Хабрахабр

Новый законопроект о защите больших пользовательских данных (БПДн)

Сегодня же, большие данные находят все более разнообразное применение в самых различных областях. Раньше серьезную инфраструктуру для хранения и анализа Больших данных (Big Data) могли позволить себе только масштабные организации. Современные организации все чаще используют технологии машинного обучения и когнитивные технологии, которые часто позволяют более эффективно использовать большие данные. При этом, развитие Big Data не только открывает возможности, но и сопряжено с многочисленными сложностями. Так же, в области больших данных присутствуют и свои, присущие относительно новым технологиям угрозы безопасности информации.

CSA является некоммерческой организацией, созданной для содействия использованию передового опыта при обеспечении безопасности «облачных вычислений», а также повышения уровня осведомленности по данной тематике всех заинтересованных сторон. Примерно в 2013 году, организация Cloud Security Alliance (CSA) провела анализ основных проблем безопасности технологии больших данных. На основе анализа они выделили 10 основных:

  1. Безопасные вычисления в распределенных структурах программирования
  2. Рекомендации по безопасности для нереляционных хранилищ данных
  3. Безопасное хранение данных и журналы транзакций
  4. Проверка / фильтрация ввода конечных точек
  5. Мониторинг безопасности в режиме реального времени
  6. Масштабируемый и составной интеллектуальный анализ данных и аналитика
  7. Криптографически усиленная система безопасности данных
  8. Гранулированный контроль доступа
  9. Гранулированный аудит
  10. Прогнозирование данных

Позже добавили еще 3 новых вопроса:

  1. Моделирование: формализация модели угрозы, которая охватывает большинство сценариев кибер-атаки или утечки данных
  2. Анализ: поиск приемлемых решений на основе модели угрозы
  3. Внедрение: внедрение решения в существующие инфраструктуры

Если кого заинтересует, полную версию отчета можно получить по ссылке.

Материал доступен в каталоге рабочей группы по большим данным по ссылке. В 2016 году CSA публикуeт под заголовком «Руководство по обеспечению безопасности и конфиденциальности больших данных: 100 передовых практик» (Big Data Security and Privacy Handbook).

Кроме того, увеличению поверхности атаки способствуют и большие объемы таких данных. В ней сообщается, что уязвимости информационной безопасности определяются многообразием источников и форматов больших данных, потоковой природой сбора данных и необходимостью передачи данных между распределенными облачными инфраструктурами.

10. Прошло 2 года и 17. «МегаФон», Mail. 2018 на официальном сайте компании «МегаФон» появляется новость, что в России создана «Ассоциация участников рынка больших данных». Президентом организации избрана Анна Серебряникова, операционный директор «МегаФона». Ru Group, oneFactor, Тинькофф Банк, «Яндекс» и «Сбербанк» учреждают Ассоциацию участников рынка больших данных.

Цитата из пресс-релиза компании Мегафон:

Совместные разработки лягут в основу политики обращения с big data каждой компании-участницы Ассоциации. «Члены Ассоциации займутся созданием единых принципов и стандартов обработки, хранения, передачи и использования больших данных. Приоритетные задачи организации — выработка бизнес-ориентированной стратегии развития рынка больших данных, повышение технической и операционной эффективности взаимодействия участников отрасли, а также формирование кодекса этики для защиты интересов пользователей.»

В голове всплыл сюжет известного ролика «Семь красных линий»:

«Наша компания разработала новую стратегическую инициативу, чтобы расширить проникновение на рынок, максимизировать лояльность бренду и увеличить нематериальные активы. Для достижения этих целей… мы начали новый проект.»

10. Примерно в то же время, 23. 2018 на сайте Системы обеспечения законодательной деятельности появляется проект нового Федерального Закона. По этой ссылке вы можете ознакомиться со всем пакетом поданных документов по этому проекту.

Для начала процитирую пояснительную записку к нему:
Мы же пройдемся кратко по сопроводительным документам и самому ФЗ.

Данная информация в результате автоматизированной обработки позволяет определять отдельные пользовательские характеристики, которые в дальнейшем используются операторами больших пользовательских данных для собственных целей либо передаются ими другим заинтересованным лицам безвозмездно или за плату. «Ежедневно в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий пользователи оставляют о себе в сети «Интернет» огромный массив обезличенной информации, которую принято называть «большими пользовательскими данными». При этом такие данные не являются персональными данными.

Правовой вакуум в сфере регулирования больших пользовательских данных в Российской Федерации лишает физических лиц (пользователей) должной правовой защиты и поддержки.»

Оттуда же:

№ 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» Правительству Российской Федерации совместно с органами государственной власти субъектов Российской Федерации поручено в том числе обеспечить к 2024 году создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций и домохозяйств; создание глобальной конкурентоспособной инфраструктуры передачи, обработки и хранения данных преимущественно на основе отечественных разработок; информационную безопасность на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства.» «Указом Президента Российской Федерации от 7 мая 2018 г.

В самом законопроекте предлагается в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определить понятия:

  • «большие пользовательские данные»,
  • «оператор больших пользовательских данных»,
  • «обработка больших пользовательских данных».

Так же предлагается установить особенности государственного регулирования обработки больших пользовательских данных (порядок сбора, передачи и иной обработки больших пользовательских данных). И так же, обязанности оператора больших пользовательских данных.

Уточняется, что речь идет о сведениях, собираемых из различных источников, в том числе Интернета, количество которых превышает тысячу сетевых адресов. Группа депутатов Госдумы во главе с Михаилом Романовым предложила понимать под большими пользовательскими данными совокупность информации о физлицах и их поведении, не содержащей персональных данных, но при этом позволяющей без использования дополнительной информации и обработки определить конкретного человека.

Законом может быть введено положение, запрещающее обработку больших пользовательских данных, направленную на идентификацию конкретного физлица. Предполагается установить правило, согласно которому пользователей будут в обязательном порядке информировать о такой обработке путем размещения на сайте оператора больших пользовательских данных соответствующего информационного сообщения, а при его отсутствии – другим доступным способом. Однако планируется, что в отношении обработки таких данных по запросам федеральных органов исполнительной власти, осуществляющих оперативно-розыскную деятельность, оно применяться не будет.

Сразу же прослеживается явная аналогия: «оператор», «данные пользователей», «уведомить»… Требования к информационному сообщению и его форма, а так же ведение реестра операторов больших данных «по традиции» повесили на Роскомнадзор.

Возможно, что в скором времени будет вытащен из-под сукна когда-то внезапно забытый проект ГОСТ «Защита информации при использовании облачных технологий. Защиты персональных данных нам мало, теперь мы начинаем защищать по закону Большие Пользовательские Данные (БПДн). Общие положения.»

Подробнее изучить вопрос обработки персональных данных в Россию в соответствии с нормативными правовыми актами поможет наше исследование:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть