Новый законопроект о защите больших пользовательских данных (БПДн)

^[1]

Раньше серьезную инфраструктуру для хранения и анализа Больших данных (Big Data) могли позволить себе только масштабные организации. Сегодня же, большие данные находят все более разнообразное применение в самых различных областях. При этом, развитие Big Data не только открывает возможности, но и сопряжено с многочисленными сложностями. Современные организации все чаще используют технологии машинного обучения и когнитивные технологии, которые часто позволяют более эффективно использовать большие данные. Так же, в области больших данных присутствуют и свои, присущие относительно новым технологиям угрозы безопасности информации.

Примерно в 2013 году, организация Cloud Security Alliance ^[2] (CSA) провела анализ основных проблем безопасности технологии больших данных. CSA является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности «облачных вычислений», а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон. На основе анализа они выделили 10 основных:

1. Безопасные вычисления в распределенных структурах программирования
2. Рекомендации по безопасности для нереляционных хранилищ данных
3. Безопасное хранение данных и журналы транзакций
4. Проверка / фильтрация ввода конечных точек
5. Мониторинг безопасности в режиме реального времени
6. Масштабируемый и составной интеллектуальный анализ данных и аналитика
7. Криптографически усиленная система безопасности данных
8. Гранулированный контроль доступа
9. Гранулированный аудит
10. Прогнозирование данных

Позже добавили еще 3 новых вопроса:

1. Моделирование: формализация модели угрозы, которая охватывает большинство сценариев кибер-атаки или утечки данных
2. Анализ: поиск приемлемых решений на основе модели угрозы
3. Внедрение: внедрение решения в существующие инфраструктуры

Если кого заинтересует, полную версию отчета можно получить по ссылке ^[3].

В 2016 году CSA публикуeт под заголовком «Руководство по обеспечению безопасности и конфиденциальности больших данных: 100 передовых практик» (Big Data Security and Privacy Handbook). Материал доступен в каталоге рабочей группы по большим данным по ссылке ^[4].

В ней сообщается, что уязвимости информационной безопасности определяются многообразием источников и форматов больших данных, потоковой природой сбора данных и необходимостью передачи данных между распределенными облачными инфраструктурами. Кроме того, увеличению поверхности атаки способствуют и большие объемы таких данных.

Прошло 2 года и 17.10.2018 на официальном сайте компании «МегаФон» появляется новость, что в России создана «Ассоциация участников рынка больших данных». «МегаФон», Mail.Ru Group, oneFactor, Тинькофф Банк, «Яндекс» и «Сбербанк» учреждают Ассоциацию участников рынка больших данных. Президентом организации избрана Анна Серебряникова, операционный директор «МегаФона».

Цитата из пресс-релиза компании Мегафон:

«Члены Ассоциации займутся созданием единых принципов и стандартов обработки, хранения, передачи и использования больших данных. Совместные разработки лягут в основу политики обращения с big data каждой компании-участницы Ассоциации. Приоритетные задачи организации — выработка бизнес-ориентированной стратегии развития рынка больших данных, повышение технической и операционной эффективности взаимодействия участников отрасли, а также формирование кодекса этики для защиты интересов пользователей.»

В голове всплыл сюжет известного ролика «Семь красных линий»:

«Наша компания разработала новую стратегическую инициативу, чтобы расширить проникновение на рынок, максимизировать лояльность бренду и увеличить нематериальные активы. Для достижения этих целей… мы начали новый проект.»

Примерно в то же время, 23.10.2018 на сайте Системы обеспечения законодательной деятельности появляется проект нового Федерального Закона. По этой ссылке ^[5] вы можете ознакомиться со всем пакетом поданных документов по этому проекту.

Мы же пройдемся кратко по сопроводительным документам и самому ФЗ. Для начала процитирую пояснительную записку к нему:

«Ежедневно в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий пользователи оставляют о себе в сети «Интернет» огромный массив обезличенной информации, которую принято называть «большими пользовательскими данными». Данная информация в результате автоматизированной обработки позволяет определять отдельные пользовательские характеристики, которые в дальнейшем используются операторами больших пользовательских данных для собственных целей либо передаются ими другим заинтересованным лицам безвозмездно или за плату. При этом такие данные не являются персональными данными.

Правовой вакуум в сфере регулирования больших пользовательских данных в Российской Федерации лишает физических лиц (пользователей) должной правовой защиты и поддержки.»

Оттуда же:

«Указом Президента Российской Федерации от 7 мая 2018 г. № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» Правительству Российской Федерации совместно с органами государственной власти субъектов Российской Федерации поручено в том числе обеспечить к 2024 году создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций и домохозяйств; создание глобальной конкурентоспособной инфраструктуры передачи, обработки и хранения данных преимущественно на основе отечественных разработок; информационную безопасность на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства.»

В самом законопроекте предлагается в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определить понятия:

• «большие пользовательские данные»,
• «оператор больших пользовательских данных»,
• «обработка больших пользовательских данных».

Так же предлагается установить особенности государственного регулирования обработки больших пользовательских данных (порядок сбора, передачи и иной обработки больших пользовательских данных). И так же, обязанности оператора больших пользовательских данных.

Группа депутатов Госдумы во главе с Михаилом Романовым предложила ^[6] понимать под большими пользовательскими данными совокупность информации о физлицах и их поведении, не содержащей персональных данных, но при этом позволяющей без использования дополнительной информации и обработки определить конкретного человека. Уточняется, что речь идет о сведениях, собираемых из различных источников, в том числе Интернета, количество которых превышает тысячу сетевых адресов.

Предполагается установить правило, согласно которому пользователей будут в обязательном порядке информировать о такой обработке путем размещения на сайте оператора больших пользовательских данных соответствующего информационного сообщения, а при его отсутствии – другим доступным способом. Законом может быть введено положение, запрещающее обработку больших пользовательских данных, направленную на идентификацию конкретного физлица. Однако планируется, что в отношении обработки таких данных по запросам федеральных органов исполнительной власти, осуществляющих оперативно-розыскную деятельность, оно применяться не будет.

Требования к информационному сообщению и его форма, а так же ведение реестра операторов больших данных «по традиции» повесили на Роскомнадзор. Сразу же прослеживается явная аналогия: «оператор», «данные пользователей», «уведомить»…

Защиты персональных данных нам мало, теперь мы начинаем защищать по закону Большие Пользовательские Данные (БПДн). Возможно, что в скором времени будет вытащен из-под сукна когда-то внезапно забытый проект ГОСТ «Защита информации при использовании облачных технологий. Общие положения.» ^[7]

Подробнее изучить вопрос обработки персональных данных в Россию в соответствии с нормативными правовыми актами поможет наше исследование:

• White Paper о Федеральном Законе №152. 4500 загрузок книги. ^[8]

Автор: Cloud4Y

Источник ^[9]