Персональные данные в WEB-приложениях
Закон о персональных данных вызвал бурные обсуждения в обществе, как среди разных категорий специалистов: юристов, политиков, банкиров, ИТ-специалистов, так и среди обычных граждан. Вряд ли кто-то может поставить под сомнение необходимость принятия подобного закона, однако все тонкости его исполнения еще не конца понятны, равно как и меры, которые необходимо принять представителям бизнеса, дабы оградить себя от проблем с надзорными органами после наступления 1 января 2010 года.
Данный закон распространяет свои требования на всех юридических и физических лиц, деятельность которых предполагает обработку персональных данных. Интернет-сфера в данном случае не является исключением.
Принятие мер по защите персональных данных пользователей Интернета в контролируемых государством структурах уже идет полным ходом. Одной из таких мер за последнее время стало блокирование вывода персональной информации об администраторах доменов сервисом WHOIS. Однако основная ответственность лежит, конечно же, на владельцах самих web-ресурсов. Рассмотрим основные категории Web-ресурсов, деятельность которых предполагает работу с персональными данными.
Интернет-магазины
Интернет-магазин является, пожалуй, одним из самых распространенных типов Web-ресурсов российской части Интернета. Относительная простота реализации, как технической, так и с точки зрения бизнес-процессов, сделала данный вид бизнеса весьма привлекательным для широкого круга предпринимателей. В действительности, ведь нет необходимости арендовать торговое помещение, склады и нести иные издержки, достаточно просто иметь некоторый канал поставки товаров и "пользоваться" им по мере поступления заказов из Интернета. Все это привело к тому, что количество интернет-магазинов в последние годы растет огромными темпами.
Насколько такой сервис будет качественным для потребителя - это отдельная тема, нас интересует в первую очередь вопрос безопасности. В большинстве случаев предприниматель не готов тратить большие деньги на разработку качественного продукта или на покупку готового решения, тем более, если это для него новый вид бизнеса и вся специфика будущей деятельности еще не совсем понятна. В результате множество подобных приложений создаются под заказ, знакомыми заказчика, либо найдеными по объявлению фрилансерами, реже - web-студиями. Задумывается ли предприниматель о том, насколько данное решение будет безопасно? В состоянии ли он оценить уровень квалификации разработчиков с тем, чтобы максимально снизить возможные риски? Очевидно, что в большинстве случаев - нет.
С точки зрения потребителя, который делает заказ на сайте, оценить уровень защищенности передаваемой сотрудникам интернет-магазина информации вобще не представляется возможным. В большинстве случаев потребители реагируют на доступную цену и "красивую картинку" на сайте, и не задумываются, что же на самом деле представляет из себя данная структура: либо это интернет-филиал, скажем, крупной сети магазинов бытовой техники, либо просто частный предприниматель, который самостоятельно развозит заказы. Вполне естественно, что подходы к обработке информации, как и степень ответственности в данных случаях будут различны.
Уровень доверия к интернет-магазинам со стороны потребителей в последние годы заметно вырос. Потребители достаточно охотно сообщают свои личные данные сотрудникам магазина, а те, в свою очередь, не всегда задумываются о том, насколько эта информация в действительности необходима для реализации бизнес-процесса. Таким образом, мы имеем дело с ситуацией избыточности данных, то есть "не соответствия объема и характера персональных данных целям обработки персональных данных" -именно так это положение описано в ФЗ-152.
Учитывая техническое развитие интернет-магазинов в последние годы, можно предположить что большинство из них имеют встроенные CRM-системы, а значит предполагают хранение данных о клиенте с целью организации последующего, послепродажного взаимодействия. А в действительности ли это так необходимо с точки зрения специфики конкретного бизнес-процесса? Согласно закону хранение персональных данных должно осуществляться "не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении этих целей или в случае утраты необходимости в их достижении". К сожалению, этого не происходит.
Хотелось бы отметить еще одно, и, пожалуй, самое серъезное положение ФЗ-152, которое может самым негативным образом сказаться на деятельности интернет-магазинов. Речь идет о необходимости наличия письменного разрешения у владельца web-ресурса (как оператора персональных данных) на обработку данных клиента (как субъекта ПД). Данное обстоятельство ставит под сомнение вообще саму идею интернет-торговли в ее нынешнем виде, так как предполагает необходимость личного контакта клиента и сотрудника магазина до совершения сделки. Единственным способом удовлетворить данное положение закона является обезличивание персональных данных, что несомненно приведет к некоторым изменениям в организации бизнес-процессов.
Корпоративные порталы
Корпоративные порталы являются удобным инструментом интеграции, предоставляющим пользователю единую точку доступа к информационным сервисам организации. В условиях широкой территориальной распределенности филиальной и партнерской сети организации наилучшим решением является реализация соединений по защищенным каналам VPN, однако такое решение требует значительных финансовых затрат и доступно далеко не всем. Реализация же точки доступа из сети Интернет является значительно более простым решением.
В зависимости от уровня развития внутренней структуры, корпоративный портал может содержать как важную финансовую информацию, так и персональные данные клиентов, партнеров и сотрудников компании. При обработке таких персональных данных необходимо учитывать разницу целей и методов обработки для каждой группы субъектов, разницу классов данных, и соответствующим образом выстраивать политику корпоративной безопасности.
Большинство корпоративных порталов строятся на основе готового программного решения, либо разрабатываются под заказ опытными программистами. Однако, это лишь в определенной степени может говорить об уровне защищенности системы, так как безопасность кода - это далеко не единственный фактор влияющий на риски ИБ. Обеспечение информационной безопасности корпоративного портала, вне всякого сомнения, должно являться частью стратегии информационной безопасности всей организации.
Социальные сети
Пик развития социальных сетей в русской части Интернета пришелся на последние 2-3 года, в результате суммарная численность пользователей крупнейших социальных сетей на данный момент превысила 50 млн. человек. Безусловно, такой колоссальный объем персональных данных нуждается в определенном контроле. Попробуем разобраться какое отражение данное явление может найти в ФЗ-152.
С первого взгляда может показаться, что вся информация, представленная в социальных сетях может классифицироваться законом как "общедоступная". Однако, это не так. Каждый пользователь сам определяет какую информацию о себе он хочет разместить и каким категориям пользователей эта информация может быть доступна. Именно этот объем "скрытой" пользователем информации с точки зрения закона попадает под категорию "конфиденциальные персональные данные".
Наверняка многие хорошо помнят инцидент, произошедший несколько месяцев назад в одной из крупнейших социальных сетей России, результатом которого стало похищение аккаунтов более чем 130 тыс. пользователей. И такие случаи далеко не единичны. Эксперты подтверждают рост числа атак на социальные сети не только в РФ, но и по всему миру.
Помимо чисто технических проблем, свойственным всем web-ресурсам, для социальных сетей также характерно наличие больших возможностей для реализации социально-ориентированных способов мошенничества. Рассылка спама, фишинг и фарминг-атаки - все эти приёмы уже давно используются злоумышленниками и в конечном итоге могут привести к краже конфиденциальной информации особо доверчивых или невнимательных пользователей. Для борьбы с данным явлением необходим постоянный административный контроль .
Интернет-банкинг и платежные системы
Интернет-банкинг приобретает все большую популярность в последние годы, однако, из более чем тысячи российских банков всего лишь несколько десятков предоставляют данную услугу в полном объеме. Отчасти, это обусловлено недостаточной автоматизацией большинства банков и отсутствием единой интеграционной платформы.
Системы интернет-банкинга, как и платежные системы, как правило, базируются на той же клиент-серверной архитектуре, что и обычные web-приложения. При этом наиболее слабым звеном системы является сам клиент и средства, с помощью которых он получает доступ к своему счету. Очевидно, что клиенты не всегда в состоянии адекватно оценить угрозы и риски, возникающие при удаленном управлении своими счетами, и противопоставить этим угрозам адекватные контрмеры. Поэтому одной из основных задач по обеспечению информационной безопасности банков и платежных систем является обучение пользователей.
Следует заметить, что с точки зрения злоумышленника потенциальный интерес в системах Интернет-банкинга представляет не только возможность хищения средств (защите транзакций, как правило, банки уделяют наибольшее внимание), но и персональные данные клиента. Владение такой информацией дает возможности для махинаций с пластиковыми картами, либо проведения иного мошенничества. Исследователи даже отмечают, что каждая запись о счетах клиента имеет вполне конкретную цену на «черном» рынке.
К сожалению, при разработке и эксплуатации систем интернет-банкинга далеко не всегда соблюдаются требования отраслевых стандартов. Как правило, каждый банк разрабатывает систему интернет-банкинга самостоятельно и ни один из стандартов фактически не является обязательным к исполнению. В сложившейся ситуации, вступление в силу требований ФЗ-152 несет в себе огромные трудности для всей банковской сферы, о чем свидетельствуют неоднократные попытки ассоциации банков отсрочить дату вступления требований в силу.
Подготовка организации к выполнению требований закона
С целью подготовки организации к выполнению требований закона ФЗ-152 необходимо проведение аудита информационных систем и бизнес-процессов прямо или косвенно затрагивающих обработку персональных данных. Такой аудит может быть проведен как силами самой организации (при наличии квалифицированных специалистов), так и силами независимых аудиторов.
На основании проведенного аудита выносится ряд рекомендаций по организации защиты персональных данных. Данные рекомендации должны найти свое отражение на практике в виде конкретных технических и организационных мер.
1. Рекомендации по приведению бизнес-процессов компании в соответствие требованиям Закона
o Обезличивание персональных данных
В ходе аудита может быть подтверждена возможность организации взаимодействия компании и пользователей Интернета с использованием обезличенных данных. Это избавляет организацию от необходимости аттестации соответствующих ИСПДн, а, следовательно, существенно снижает издержки на приведение системы в соответствие требованиям ФЗ-152. Данный вариант оптимизации бизнес-процессов может быть применим, к примеру, большинством интернет-магазинов. В действительности, зачем магазину собирать паспортные данные или ФИО клиентов, если, в большинстве случаев, достаточно знать лишь номер телефона и адрес доставки?
o Понижение класса ПД
Данный вариант оптимизации бизнес-процессов применим в случае, если полное обезличивание невозможно, однако имеет место явная избыточность имеющихся данных. Понижение класса данных позволяет снизить издержки на организацию защиты ПД.
o Уничтожение персональных данных
В ходе аудита может быть установлен факт избыточного хранения данных, не соответствующего целям обработки персональных данных. В этом случае организации выносятся рекомендации по созданию схемы уничтожения персональных данных.
2. Рекомендации по оптимизации Web-приложения
На основании имеющихся рекомендаций по оптимизации бизнес-процессов, а также основываясь на результатах аудита безопасности web-приложения, формируются рекомендации относительно изменения настроек, условий функционирования и исходного кода web-приложения.
3. Рекомендации по внедрению технических решений
На основании анализа уровня защищенности имеющихся ИСПДн выносятся рекомендации по внедрению технических решений защиты данных, к которым относятся:
o системы защиты от утечек информации (DLP)
o системы обнаружения/противодействия вторжениям (IDS/IPS)
o системы идентификации/аутентификации
o системы контентной фильтрации
o системы защиты удаленного доступа (VPN)
o средства обнаружения уязвимостей
o файрволлы и межсетевые экраны
Затраты на реализацию этих мер в первую очередь зависят от полноты и количества персональных данных, обрабатываемых в организации. В отдельных случаях организация также может понести затраты на аттестацию построенной системы на соответствие требованиям по защите информации.
Для минимизации затрат целесообразно пересмотреть бизнес-процессы по обработке персональных данных с целью их оптимизации на предмет удаления избыточных операций и/или избыточного количества и состава персональных данных, а также по упрощению порядка их обработки и хранения.
Итоги
В настоящее время в зоне .ru насчитывается более 2 млн. доменов. Оценить же количество web-ресурсов, в той или иной степени производящих обработку персональных данных, не представляется возможным. В первую очередь потому, что сам факт такой обработки далеко не всегда очевиден, тут требуется детальное изучение функциональных возможностей приложения. Вцелом же, подход к построению защиты персональных данных мало зависит от рода деятельности конкретной организации. Интернет-сфера конечно имеет свою специфику, однако и здесь существуют свои организационные и технические решения.
Несомненно, для массовой проверки всех операторов ПД, деятельность которых связана с Интернетом, потребовались бы огромные ресурсы со стороны регуляторов. Поэтому, вероятнее всего, проверки будут носить точечный характер. Основным инициатором подобной проверки будет служить сам пользователь, сомневающийся в достаточном уровне защищенности своих персональных данных на конкретном ресурсе. Владельцам web-ресурсов следует быть к этому готовым.
Эксперт отдела аудита компании Pointlane
Егоров Алексей
www.Pointlane.ru
Данный закон распространяет свои требования на всех юридических и физических лиц, деятельность которых предполагает обработку персональных данных. Интернет-сфера в данном случае не является исключением.
Принятие мер по защите персональных данных пользователей Интернета в контролируемых государством структурах уже идет полным ходом. Одной из таких мер за последнее время стало блокирование вывода персональной информации об администраторах доменов сервисом WHOIS. Однако основная ответственность лежит, конечно же, на владельцах самих web-ресурсов. Рассмотрим основные категории Web-ресурсов, деятельность которых предполагает работу с персональными данными.
Интернет-магазины
Интернет-магазин является, пожалуй, одним из самых распространенных типов Web-ресурсов российской части Интернета. Относительная простота реализации, как технической, так и с точки зрения бизнес-процессов, сделала данный вид бизнеса весьма привлекательным для широкого круга предпринимателей. В действительности, ведь нет необходимости арендовать торговое помещение, склады и нести иные издержки, достаточно просто иметь некоторый канал поставки товаров и "пользоваться" им по мере поступления заказов из Интернета. Все это привело к тому, что количество интернет-магазинов в последние годы растет огромными темпами.
Насколько такой сервис будет качественным для потребителя - это отдельная тема, нас интересует в первую очередь вопрос безопасности. В большинстве случаев предприниматель не готов тратить большие деньги на разработку качественного продукта или на покупку готового решения, тем более, если это для него новый вид бизнеса и вся специфика будущей деятельности еще не совсем понятна. В результате множество подобных приложений создаются под заказ, знакомыми заказчика, либо найдеными по объявлению фрилансерами, реже - web-студиями. Задумывается ли предприниматель о том, насколько данное решение будет безопасно? В состоянии ли он оценить уровень квалификации разработчиков с тем, чтобы максимально снизить возможные риски? Очевидно, что в большинстве случаев - нет.
С точки зрения потребителя, который делает заказ на сайте, оценить уровень защищенности передаваемой сотрудникам интернет-магазина информации вобще не представляется возможным. В большинстве случаев потребители реагируют на доступную цену и "красивую картинку" на сайте, и не задумываются, что же на самом деле представляет из себя данная структура: либо это интернет-филиал, скажем, крупной сети магазинов бытовой техники, либо просто частный предприниматель, который самостоятельно развозит заказы. Вполне естественно, что подходы к обработке информации, как и степень ответственности в данных случаях будут различны.
Уровень доверия к интернет-магазинам со стороны потребителей в последние годы заметно вырос. Потребители достаточно охотно сообщают свои личные данные сотрудникам магазина, а те, в свою очередь, не всегда задумываются о том, насколько эта информация в действительности необходима для реализации бизнес-процесса. Таким образом, мы имеем дело с ситуацией избыточности данных, то есть "не соответствия объема и характера персональных данных целям обработки персональных данных" -именно так это положение описано в ФЗ-152.
Учитывая техническое развитие интернет-магазинов в последние годы, можно предположить что большинство из них имеют встроенные CRM-системы, а значит предполагают хранение данных о клиенте с целью организации последующего, послепродажного взаимодействия. А в действительности ли это так необходимо с точки зрения специфики конкретного бизнес-процесса? Согласно закону хранение персональных данных должно осуществляться "не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении этих целей или в случае утраты необходимости в их достижении". К сожалению, этого не происходит.
Хотелось бы отметить еще одно, и, пожалуй, самое серъезное положение ФЗ-152, которое может самым негативным образом сказаться на деятельности интернет-магазинов. Речь идет о необходимости наличия письменного разрешения у владельца web-ресурса (как оператора персональных данных) на обработку данных клиента (как субъекта ПД). Данное обстоятельство ставит под сомнение вообще саму идею интернет-торговли в ее нынешнем виде, так как предполагает необходимость личного контакта клиента и сотрудника магазина до совершения сделки. Единственным способом удовлетворить данное положение закона является обезличивание персональных данных, что несомненно приведет к некоторым изменениям в организации бизнес-процессов.
Корпоративные порталы
Корпоративные порталы являются удобным инструментом интеграции, предоставляющим пользователю единую точку доступа к информационным сервисам организации. В условиях широкой территориальной распределенности филиальной и партнерской сети организации наилучшим решением является реализация соединений по защищенным каналам VPN, однако такое решение требует значительных финансовых затрат и доступно далеко не всем. Реализация же точки доступа из сети Интернет является значительно более простым решением.
В зависимости от уровня развития внутренней структуры, корпоративный портал может содержать как важную финансовую информацию, так и персональные данные клиентов, партнеров и сотрудников компании. При обработке таких персональных данных необходимо учитывать разницу целей и методов обработки для каждой группы субъектов, разницу классов данных, и соответствующим образом выстраивать политику корпоративной безопасности.
Большинство корпоративных порталов строятся на основе готового программного решения, либо разрабатываются под заказ опытными программистами. Однако, это лишь в определенной степени может говорить об уровне защищенности системы, так как безопасность кода - это далеко не единственный фактор влияющий на риски ИБ. Обеспечение информационной безопасности корпоративного портала, вне всякого сомнения, должно являться частью стратегии информационной безопасности всей организации.
Социальные сети
Пик развития социальных сетей в русской части Интернета пришелся на последние 2-3 года, в результате суммарная численность пользователей крупнейших социальных сетей на данный момент превысила 50 млн. человек. Безусловно, такой колоссальный объем персональных данных нуждается в определенном контроле. Попробуем разобраться какое отражение данное явление может найти в ФЗ-152.
С первого взгляда может показаться, что вся информация, представленная в социальных сетях может классифицироваться законом как "общедоступная". Однако, это не так. Каждый пользователь сам определяет какую информацию о себе он хочет разместить и каким категориям пользователей эта информация может быть доступна. Именно этот объем "скрытой" пользователем информации с точки зрения закона попадает под категорию "конфиденциальные персональные данные".
Наверняка многие хорошо помнят инцидент, произошедший несколько месяцев назад в одной из крупнейших социальных сетей России, результатом которого стало похищение аккаунтов более чем 130 тыс. пользователей. И такие случаи далеко не единичны. Эксперты подтверждают рост числа атак на социальные сети не только в РФ, но и по всему миру.
Помимо чисто технических проблем, свойственным всем web-ресурсам, для социальных сетей также характерно наличие больших возможностей для реализации социально-ориентированных способов мошенничества. Рассылка спама, фишинг и фарминг-атаки - все эти приёмы уже давно используются злоумышленниками и в конечном итоге могут привести к краже конфиденциальной информации особо доверчивых или невнимательных пользователей. Для борьбы с данным явлением необходим постоянный административный контроль .
Интернет-банкинг и платежные системы
Интернет-банкинг приобретает все большую популярность в последние годы, однако, из более чем тысячи российских банков всего лишь несколько десятков предоставляют данную услугу в полном объеме. Отчасти, это обусловлено недостаточной автоматизацией большинства банков и отсутствием единой интеграционной платформы.
Системы интернет-банкинга, как и платежные системы, как правило, базируются на той же клиент-серверной архитектуре, что и обычные web-приложения. При этом наиболее слабым звеном системы является сам клиент и средства, с помощью которых он получает доступ к своему счету. Очевидно, что клиенты не всегда в состоянии адекватно оценить угрозы и риски, возникающие при удаленном управлении своими счетами, и противопоставить этим угрозам адекватные контрмеры. Поэтому одной из основных задач по обеспечению информационной безопасности банков и платежных систем является обучение пользователей.
Следует заметить, что с точки зрения злоумышленника потенциальный интерес в системах Интернет-банкинга представляет не только возможность хищения средств (защите транзакций, как правило, банки уделяют наибольшее внимание), но и персональные данные клиента. Владение такой информацией дает возможности для махинаций с пластиковыми картами, либо проведения иного мошенничества. Исследователи даже отмечают, что каждая запись о счетах клиента имеет вполне конкретную цену на «черном» рынке.
К сожалению, при разработке и эксплуатации систем интернет-банкинга далеко не всегда соблюдаются требования отраслевых стандартов. Как правило, каждый банк разрабатывает систему интернет-банкинга самостоятельно и ни один из стандартов фактически не является обязательным к исполнению. В сложившейся ситуации, вступление в силу требований ФЗ-152 несет в себе огромные трудности для всей банковской сферы, о чем свидетельствуют неоднократные попытки ассоциации банков отсрочить дату вступления требований в силу.
Подготовка организации к выполнению требований закона
С целью подготовки организации к выполнению требований закона ФЗ-152 необходимо проведение аудита информационных систем и бизнес-процессов прямо или косвенно затрагивающих обработку персональных данных. Такой аудит может быть проведен как силами самой организации (при наличии квалифицированных специалистов), так и силами независимых аудиторов.
На основании проведенного аудита выносится ряд рекомендаций по организации защиты персональных данных. Данные рекомендации должны найти свое отражение на практике в виде конкретных технических и организационных мер.
1. Рекомендации по приведению бизнес-процессов компании в соответствие требованиям Закона
o Обезличивание персональных данных
В ходе аудита может быть подтверждена возможность организации взаимодействия компании и пользователей Интернета с использованием обезличенных данных. Это избавляет организацию от необходимости аттестации соответствующих ИСПДн, а, следовательно, существенно снижает издержки на приведение системы в соответствие требованиям ФЗ-152. Данный вариант оптимизации бизнес-процессов может быть применим, к примеру, большинством интернет-магазинов. В действительности, зачем магазину собирать паспортные данные или ФИО клиентов, если, в большинстве случаев, достаточно знать лишь номер телефона и адрес доставки?
o Понижение класса ПД
Данный вариант оптимизации бизнес-процессов применим в случае, если полное обезличивание невозможно, однако имеет место явная избыточность имеющихся данных. Понижение класса данных позволяет снизить издержки на организацию защиты ПД.
o Уничтожение персональных данных
В ходе аудита может быть установлен факт избыточного хранения данных, не соответствующего целям обработки персональных данных. В этом случае организации выносятся рекомендации по созданию схемы уничтожения персональных данных.
2. Рекомендации по оптимизации Web-приложения
На основании имеющихся рекомендаций по оптимизации бизнес-процессов, а также основываясь на результатах аудита безопасности web-приложения, формируются рекомендации относительно изменения настроек, условий функционирования и исходного кода web-приложения.
3. Рекомендации по внедрению технических решений
На основании анализа уровня защищенности имеющихся ИСПДн выносятся рекомендации по внедрению технических решений защиты данных, к которым относятся:
o системы защиты от утечек информации (DLP)
o системы обнаружения/противодействия вторжениям (IDS/IPS)
o системы идентификации/аутентификации
o системы контентной фильтрации
o системы защиты удаленного доступа (VPN)
o средства обнаружения уязвимостей
o файрволлы и межсетевые экраны
Затраты на реализацию этих мер в первую очередь зависят от полноты и количества персональных данных, обрабатываемых в организации. В отдельных случаях организация также может понести затраты на аттестацию построенной системы на соответствие требованиям по защите информации.
Для минимизации затрат целесообразно пересмотреть бизнес-процессы по обработке персональных данных с целью их оптимизации на предмет удаления избыточных операций и/или избыточного количества и состава персональных данных, а также по упрощению порядка их обработки и хранения.
Итоги
В настоящее время в зоне .ru насчитывается более 2 млн. доменов. Оценить же количество web-ресурсов, в той или иной степени производящих обработку персональных данных, не представляется возможным. В первую очередь потому, что сам факт такой обработки далеко не всегда очевиден, тут требуется детальное изучение функциональных возможностей приложения. Вцелом же, подход к построению защиты персональных данных мало зависит от рода деятельности конкретной организации. Интернет-сфера конечно имеет свою специфику, однако и здесь существуют свои организационные и технические решения.
Несомненно, для массовой проверки всех операторов ПД, деятельность которых связана с Интернетом, потребовались бы огромные ресурсы со стороны регуляторов. Поэтому, вероятнее всего, проверки будут носить точечный характер. Основным инициатором подобной проверки будет служить сам пользователь, сомневающийся в достаточном уровне защищенности своих персональных данных на конкретном ресурсе. Владельцам web-ресурсов следует быть к этому готовым.
Эксперт отдела аудита компании Pointlane
Егоров Алексей
www.Pointlane.ru
Отзывы и комментарии