Отчет об утечке персональных данных станет обязательным
Чего ждать от поправок в ФЗ-152 и как подготовиться
Прямо перед уходом на летние каникулы Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных»: теперь операторов обяжут отслеживать кибератаки и утечки личной информации граждан и отчитываться о них в контролирующие органы. Ожидается, что осенью Совет Федерации примет закон и после утверждения у президента он вступит в силу. В теории это значит, что оборот и хранение наших данных станут безопаснее. На практике – что почти 80% операторов персональных данных (ПД) столкнутся с серьезными проблемами.
О чем поправки
Суть в том, чтобы государство получило объективную картину инцидентов, связанных с компрометацией ПД. Ведь до сих пор об утечках личных данных граждан все, включая регуляторов, узнавали или из СМИ, или – гораздо реже – из обращений пострадавших.
С аналогичными проблемами сталкивался бизнес – у большинства компаний просто нет инструментов, чтобы выявить проблему. Для наглядности: персданными считается все, что позволяет прямо или косвенно определить их субъекта; с такими данными работает почти каждая государственная и частная организация, которых в России сотни тысяч. А средства контроля тех же утечек, согласно нашему исследованию, есть только чуть больше чем у трети.
Теперь же все компании, которые обрабатывают или хранят персональные данные, должны:
■ устанавливать правила доступа к ПД, которые хранятся или обрабатываются в инфраструктуре;
■ регистрировать все операции с ПД, которые совершают процессы или пользователи;
■ отслеживать факты утечек по вине сотрудников и неправомерного доступа к системам обработки ПД извне;
■ выявлять инциденты и сообщать о произошедшем: в случае кибератаки – в ГосСОПКА, а в случае утечки по вине сотрудника – в Роскомнадзор. На это компании отводятся одни сутки;
■ определять виновных, причины, вред от инцидента и отправлять регуляторам результаты внутреннего расследования. Его нужно будет успеть провести за 72 часа.
Обнаружить сложнее, чем отчитаться
Напрямую закон этого не говорит, но ясно, что, чтобы его выполнить, формальной отчетности не хватит – нужны детали и доказательства инцидента. Учитывая объемы обработки ПД даже в небольшой организации, собрать ее вручную фактически невозможно. Значит, операторам предстоит взять на вооружение системы защиты.
Первая задача – логировать все действия с ПД. По логам можно увидеть аномальную активность, т. е. зафиксировать инцидент, и на базовом уровне расследовать его обстоятельства.
В идеале здесь нужен инструмент, который автоматически проанализирует содержимое всех файлов в хранилищах и на устройствах и определит, какие из них относятся к ПД, а также покажет, где именно они располагаются. Это поможет понять, кто имеет к ним доступ, отрегулировать права пользователей и мониторить все файловые операции. Комплексно эту задачу решают системы класса DCAP.
Еще больше о «судьбе» ПД в инфраструктуре расскажут DLP-системы, они заточены под контроль и расследование утечек, а значит, напрямую выполняют новые требования. Они контролируют каналы передачи данных, активность сотрудников в ПО, локальной сети и на внешних сервисах. Важное преимущество DLP в том, что вручную разбирать логи по всем операциям не придется, для этого есть политики безопасности, которые выявляют утечки автоматически. Поэтому ключевое требование к системе – охватность каналов контроля и мощность аналитики, которые позволят не допустить утечку благодаря раннему выявлению или блокировке.
В идеале эту структуру дополнят еще и SIEM-системы. Это средства мониторинга и управления инцидентами информационной безопасности (ИБ) в реальном времени, которые «видят» нарушения доступов, уязвимости, компрометацию периметра и почти любые другие угрозы. Эффективность решения зависит от того, как много источников к нему подключено. Суть SIEM в том, чтобы ускорить выявление и время реакции на инцидент, все проблемы с ИБ решаются по принципу одного окна. В системе удобно разбирать уведомления о подозрительных операциях с файлом и виднее взаимосвязь, когда вслед за этим придет предупреждение об утечке, это дополняет картину при расследованиях.
Главное – действовать, а не полагаться на русское «авось пронесет». Есть все основания полагать, что вслед за требованием отчетности об утечках государство начнет серьезно за них штрафовать – обсуждаются варианты штрафов в размере до 3% от оборота (в случае сокрытия факта слива). Пока это инициатива, но она активно прорабатывается на всех уровнях. У меня нет никаких сомнений – законодательство о защите персональных данных граждан РФ будет и дальше идти по пути ужесточения. Поэтому времени рассуждать, нужна ли вам защита, больше нет.