Дата: 28 декабря 2022
Line
Данная группа методов реализует подход, при котором формируется безопасная среда хранения и обработки данных в организации-операторе данных. Такие методы помогают снижать риски нарушения конфиденциальности данных за счет организационных и технических мер:
Наличия документированных процедур обработки персональных данных;
Подготовки и обучения персонала, имеющего доступ к законно обрабатываемой информации
Защиты метаинформации (данных, характеризующих профиль информации), которая может помочь злоумышленникам в организации атак на персональные данные.
Защита хранения данных (без учета их публикации), которая позволяет предотвратить утечки информации и прямое или косвенное (за счет появления дополнительных сведений) раскрытие конфиденциальной информации.
Учет контекстных рисков осуществляется за счет скоринга принимаемых мер, который формирует фактор-множитель, снижающий или увеличивающий риски данных (непосредственно передаваемой/раскрываемой информации):
\(P_{повторной~идентификации} = P_{контекстные~риски} \times P_{риски~данных}~~\#(1)\)
Скоринг осуществляется путем аудита (анкетирования) реализуемых методов защиты (признаков защиты) с их нормированием в совокупной модели контекстной защиты данных [1]:
\(P_{контекстные~риски} = \frac {\displaystyle\sum_{j=1}^{n} w_{j} K_{j} } {\displaystyle\sum_{j=1}^{n} w_{j} }~~\#(2)\)
\(Здесь~K_{j}~–~вектора~признаков~защиты~(0/1).\)
Данные методы нацелены на предотвращение утечек конфиденциальных сведений на уровне хранения и включают:
Метод декомпозиции. Выделение контуров хранения данных (например, для хранения данных в зонах разработки, тестирования и эксплуатации), выделение отдельных хранилищ данных в зависимости от их чувствительности.
Шифрование данных. Шифрование данных на уровне хранилища (средствами базы данных или программными средствами). Если происходит утечка дампов (сырых данных) такой метод позволяет защитить данные.
Профилирование данных. Сбор и управление метаинформацией, метриками данных, позволяющими выделить чувствительные данные и обеспечить им повышенную защиту при обработке.
Поддержка и актуализация средств хранения данных. Программное обеспечение, используемое для хранения данных, их извлечения и отображения должно быть свободно от уязвимостей, а их конфигурация (например, порты доступа, хранение ключей и т.п.) настраиваться в соответствии с уровнями конфиденциальности информации.
Уничтожение устаревших или неиспользуемых данных. В соответствии с жизненным циклом данных, их использование может быть ограничено некоторым периодом. Неиспользуемые и неактуальные персональные данные должны выводиться из оборота – уничтожаться через специальные документируемые процедуры.
Управление резервным копированием. Поддержка доступности информационных систем невозможна без периодического резервного копирования. Хранение резервных копий имеет такие же риски, как хранилище рабочих данных и должно быть регламентировано.
Данные, участвующие в поддержке информационной системы, извлекаются и преобразуются различными компонентами информационных систем, такими как средства ETL (Extract-Transform-Load), учетными системами, аналитическими инструментами, средствами отчетности. Все эти системы, как и их операторы – люди получают доступ к данным. Методы управления к таким данным позволяют избежать утечек и снизить в конечном счете риски конфиденциальности персональных данных.
Использование PIN (ограничение глобальной идентификации) или ориентированных на сеанс токенов (2FA/двухфакторная идентификация, JWT);
Применение протоколов аутентификации (Kerberos, OpenID, OAuth, SAML 2.0, WebAuthn, DID);
Аутентификация на основе сертификатов (PKI, TLS/SSL)
Роле-базированная безопасность. Установка ролей и управления ими для доступа к отдельным наборам данных, полям, записям.
Минимизация данных в пределах сеанса работы. Ограничение доступа к данным с точки зрения выполняемой функции может быть реализовано декларативно (за счет интерфейсов доступа к данным) или на уровне разделения наборов данных (метод декомпозиции). В последнем случае получение дополнительных данных требует дополнительной авторизации (например, ключи доступа старших менеджеров).
Управление согласиями пользователей. Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе. Поскольку согласие ограничено целью обработки данных, сроком обработки, перечнем персональных данных, а также может быть отозвано субъектом персональных данных, для управления согласиями должна использоваться специализированная система, позволяющая осуществлять мониторинг текущего статуса согласия.
Даже, если информация хранится безопасно и передается законно, каналы передачи информации (на всех уровнях: физическом, сетевом, транспортном) могут подвергаться атакам (“middle of the man”). Опасности могут быть подвергнуты конфиденциальные данные, если они передаются в открытом виде, а также метаинформация (сведения о формате, частоте передачи и их объеме, специфические управляющие сигналы) и схемы адресации (собственно отправитель и получатель информации). Последние два фактора могут быть использованы как вспомогательная информация для осуществления многоуровневых атак.
Для защиты каналов рекомендуется использовать следующие методы:
Физическая защита каналов передачи;
Использование защищенных протоколов (HTTPS) и двустороннее шифрование данных (end-to-end encryption) с использованием симметричного и несимметричного шифрования;
Методы сокрытия IP-адресов и защиты социального графа (VPN, Proxy, Onion Routing)
Сокрытие защищенных данных (Steganography/стеганография) – методы, нацеленные на сокрытие конфиденциальных данных среди открытой или сторонней информации, а также добавление шума к каналам передачи данных.
Цифровые подписи на передаваемые данные – гарантируют, что данные были сформированы установленными сторонами в соответствии с заданным протоколом.
———
Главная