Современный этап цифровизации организаций характеризуется постоянным расширением спектра деловых процессов, реализуемых на основе автоматизированных информационных систем. Данной тенденции свойственно как увеличение объема и расширение набора персональных данных (ПДн), которые включаются в обработку с использованием информационных систем, так и рост масштаба самих информационных систем. Поэтому актуальность обеспечения безопасности персональных данных при обработке их в информационных системах возрастает с каждым годом.
В 2021 году набор стандартов в сфере информационной безопасности пополнил ГОСТ ISO/IEC 29100-2021 [1], определяющий «место организационных, технических и процедурных аспектов в общей структуре обеспечения безопасности персональных данных» [1, с. V]. Основной задачей стандарта является формирование требований к мерам защиты персональных данных в информационных системах персональных данных (ИС ПДн) с учетом ролей участников в обработке ПДн.
Принятие стандарта ГОСТ ISO/IEC 29100-2021 обусловлено рядом тенденций в сфере современных информационно-коммуникационных технологий (ИКТ) и систем:
- постоянное расширение спектра ИКТ, которые участвуют в обработке персональных данных (одной из причин является включение в обработку данных, относящихся к специальной категории, и биометрических данных, для которых требуются специализированные технологии);
- рост сложности архитектур ИС ПДн (многоуровневые архитектуры клиент-сервер);
- увеличение масштабов ИС ПДн (государственные, федеральные, ведомственные, отраслевые и др.);
- необходимость интеграции ИС ПДн различного масштаба при реализации деловых процессов (например, корпоративных и федеральных ИС, корпоративных и отраслевых ИС);
- повышение доли аутсорсинговых услуг в жизненном цикле ИС ПДн.
Вышеперечисленные факторы обуславливают необходимость стандартизации требований к мерам обеспечения безопасности персональных данных при их обработке в ИС ПДн.
Методологической основой стандарта является процессный подход [2; 3], на основе которого обработка персональных данных в ИС ПДн включает процессы проектирования, реализации, эксплуатации, обеспечения систем, обрабатывающих ПДн, т.е. все процессы, составляющие жизненный цикл информационной системы.
Нормативной базой для определения категорий персональных данных, обрабатываемых с использованием ИС ПДн, является ФЗ «О персональных данных» [4].
Цель исследования – определить модели взаимодействия участников обработки персональных данных в информационных системах персональных данных и специфику их реализации на практике.
Материалы и методы исследования
В соответствии с ГОСТ ISO/IEC 29100-2021 информация, относящаяся к персональным данным и обрабатываемая с помощью информационных систем, обладает рядом характерных ей свойств [1; 4]:
- анонимность (свойство информации, не позволяющее прямо или косвенно определить субъект ПДн);
- обезличенность (свойство информации, когда принадлежность ПДн конкретному субъекту ПДн невозможно определить без дополнительных сведений);
- идентифицируемость (свойство информации, обеспечивающее успешность прямой или косвенной идентификации субъекта ПДн).
Вышеперечисленные свойства персональных данных определяют процессы, которые требуется выполнять в ИС ПДн:
- обезличивание данных (набор действий, не позволяющих без дополнительных сведений определить принадлежность ПДн конкретному субъекту);
- маскирование данных (набор действий, затрудняющих понимание ПДн, посредством замены реальных данных фиктивными данными или произвольными символами);
- идентифицирование данных (действия, результатом которых является прямая или косвенная идентификация субъекта ПДн на основе имеющихся ПДн, включающая определение необходимого и достаточного набора свойств, которые могут отличать один субъект ПДн от другого на внутрисистемном описании субъекта, а также могут с достаточной надежностью дать возможность идентифицировать субъект);
- разрешение / запрет на обработку данных (фиксирование в ИС ПДн разрешения/запрета на действия с персональными данными и другой информацией, влияющей на обработку ПДн).
При обработке ПДн выделяют несколько категорий участников [1], таких как (рис. 1):
1) субъект ПДн (физическое лицо, чьи ПДн обрабатываются);
2) оператор ПДн («юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПДн» [1, с. 4]);
3) обработчик ПДн (юридическое или физическое лицо, осуществляющее обработку ПДн от имени и в соответствии с регламентами оператора обработки ПДн);
4) третья сторона (юридическое или физическое лицо, уполномоченное оператором или обработчиком ПДн обрабатывать ПДн или переходящее в статус самостоятельного оператора ПДн после получения запрашиваемых ПДн).
Рис. 1. Категории участников обработки персональных данных
Рис. 2. Структура ИС ПДн с учетом участников обработки персональных данных и их ролей
Участники обработки ПДн выполняют свои функции с использованием информационных систем (рис. 2):
- ИС оператора ПДн;
- ИС обработчика ПДн;
- ИС третьей стороны.
В соответствии с ГОСТ ISO/IEC 29100-2021 во всех информационных системах, участвующих в обработке персональных данных, необходимо применять соответствующие меры по обеспечению безопасности ПДн с целью предотвращения нерегламентированной обработки ПДн без потери функциональности самих систем.
Для обеспечения защиты персональных данных в каждой ИС ПДн должны быть определены следующие компоненты, связанные с обработкой ПДн [1]:
- участники (субъекты обработки ПДн), их роли, функции;
- модели взаимодействия между участниками обработки ПДн;
- методы и технологии распознавания ПДн;
- требования к мерам обеспечения безопасности ПДн;
- политики обеспечения безопасности ПДн;
- меры обеспечения безопасности ПДн.
Рассмотрим более подробно модели взаимодействия между участниками обработки ПДн. При исследовании применяется процессный подход [2; 3] и рекомендации стандартов, регламентирующих обеспечение защиты персональных данных в ИС ПДн [1; 4].
Результаты исследования и их обсуждение
Первоначально определим функции участников обработки ПДн в ИС ПДн, которые необходимо учитывать при формировании моделей их взаимодействия (табл. 1).
Модели взаимодействия участников обработки персональных данных (субъекта ПДн, оператора, обработчика, третьей стороны) в ИС ПДн представлены в таблице 2.
Таблица 1
Функции участников обработки ПДн
Участник обработки ПДн в ИС ПДн |
Функции |
Оператор ПДн |
- Определяет цель (зачем) и способы (как) обработки ПДн. - Определяет минимально необходимый набор ПДн для достижения цели обработки. - Выполняет контроль за соблюдением принципов защиты ПДн во время обработки ПДн. - Определяет необходимость / возможность привлечения нескольких операторов ПДн при наличии нескольких целей обработки ПДн. - Определяет необходимость / возможность привлечения нескольких операторов ПДн для обработки одинаковых наборов ПДн. - Определяет необходимость / возможность привлечения нескольких операторов ПДн для одинаковых операций, выполняемых с ПДн. - Определяет необходимость / возможность передачи выполнения всех или части операций по обработке ПДн другим лицам от своего имени. - Осуществляет правовой контроль при реализации обработки ПДн и за деятельностью обработчика ПДн |
Обработчик ПДн |
- Выполняет обработку ПДн от имени оператора ПДн. - Обеспечивает соблюдение установленных оператором ПДн требований по защите ПДн. - Реализует соответствующие меры обеспечения безопасности ПДн, согласованные с оператором ПДн |
Третья сторона |
- Получает ПДн для обработки от оператора или обработчика ПДн. - Становится самостоятельным оператором ПДн после получения запрашиваемых персональных данных. - Самостоятельно осуществляет правовой контроль при реализации обработки ПДн |
Таблица 2
Модели взаимодействия участников обработки ПДн в ИС ПДн
№ |
Модель взаимодействия |
Графическая модель |
Реализация |
1 |
Субъект ПДн → Оператор ПДн |
Подача запроса субъектом ПДн на оказание услуги оператору ПДн |
|
2 |
Оператор ПДн → Обработчик ПДн |
Передача ПДн оператором ПДн обработчику для выполнения определенных функций обработки ПДн на условиях соглашения об аутсорсинге |
|
3 |
Субъект ПДн → Обработчик ПДн |
Передача заявки субъектом ПДн на оказание услуги обработчику ПДн на условиях соглашения об аутсорсинге между оператором и обработчиком ПДн |
|
4 |
Оператор ПДн → Субъект ПДн |
Предоставление оператором ПДн результата обработки запроса субъекту ПДн (предоставление ПДн, относящихся к субъекту) |
|
5 |
Обработчик ПДн → Субъект ПДн |
Предоставление обработчиком ПДн результата выполнения обработки ПДн субъекту ПДн на условиях соглашения об аутсорсинге между оператором и обработчиком ПДн |
|
6 |
Обработчик ПДн → Оператор ПДн |
Предоставление обработчиком ПДн результата выполнения ИТ-сервиса оператору ПДн |
|
7 |
Оператор ПДн → Третья сторона |
Передача оператором ПДн персональных данных для обработки третьей стороне в соответствии с заключенным соглашением при реализации сквозного процесса |
|
8 |
Обработчик ПДн → Третья сторона |
Передача обработчиком ПДн персональных данных для обработки третьей стороне в соответствии с регламентом обработки ПДн, определенным оператором ПДн |
Рис. 3. Пример структуры ИС ПДн при реализации процесса «Подача электронного заявления абитуриентом»
Пример структуры ИС ПДн и выполняемых ролей участниками обработки персональных данных при реализации процесса «Подача электронного заявления абитуриентом» представлен на рисунке 3. Особенность процесса заключается в том, что если субъект ПДн подает заявление через единый портал государственных услуг (ЕПГУ), то в этом случае организация, сопровождающая ИС ЕПГУ, выполняет роль оператора ПДн, а вуз, сопровождающий АИС «Абитуриент», куда передаются ПДн абитуриента для дальнейшей обработки – третьей стороной. В случае когда субъект ПДн подает заявление через личный кабинет абитуриента, который является функциональным компонентом АИС «Абитуриент», роль оператора ПДн выполняет вуз.
Таким образом, разработка моделей взаимодействия участников обработки персональных данных при выполнении деловых процессов позволяет определить их роли, сформировать регламенты их взаимодействия, что особенно важно при реализации сквозных процессов [5] в корпоративных и межведомственных информационных системах.
Заключение
Использование рекомендаций стандарта ГОСТ ISO/IEC 29100-2021 для обеспечения безопасности ПДн в ИС ПДн позволит:
- улучшить меры защиты ПДн в ИС ПДн;
- стимулировать внедрение инновационных решений для обеспечения безопасности ПДн в ИС ПДн;
- унифицировать требования к мерам обеспечения безопасности ПДн в корпоративных и межведомственных информационных системах.