Правовые аспекты и основные стандарты
Кратко:
- Информационная безопасность регулируется законами и международными стандартами.
- Необходимо учитывать требования к безопасности при обработке и хранении информации.
- Уровень безопасности определяется законодательством и стандартами, включая ФЗ №152 и GDPR.
- Стандарты серии ISO/IEC 27000 определяют правила создания системы управления информационной безопасностью.
- Для облачных систем важны стандарты ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
- Международный стандарт PCI DSS определяет меры обеспечения безопасности при обработке данных платежных карт.
- Национальный российский стандарт ГОСТ Р 57580.1-2017 требует соответствия для банковских и финансовых организаций.
- Применение стандартов и рекомендаций для обеспечения информационной безопасности полезно.
Правовые аспекты и основные стандарты
Информационная безопасность — это настолько серьёзно, что многие её вопросы регулируются законами и регламентируются международными и национальными стандартами. Поэтому, рассказывая о безопасности, нельзя не затронуть и правовую сторону.
Когда вы создаёте информационную систему или приложение, сразу определите, какие требования к безопасности необходимо учитывать при обработке и хранении информации. Чаще всего эти требования связаны с персональными данными пользователей и с данными платежных систем. В этих случаях уровень безопасности, который вам предстоит обеспечить, определяют законодательство и стандарты.
Законодательство о защите персональных данных
Чтобы получать и обрабатывать персональные данные, необходимо соблюдать требования Федерального закона №152-ФЗ. Этот закон даёт определение персональных данных, описывает права субъектов персональных данных, то есть тех людей, чьи данные вы собираете и обрабатываете, и ваши обязанности как оператора.
Исходя из положений законодательства, персональные данные могут быть четырёх категорий:
- специальные: например национальность, политические взгляды, состояние здоровья;
- биометрические: фото, отпечатки пальцев;
- общедоступные: например ФИО, дата рождения, номер телефона;
- иные: например, какие покупки делал конкретный человек в вашем интернет-магазине.
Категория персональных данных влияет на уровень их защиты, который должен обеспечить оператор.
Фактически подавляющее большинство компаний в России являются операторами персональных данных — у каждой есть сотрудники, клиенты, поставщики и т. д. По закону на оператора возлагается ряд обязанностей. В частности, он должен:
- заранее четко сформулировать цели обработки персональных данных и действовать в соответствии с этими целями;
- обрабатывать персональные данные только после получения согласия на это от субъектов (например, от сотрудников компании или пользователей приложения);
- обеспечить защиту персональных данных от незаконного доступа;
- хранить персональные данные российских граждан на серверах, расположенных на территории России.
Оператор персональных данных обязан зарегистрироваться в Роскомнадзоре. Этот орган может проводить проверки соблюдения законодательства о защите персональных данных и, если выявит нарушения, налагать штрафы в соответствии со статьей 13.11 КоАП.
Закон формулирует лишь общие принципы защиты персональных данных. То, что нужно сделать на практике, определяется подзаконными актами: постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Суть постановления заключается в том, что защита персональных данных должна осуществляться дифференцированно. Для этого вводятся понятия типа угрозы и уровня защищённости.
Тип угроз определяется самим оператором с учетом факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. Выделяют три типа угроз:
- первый — угрозы, связанные с уязвимостями в системном ПО;
- второй — угрозы, связанные с уязвимостями в прикладном ПО;
- третий — угрозы, не связанные с ПО.
Чтобы определить тип угрозы, нужно подумать, кто может быть заинтересован в незаконном доступе к персональным данным, с которыми вы работаете, зачем ему это нужно и какими возможностями он для этого располагает.
Требуемый уровень защищенности персональных данных зависит от типа угрозы, категории персональных данных, числа субъектов, данные о которых хранятся в вашей системе (больше или меньше 100 000), и от того, являются ли эти субъекты сотрудниками вашей компании. Существует четыре уровня защищенности. Определить подходящий уровень поможет таблица.
То, какие именно меры — технические и организационные — нужно принять, чтобы обеспечить каждый из этих уровней защищенности, определяет приказ ФСТЭК России от 18.02.2013 № 21, в котором 109 таких мер. Они могут быть простыми — например располагать мониторы таким образом, чтобы случайный посетитель не мог просматривать на них информацию. А могут быть довольно сложными и затратными — например обеспечить сбор и анализ информации о событиях безопасности и реагирование на неё. Для четвертого, минимального уровня защищённости требуется выполнить 27 мер, а для первого, самого высокого — 69.
Персональные данные защищают не только в России. Так, если вы собираетесь работать с пользователями из стран Европейского союза, то вам придётся учитывать требования регламента GDPR (General Data Protection Regulation). Это закон о защите персональных данных, действующий во всех странах ЕС.
Цели у 152-ФЗ и GDPR одинаковы, а требования несколько отличаются. Например, GDPR в случае обнаружения утечки персональных данных предписывает в течение 72 часов уведомить об этом регулятора, а ещё в ЕС cookies и IP-адреса считаются персональными данными. В российском законодательстве этого нет.
Незнание закона не только не освобождает от ответственности, но и негативно сказывается на бизнесе. Если вы работаете с персональными данными, изучите и выполняйте требования законодательства.
Стандарты
При определении мер, которые будут обеспечивать информационную безопасность, не всегда понятно, какого набора мер достаточно, чтобы снизить риски до разумных пределов. Это не праздный вопрос — реализация большинства мер защиты требует времени и денег. Для ответа на него существуют стандарты.
Важно понимать, что, в отличие от требований законодательства, нарушение которых грозит санкциями и штрафами, стандарты безопасности — это просто правила и практики, которые подавляющее большинство экспертов считает эффективными. От этого, правда, применение стандартов не становится менее полезным.
Наличие сертификата соответствия стандартам будет гарантировать вашим партнёрам и пользователям то, что информация, которую они вам доверяют, надёжно защищена. Ведь для того, чтобы получить такой сертификат, нужно успешно пройти аудит безопасности, который могут проводить только аккредитованные организации. А если потенциальный контрагент считает наличие у вас сертификата необходимым условием для совместной работы, то обойтись без этого документа не получится.
Стандарты серии ISO/IEC 27000
Основными в сфере информационной безопасности признаны стандарты серии ISO/IEC 27000, которые разработали Международная организация по стандартизации и Международная электротехническая комиссия. Документы этой серии определяют, как правильно создать систему управления информационной безопасностью (СУИБ). Серия включает почти два десятка общих стандартов и руководств и более двадцати специальных руководств по отдельным аспектам обеспечения информационной безопасности.
Для облачных систем наиболее важны три документа: ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
Стандарт ISO/IEC 27001 содержит требования к СУИБ. Он определяет, как её правильно внедрять, поддерживать и совершенствовать.
Стандарт ISO/IEC 27017 включает практические рекомендации по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования, которые изложены в стандарте ISO/IEC 27001.
Стандарт ISO/IEC 27018 содержит практические рекомендации по защите персональных данных при их обработке провайдерами облачных сервисов.
PCI DSS
Международный стандарт PCI DSS (Payment Card Industry Data Security Standard) содержит основные требования для защиты данных держателей платёжных карт. То есть он определяет, какие меры обеспечения безопасности вам необходимо выполнять, если вы обрабатываете такие данные.
Если ваше облачное приложение использует системы оплаты и работает с данными платёжных карт, то нужно размещать его в инфраструктуре, которая имеет соответствующий сертификат PCI DSS. Помимо этого, необходимо учитывать требования этого стандарта при проектировании логики работы приложения.
Для обработки данных платежных систем (Visa, Mastercard, Мир и некоторых других) соответствовать этому стандарту обязательно. Соответствие облака требованиям PCI DSS позволяет его клиентам использовать облачную инфраструктуру и сервисы для обработки данных платёжных карт.
ГОСТ Р 57580.1‑2017
Для обеспечения безопасности банковских и финансовых операций существует и национальный российский стандарт — ГОСТ Р 57580. Его требованиям должны соответствовать все кредитные и некредитные финансовые организации.
Соответствие сервисов облачной платформы требованиям этого стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнять требования Центрального банка и обеспечивать соответствие стандарту своих облачных систем.
Подытожим: применять стандарты и рекомендации для обеспечения информационной безопасности компании полезно. Ещё большую пользу — на этот раз бизнесу компании — принесет сертификат соответствия этим стандартам. В некоторых случаях, например для работы с платежными системами, иметь сертификат необходимо.