Принципы безопасности информационных систем одинаковы: это защита конфиденциальности, целостности и доступности информации.

Конфиденциальность означает, что доступ к информации должны иметь только те, кто имеет на это право. К конфиденциальным данным относятся, например, персональные данные пользователей вашего приложения или коммерческие секреты вашей компании.

Целостность подразумевает защиту данных от несанкционированного изменения или удаления, а если такое всё-таки произошло — у вас должна быть возможность всё восстановить.

Доступность означает, что тот, кто владеет информацией, или тот, для кого она предназначена, имеет к ней надёжный бесперебойный доступ. То есть, например, вы должны знать, как защититься от распределённой сетевой атаки (DDoS, Distributed Denial of Service), направленной на то, чтобы вывести из строя ваш веб-ресурс.

И еще один момент. Обеспечение безопасности — это не разовое мероприятие, а постоянный процесс, основанный на следующих принципах:

  • планирование технических и организационных мер с учетом имеющихся рисков и угроз;
  • выполнение этих мер;
  • мониторинг и анализ функционирования вашей системы;
  • совершенствование применяемых инструментов защиты.

С точки зрения безопасности использование облака имеет свои особенности. Важные для вас данные находятся не на сервере, который надежно заперт в соседней комнате, а где-то в интернете. Многим кажется, что поэтому данные защищены хуже, и хранить их в облаке небезопасно. С другой стороны, к защите ваших данных подключается облачный провайдер, который, как правило, имеет для этого существенно больше ресурсов и квалифицированных специалистов.

В то, чтобы работа в облаке была безопасной, вносят вклад и облачный провайдер, и пользователь. Это называется разделяемой ответственностью (shared responsibility).

Есть аспекты безопасности, за которые отвечает провайдер, и вам не нужно о них заботиться. Например о том, кто имеет физический доступ к серверам или как утилизировать вышедший из строя жёсткий диск, чтобы данные не попали в чужие руки. Но какими бы возможностями для защиты данных ни обладал провайдер, он не может взять на себя полную ответственность за безопасность вашего облака.

Используя облачные инфраструктуру и сервисы, пользователь конфигурирует их под решение своих задач. Провайдер не видит, правильно ли вы настроили, например, права доступа к своим ресурсам или группы безопасности в виртуальной сети. Ответственность за это несёте вы сами.

Правовые аспекты и основные стандарты

Информационная безопасность — это настолько серьёзно, что многие её вопросы регулируются законами и регламентируются международными и национальными стандартами. Поэтому, рассказывая о безопасности, нельзя не затронуть и правовую сторону.

Когда вы создаёте информационную систему или приложение, сразу определите, какие требования к безопасности необходимо учитывать при обработке и хранении информации. Чаще всего эти требования связаны с персональными данными пользователей и с данными платежных систем. В этих случаях уровень безопасности, который вам предстоит обеспечить, определяют законодательство и стандарты.

Законодательство о защите персональных данных

Чтобы получать и обрабатывать персональные данные, необходимо соблюдать требования Федерального закона №152-ФЗ. Этот закон даёт определение персональных данных, описывает права субъектов персональных данных, то есть тех людей, чьи данные вы собираете и обрабатываете, и ваши обязанности как оператора.

Исходя из положений законодательства, персональные данные могут быть четырёх категорий:

  • специальные: например национальность, политические взгляды, состояние здоровья;
  • биометрические: фото, отпечатки пальцев;
  • общедоступные: например ФИО, дата рождения, номер телефона;
  • иные: например, какие покупки делал конкретный человек в вашем интернет-магазине.

Категория персональных данных влияет на уровень их защиты, который должен обеспечить оператор.

Фактически подавляющее большинство компаний в России являются операторами персональных данных — у каждой есть сотрудники, клиенты, поставщики и т. д. По закону на оператора возлагается ряд обязанностей. В частности, он должен:

  • заранее четко сформулировать цели обработки персональных данных и действовать в соответствии с этими целями;
  • обрабатывать персональные данные только после получения согласия на это от субъектов (например, от сотрудников компании или пользователей приложения);
  • обеспечить защиту персональных данных от незаконного доступа;
  • хранить персональные данные российских граждан на серверах, расположенных на территории России.

Оператор персональных данных обязан зарегистрироваться в Роскомнадзоре. Этот орган может проводить проверки соблюдения законодательства о защите персональных данных и, если выявит нарушения, налагать штрафы в соответствии со статьей 13.11 КоАП.

Закон формулирует лишь общие принципы защиты персональных данных. То, что нужно сделать на практике, определяется подзаконными актами: постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Суть постановления заключается в том, что защита персональных данных должна осуществляться дифференцированно. Для этого вводятся понятия типа угрозы и уровня защищённости.

Тип угроз определяется самим оператором с учетом факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. Выделяют три типа угроз:

  • первый — угрозы, связанные с уязвимостями в системном ПО;
  • второй — угрозы, связанные с уязвимостями в прикладном ПО;
  • третий — угрозы, не связанные с ПО.

Чтобы определить тип угрозы, нужно подумать, кто может быть заинтересован в незаконном доступе к персональным данным, с которыми вы работаете, зачем ему это нужно и какими возможностями он для этого располагает.

Требуемый уровень защищенности персональных данных зависит от типа угрозы, категории персональных данных, числа субъектов, данные о которых хранятся в вашей системе (больше или меньше 100 000), и от того, являются ли эти субъекты сотрудниками вашей компании. Существует четыре уровня защищенности. Определить подходящий уровень поможет таблица.

То, какие именно меры — технические и организационные — нужно принять, чтобы обеспечить каждый из этих уровней защищенности, определяет приказ ФСТЭК России от 18.02.2013 № 21, в котором 109 таких мер. Они могут быть простыми — например располагать мониторы таким образом, чтобы случайный посетитель не мог просматривать на них информацию. А могут быть довольно сложными и затратными — например обеспечить сбор и анализ информации о событиях безопасности и реагирование на неё. Для четвертого, минимального уровня защищённости требуется выполнить 27 мер, а для первого, самого высокого — 69.

Персональные данные защищают не только в России. Так, если вы собираетесь работать с пользователями из стран Европейского союза, то вам придётся учитывать требования регламента GDPR (General Data Protection Regulation). Это закон о защите персональных данных, действующий во всех странах ЕС.

Цели у 152-ФЗ и GDPR одинаковы, а требования несколько отличаются. Например, GDPR в случае обнаружения утечки персональных данных предписывает в течение 72 часов уведомить об этом регулятора, а ещё в ЕС cookies и IP-адреса считаются персональными данными. В российском законодательстве этого нет.

‼️

Незнание закона не только не освобождает от ответственности, но и негативно сказывается на бизнесе. Если вы работаете с персональными данными, изучите и выполняйте требования законодательства.


📂 YandexCloud | Последнее изменение: 15.08.2024 13:30