти в масштабах страны от бумажных методов защиты ПДн к реальным высокотехнологичным и эффективным мерам. l • 57 Защита персональных данных www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК 3 http://www.kremlin.ru/events/president/news/63874 4 https://tass.ru/ekonomika/13067579