Новость от 27.05.2024
Мария Фомина, куратор направления защиты данных, ITD Group, выступила на фестивале PHDays 2. Раскрыть тему «Privacy by design при проектировании информационных систем и выстраивании цикла SDLC» в треке «Архитектура ИБ» ей помог Вячеслав Борисов, лидер кластера продуктов для тестирования ПО, «T1».
Несмотря на то, что концепция Privacy by design (PBD) возникла еще в 1995 году, активно обсуждать её стали только сейчас. По мнению спикеров, повлияло на это 4 фактора: рост количества киберинцидентов и связанные с этим риски, увеличение объема персональных данных, развитие технологий и изменения в законодательстве.
Основное внимание спикеры сконцентрировали на проблеме утечки данных. Была приведена статистика, согласно которой каждая 2-я успешная атака в IV квартале 2023 заканчивалась утечкой конфиденциальной информации (pt), средняя сумма выкупа за расшифровку и нераспространение похищенных данных составила 53 млн рублей (F.A.C.C.T.), а рост числа скомпрометированных ПДн достиг 60% (ГК InfoWatch).
Таким образом, настал момент, когда следование принципам практической безопасности стало жизненной необходимостью. Лучший способ снизить риски, связанные с конфиденциальностью, — не создавать их.
К ключевым аспектам PBD спикеры отнесли следующие: превентивность, встраивание в SDLC, функциональность без ущерба для бизнеса и ключевых показателей ИС, а также доступность, прозрачность и безусловное уважение приватности пользовательских данных.
Среди конкретных методов были перечислены: ограничение сбора, использования и хранения личной информации – только то, что необходимо; преобразование информации в соответствии с целью дальнейшего использования; обеспечение доступа к информации только тем, кто в ней нуждается; оценка воздействия на конфиденциальность (PIA) и определение способов снижения этих рисков; предоставление пользователям возможности управлять своими настройками конфиденциальности.
В концепции PBD конфиденциальность данных достигается путем построения сложного процесса, который начинается и четко продумывается на этапе проектирования. Однако есть большие монолитные структуры, которые существуют давно, и не всегда на них можно наложить PBD. Тем не менее, реализация комплексного подхода к обеспечению конфиденциальности данных повышает уровень их защиты. Автоматизация ускоряет процессы, оптимизирует time-to-market, но не всегда снижает риск компрометации. В текущих реалиях исключать хотя бы периодический человеческий контроль за процессами и ИС нельзя.
Что можно сделать сейчас для безопасности данных в будущем?
Продумывайте архитектуру создаваемых ИС заранее с учетом требований о конфиденциальности данных, повышайте осведомленность пользователей ИС в сфере ИБ, проводите регулярную инвентаризацию данных в ИС, уделите особое внимание тому, как хранятся, куда и в каком виде передаются конфиденциальные данные.