• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Анонимизированные и обезличенные персональные данные: в чем отличие?

image_pdfimage_print
Новости

Анонимизированные и обезличенные персональные данные: в чем отличие?

Сен 5, 2025 #152-ФЗ, #анонимизация, #идентификация, #обезличивание, #персональные данные от GlobalTrust.ru
image_pdfimage_print

Термины «анонимность» и «обезличивание» близки по значению, из-за чего возникают сложности с определением прав и обязанностей относительно обрабатываемой информации.

Анонимизированные и обезличенные персональные данные отличаются степенью необратимости процесса. Выбор между этими понятиями зависит от целей обработки данных.

Идентификация и установление личности: В чем различие?

Для понимания различия между анонимизацией и обезличиванием персональных данных (понятиями, которые частно смешиваются), необходимо понимать различие между идентификацией и установлением личности.

Идентификация и установление личности отличаются тем, что идентификация — это процесс, в котором субъект (например, пользователь, устройство, сервис) сообщает системе, кем он является, что позволяет отличить его от других субъектов (не путать с аутентификацией – подтверждением подлинности), а установление личности — это задача, которая решается в разных правовых контекстах и включает в себя идентификацию, как необходимое условие.

Важно: результаты идентификации не являются самостоятельным решением задачи установления личности — они могут лишь использоваться при проведении оперативно-разыскных мероприятий, следственных и прочих действий для установления личности.

Такие сведения как паспортные данные, ИНН, СНИЛС или различные комбинации сведений: ФИО, телефон, email, домашний адрес и т.п. позволяют достаточно легко установить личность, поскольку регистрируются официальными государственными органами.

В то же время, имена и пользовательские идентификаторы в информационных системах, отдельно взятые email или связанные с пользователем наборы данных могут использоваться для его идентификации в конкретных информационных системах, но, при этом, не содержать сведений, позволяющих установить его личность, как субъекта права.

Анонимизированные данные

Анонимизированные данные — это данные, по которым невозможно установить личность ни напрямую, ни косвенно. Удалены все связи и идентификаторы, нарушена логика таблицы, исключены уникальные комбинации полей.

Особенности:

  • Данные выходят из-под действия закона о персональных данных.
  • Их можно использовать без ограничений — обучать на них ИИ, проводить аналитику, передавать на зарубежные серверы.
  • Однако достичь настоящей анонимизации сложно — даже порядок строк или сочетание полей может выступать в роли идентификатора.

Анонимизированные данные не являются персональными данными, так как они не могут быть связаны с конкретным человеком. 

Обезличенные данные

Обезличенные данные — это данные, в которых убраны прямые идентификаторы (ФИО, номер телефона и т. д.). По ним невозможно установить личность, но сохраняется возможность идентификации с помощью других связей — например, по ID, email-адресу или даже шаблону поведения в системе.

Согласно пункту 9 статьи 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Особенности:

  • Обработка таких данных после обезличивания продолжает регулироваться требованиями по защите персональных данных, поскольку теоретически сохраняется возможность деобезличивания.
  • Обезличенные данные могут использоваться для аналитических целей, исследований или других целей, не связанных с идентификацией конкретных лиц.

Пример: если в выгрузке нет имён, но есть должность, ID и история заказов — восстановить личность можно. 

В отличие от анонимизированных данных, обезличенные данные считаются разновидностью персональных данных, которые получены в результате обезличивания.

Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

С 1 сентября 2025 года персональные данные, превращённые в обезличенную форму, можно обрабатывать без получения согласия гражданина.

Законодательное определение анонимизированных данных

К сожалению, в российском законодательстве пока не определено понятие анонимизированных данных. Наши законодатели не учли роль анонимизации при разработке поправок об обезличивании. Однако это понятие есть в европейском регламенте GDPR (General Data Protection Regulation). 

При этом понятие «анонимизированные данные» распространено среди специалистов в сфере информационной безопасности и, например, описано в Национальном стандарте РФ ГОСТ Р ИСО 17432-2009. 

Выводы

Идентификация – это чисто техническая процедура, а установление личности – это уже правовое действие. Продемонстрируем это различие на конкретных примерах.

Персональные данные

Персональные данные позволяют связать сведения о конкретной личности и этой личностью. Пример персональных данных: user ID + ФИО + персональный email + организация + должность + сведения о заработной плате.

(Установить личность субъекта может как оператор, организующий обработку этих данных, так и другие стороны, например клиенты, партнеры, контролирующие органы, похитивший эти данные хакер и т.п.)

Обезличенные персональные данные

Обезличенные персональные данные позволяют идентифицировать субъекта, к которому они относятся, но не позволяют установить его личность, как субъекта права.

Пример: user ID + организация + должность + сведения о заработной плате.

(Установить личность субъекта может только оператор, обезличивший эти данные, ну либо еще правоохранительные органы в ходе удачно проведенных следственных мероприятий, но не наверняка).

Анонимизированные данные

Анонимизированные данные не являются персональными, поскольку не позволяют идентифицировать конкретного субъекта, к которому они относятся, т.е. они могут относится сразу к неопределенному кругу лиц.

Пример анонимизированных данных: организация + должность + сведения о заработной плате

(Даже оператор, анонимизировший эти данные не сможет идентифицировать кому они принадлежат и, тем более, установить личность этого человека).

Новости

Изменения в законодательстве о персональных данных, вступающие в силу с 1 сентября 2025 года

Сен 1, 2025 #152-ФЗ, #персональные данные от GlobalTrust.ru
image_pdfimage_print

С 1 сентября 2025 года жизнь операторов персональных данных еще усложнится, поскольку вступают в силу очередные изменения в законодательстве о персональных данных. Рассмотрим основные из них. В отличие от многочисленных публикаций на эту тему, мы сразу даем ссылки на соответствующие нормативно-правовые акты, устанавливающие новые требования к обработке персональных данных, и цитируем данные требования.

Обработка обезличенных данных

Обезличенные персональные данные можно использовать для исследований или технологий (например, для обучения ИИ) без предварительного согласия гражданина. Обезличивание должно быть выполнено так, чтобы исключить возможность прямой идентификации гражданина по этим данным.

Операторов персональных данных могут обязать предоставлять обезличенные сведения в государственную информационную систему (ГИС). Минцифры получило право направлять компаниям и ведомствам требования предоставить нужные данные в обезличенном виде для загрузки в федеральную ГИС.

С 1 сентября 2025 года обработка обезличенных данных без согласия гражданина регулируется следующими нормативно-правовыми актами (НПА):

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». В этот закон внесена статья 13.1, которая регулирует обращение с обезличенными данными. Закон определяет принципы обработки персональных данных, включая требование уничтожать или обезличивать данные по достижении целей обработки.
  • Федеральный закон от 08.08.2024 №233-ФЗ. Этот закон вводит новые правила обезличивания, уточняет механизм обезличивания, вводит понятие «состав обезличенных данных» и предусматривает создание государственной системы для обезличенных персональных данных.
  • Приказ Роскомнадзора от 19.06.2025 №140. Документ содержит требования к обезличиванию и методы обезличивания для всех случаев обработки персональных данных, кроме использования в Единой информационной платформе нацсистемы управления данными (ЕИП НСУД).
  • Постановление Правительства от 01.08.2025 №1154. Документ содержит требования и методы для ситуации, когда оператор обезличивает персональные данные по запросу Минцифры, то есть для ЕИП НСУД.

Оформление согласия на обработку персональных данных

Согласие должно оформляться в виде самостоятельного документа. Запрещено включать его в текст договоров, пользовательских соглашений или иных документов, подписываемых субъектом.

Федеральным законом от 24.06.2025 №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации» с 1 сентября 2025 года определено требование, что согласие на обработку персональных данных должно оформляться отдельным документом.

Согласно закону, часть 1 ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» дополняется нормой: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». 

Запрет передачи результатов работы с персональными данными иностранцам

Предоставление результатов обработки ПДн иностранным юрлицам, организациям, гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством.

Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 28.02.2025) «О персональных данных» устанавливает правила трансграничной передачи персональных данных, в том числе возможность запрета такой передачи.

С 23 октября 2024 года Постановление Правительства РФ от 14.10.2024 №1371 дополнило правила: теперь под запрет может попасть любая международная организация, а не только НКО. Это связано с изменениями, которые позволяют признавать нежелательными иностранные структуры, если их деятельность признана угрожающей интересам России.

С 1 марта 2023 года действует порядок принятия решений о запрете, установленный постановлениями правительства от 10.01.2023 №6 и от 16.01.2023 №24

Расширение контрольных полномочий ФСБ России

Закон от 24.06.2025 №156-ФЗ, который с 1 сентября 2025 года вносит изменения в ч. 1 ст. 9 закона от 27.07.2006 №152-ФЗ.

Согласно этому закону, ФСБ получит право контролировать соблюдение мер безопасности в области обработки персональных данных, в том числе в негосударственных и коммерческих информационных системах. Ранее ФСБ контролировала безопасность персональных данных в основном в госсекторе.

Новости

Приведите Ваш сайт в соответствие с требованиями в области персональных данных

Июн 12, 2025 #152-ФЗ, #аудит, #оценка соответствия, #персональные данные, #Роскомнадзор от GlobalTrust.ru
image_pdfimage_print

С 2025 года Роскомнадзор предъявляет ряд требований к сайтам, обрабатывающим персональные данные пользователей, несоблюдение которых, с недавних пор, может привести к миллионным штрафам и блокировке ресурса. Восстановление доступа к ресурсу требует значительных усилий и времени, что сказывается на всей деятельности компании.

Не претендуя на полноту изложения, перечислим некоторые из наиболее существенных требований, предъявлямых к сайтам, расскажем как можно самостоятельно и быстро оценить соответствие этим требованиями, и дадим рекомендации по обеспечению соответствия.

Значительное усиление ответственности за нарушения в области персональных данных

В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ. Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.

Организации, собирающие персональные данные через сайты, обязаны заранее уведомлять Роскомнадзор о начале такой деятельности. Кроме того, все изменения, касающиеся методов обработки данных или состава собираемой информации, также подлежат регистрации. За непредставление в Роскомнадзор уведомлений о начале обработки персональных данных предусмотрены штрафы для ИП и юридических лиц до 300 тысяч рублей (ч. 10 ст. 13.11 КоАП РФ).

Если персональные данные окажутся в открытом доступе из-за халатности компании, ей грозят серьёзные финансовые санкции. Повторные случаи могут повлечь за собой штраф до 3% от годового оборота. Штрафы за непредставление уведомления об утечке персональных данных для ИП и юридических лиц составляют до 3 млн. рублей (ч. 11 ст. 13.11 КоАП РФ).

Обязательность получения явного согласия посетителя сайта на обработку его персональных данных

Посетитель сайта должен чётко подтвердить свое согласие на обработку его персональных данных в соответствии со следующими основными принципами, определенными в 152-ФЗ О персональных данных:

  • Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
  • Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
  • Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
  • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Особенно это касается cookie-файлов, которые теперь признаны персональной информацией. Обработка cookie-файлов возможна только с согласия пользователя. Баннеры о cookies должны содержать не просто уведомление, а полноценный выбор — согласие или отказ.

Уведомление о файлах cookie должно содержать ссылку на политику cookie или на общую политику в отношении обработки персональных данных, где имеется раздел про файлы cookie. Это требование установлено требованиями Роскомнадзора, которые в 2025 году фиксируют отсутствие cookie-уведомлений как нарушение закона, особенно при наличии интеграций с Яндекс Метрикой, Google, Facebook (Meta Pixel).

В политике куки (или в политике конфиденциальности и обработки персональных данных) нужно описать, какие cookie-файлы и для каких целей используются на сайте. Ссылки на неё желательно разместить на каждой странице сайта и обязательно — на тех, где происходит сбор пользовательских данных.

Владелец сайта обязан:

  • Информировать пользователей о сборе данных через cookie-файлы, если они не являются критически важными для функционирования сайта (например, для аналитики или персонализированной рекламы).
  • Получить явное согласие пользователя на использование cookie, если они собирают персональные данные или могут передавать их третьим лицам.
  • Описать типы используемых cookie в уведомлении и политике, указать их назначение, срок хранения и другие аспекты.

Запрет на использование иностранных хостингов и сервисов, передающих данные за рубеж

С 1 июля 2025 годазапрещено хранить персональные данные граждан РФ в базах, находящихся за пределами России. Это требование установлено обновлёнными положениями пункта 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 года. Данный запрет, однако не носит абсолютного характера.

Любая информация, позволяющая идентифицировать пользователя, должна собираться и храниться на серверах, расположенных на территории Российской Федерации. Использование иностранных облачных хранилищ и аналитических сервисов, которые передают данные за рубеж, считается нарушением закона.

Некоторые нюансы нововведения:

  • Запрет касается первичного сбора данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение.
  • Запрещено использовать, например, сервисы Google Analytics и Google Tag Manager, так как их архитектура предполагает немедленную передачу данных за рубеж.
  • Передавать персональные данные за границу можно только после их локализации в РФ и обязательного уведомления Роскомнадзора.
  • Необходимо иметь законные основания для передачи данных и гарантировать их конфиденциальность.

Размещение сайта на иностранных серверах или облаках приравнивается к трансграничной передаче персональных данных.

С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Указанное уведомление будет рассматриваться в порядке, установленном постановлением Правительства Российской Федерации от 16.01.2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Обязательность опубликования на сайте Политики обработки персональных данных

На всех интернет-ресурсах должна быть размещена подробная Политика обработки персональных данных (Политика конфиденциальности), где чётко прописано, какие данные собираются, для чего они используются, как обрабатываются и где хранятся. Её отсутствие или несоответствие законодательству будет расцениваться как правонарушение. За отсутствие опубликованной политики обработки персональных данных предусмотрены штрафы для юридических лиц до 60 тысяч рублей (ч. 3 ст. 13.11 КоАП РФ).

Роскомнадзор рекомендует включить в Политику следующие структурные компоненты:

  1. Общие положения. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
  2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Правовые основания обработки персональных данных. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
  6. Условия передачи персональных данных в адрес третьих лиц. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
  7. Сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
  8. Условия прекращения обработки персональных данных. Ими может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
  9. Условия и сроки хранения персональных данных. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
  10. Регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Оценка соответствия сайта требованиям Роскомнадзора

С 2025 года Роскомнадзор усиливает и автоматизирует контроль за сайтами, в том числе и с использованием ИИ инструментов.

Для оценки соответствия Вашего сайта требованиям и рекомендациям Роскомнадзора можно воспользоваться общедоступным сервисом PersDataSec.ru, предоставляемым компанией GlobalTrust.

Там всего за 5 минут можно пройти опрос под названием Самооценка соответствия интернет-сайта требованиям по обработке персональных данных, позволяющий оценить степень соответствия и получить подробные рекомендации по доработке сайта и его содержимого, с учетом требований и рекомендаций Роскомнадзора, не все из которых явным образом прописаны в нормативных документах, однако применяются на практике при проверках сайтов.

Приведение сайта в соответствие с требованиями Роскомнадзора

Для приведения сайта в соответствие с требованиями Роскомнадзора нужно произвести следующие действия:

  1. Провести аудит текущего состояния сайта. Нужно проверить, соблюдает ли сайт требования законодательства: наличие Политики обработки персональных данных в лёгком доступе для ознакомления, корректное использование согласий пользователей, локализацию хранения данных.
  2. Разработать и актуализировать документацию. Необходимо создать или обновить ключевые документы: Политику обработки персональных данных с полным описанием методов сбора и обработки информации, формы согласия пользователей на обработку данных.
  3. Обеспечить техническую безопасность. Нужно установить SSL-сертификаты для защиты передачи данных, внедрить системы мониторинга безопасности для предотвращения взломов и утечек, регулярно обновлять CMS и плагины сайта.
  4. Обучить сотрудников. Персонал должен знать, как собирать, хранить и обрабатывать информацию в соответствии с законом и что может спросить Роскомнадзор при проверке.
  5. Разработать план действий на случай проверки. Нужно подготовить алгоритм взаимодействия с представителями Роскомнадзора: назначить ответственного за взаимодействие с проверяющими, собрать комплект документов, которые могут потребовать инспекторы.

Для профессионального аудита сайта и максимального снижения риска стоит обратиться к специалистам

Новости

Политика использования открытого программного обеспечения

Апр 26, 2025 #open source, #открытое ПО, #политики безопасности от GlobalTrust.ru
image_pdfimage_print

GlobalTrust продолжает публиковать основные положения организационно-распорядительных документов по обеспечению информационной безопасности, чтобы помочь организациям глубже разобораться и выстроить собственную политику в данной области.

Целью настоящей Политики является определение основных принципов, положений и требований, направленных на обеспечение безопасного использования в Обществе открытого ПО, а также проприетарного ПО, в состав которого входят отдельные компоненты открытого ПО.

Открытое ПО – это программное обеспечение, у которого исходный код доступен всем. На это ПО распространяется специальная свободная лицензия, позволяющая посмотреть, как сделана программа, найти уязвимости и написать что-то совместимое или похожее, или взять какой-нибудь алгоритм и сделать что-то на его основе, или найти недочёт и предложить улучшение.

Риски использования открытого ПО

Использование в Обществе открытого ПО сопряжено со следующими дополнительными рисками:

  • Повышенная вероятность заражения вредоносным ПО. Злоумышленники могут внедрять вредоносные изменения в открытый код. Это может привести к краже конфиденциальной информации, финансовым или репутационным потерям.
  • Задержки с обновлениями. Открытое ПО требует регулярного обновления, так как его уязвимости быстро становятся известными злоумышленникам. Однако обновления ПО могут привести к нестабильности работы приложений или проблемам с совместимостью.
  • Ошибки конфигурации. Открытые системы, такие как базы данных, веб-серверы и контейнерные платформы, требуют грамотной настройки. В случае, если администраторы забывают отключить дефолтные учётные записи, устанавливают слабые пароли или оставляют критически важные сервисы доступными из интернета, это создаёт благоприятные условия для атак.
  • Зависимость от сторонних разработчиков. К разработке отрытого ПО нередко привлекают фрилансеров или небольшие аутсорс-команды, у которых уровень компетенции в вопросах безопасности может существенно различаться. Это увеличивает вероятность использования уязвимого или даже намеренно вредоносного кода.
  • Вероятность изменения условий лицензии. Это влечёт за собой риск нарушения авторских прав и ограничения использования собственной программы на основе открытого кода.

Чтобы снизить риски, связанные с использованием открытого ПО, в Обществе должны тщательно проверяться продукты перед началом их использования, использоваться специальные инструменты для проверки надёжности библиотек, от которых зависит продукт, и быть создан чёткий план действий на случай возникновения проблем с безопасностью.

Нормативные ссылки

Настоящая Политика разработана на основе следующих нормативных документов Общества:

  • Политика информационной безопасности
  • Политика установки обновлений ПО
  • Политика контроля защищенности корпоративной сети
  • Политика обеспечения безопасности при разработке ПО
  • Политика управления информационными рисками
  • Политика инвентаризации информационных активов

Основные положения

Бесконтрольная установка открытого ПО в корпоративной сети сотрудниками Общества не допускается. Контроль установки и обновления открытого ПО осуществляется сотрудниками ОИТ, после анализа данного ПО и принятия соответствующих мер для снижения рисков, сопряженных с его использованием.

Учет используемого в Обществе открытого ПО осуществляется в реестре ПО, формируемого в соответствии с Политикой инвентаризации информационных активов.

Оценка рисков использования открытого ПО осуществляется в соответствии с Политикой управления информационными рисками.

Для снижения рисков использования открытого ПО, в Обществе должны применяться следующие меры:

  • Изучение ПО при выборе. Нужно обратить внимание на репутацию продукта, его историю, узнать о возможных происшествиях, связанных с безопасностью. Также стоит оценить частоту обновлений и активность сообщества. Особое внимание нужно уделить лицензии, под которой распространяется продукт.
  • Проверка надёжности библиотек, от которых зависит продукт. Для поиска вредоносных изменений в программных продуктах могут применяться различные анализаторы программных кодов, статические (SAST) и динамические (DAST).
  • Сканирование приложений на известные уязвимости и оперативное применение доступных исправлений безопасности (патчей, программных коррекций).
  • Оценка зрелости проекта и вероятности его развития/поддержки перед интеграцией в бизнес-процессы и в свой код. Стоит обратить внимание на число разработчиков, сопровождающих проект, и на частоту релизов.
  • Формирование списка приемлемых для организации стандартных лицензий (совместно с юридическим отделом), а также их совместимости с предназначением ПО в организации. ПО с несовместимыми лицензиями или вообще без лицензии нужно выводить из использования.
  • Проверка исходного кода пакетов перед использованием. Разработчики должны проверять исходный код пакетов перед использованием, уделяя внимания таким странным характеристикам, как наличие зашифрованных фрагментов в коде, перехват несвойственных функций и так далее.
  • Проверка цифровых подписей пакетов (при наличии).
  • Использование кода только от официальных поставщиков. Выбирая код от такого провайдера, можно получить техническую поддержку, что снижает риски безопасности.
  • Выстраивать процесс взаимодействия между специалистами СИБ и разработчиками ПО.

Принципы защитного кодирования

Процесс управления жизненным циклом открытого ПО должен соответствовать Политике обеспечения безопасности при разработке ПО.

При выборе открытого ПО для использования в Обществе должна приниматься во внимание степень применения разработчиками данного ПО принципов защитного кодирования.

Принципы защитного кодирования, применяемые для выявления и устранения ошибок и уязвимостей в разрабатываемом ПО, включают в себя следующее:

  • Приоритезация безопасности. Концепция заключается в том, чтобы приоритезировать безопасность на протяжении всего жизненного цикла разработки программного обеспечения. Это помогает обнаруживать и устранять недостатки на ранних стадиях, минимизируя вероятность игнорирования вопросов безопасности из-за сжатых сроков выполнения задач.
  • Проверка входных данных и кодирование выходных данных. Важно проверять все пользовательские вводы и кодировать выходные данные для предотвращения серьёзных уязвимостей.
  • Обработка ошибок и журналирование. Правильная обработка ошибок и ведение журналов является важным аспектом безопасного кодирования. Необходимо избегать раскрытия чувствительной информации в сообщениях об ошибках, которые могут быть видны пользователям.
  • Внедрение элементов управления идентификацией и аутентификацией. Чтобы повысить безопасность и свести к минимуму риск взлома, рекомендуется проверять личность пользователя с самого начала и интегрировать надёжные элементы управления аутентификацией в код приложения.
  • Контроль доступа. Включение хорошо продуманной стратегии авторизации на начальных этапах разработки приложения может значительно повысить общую безопасность.
  • Ведение журнала и обнаружение вторжений. Рекомендуется включить систему мониторинга, которая может обнаруживать и идентифицировать необычные события.
  • Регулярная оценка и пересмотр состояния безопасности. Важно регулярно оценивать и пересматривать состояние безопасности программного обеспечения на протяжении всего жизненного цикла разработки, обеспечивая непрерывное улучшение и корректировку по мере необходимости.

Условия лицензирования открытого ПО

При принятии решения об использовании открытого ПО, сотрудники ОИТ должны проанализировать и зафиксировать в реестре ПО условия его лицензирования, включая субкомпоненты и зависимости.

К используемому в Обществе открытому ПО предъявляются следующие требования по его лицензированию:

  • Доступ к исходным текстам. ПО должно предоставляться с исходными текстами, либо должен быть описан простой механизм получения доступа к ним, например, через интернет.
  • Возможность переработки. Должна быть разрешена модификация ПО, его исходных текстов, их использование в других программах и распространение производных программ на таких же условиях.
  • Отсутствие зависимости от иного ПО. Права, связанные с ПО, не должны зависеть от того, входит ли оно в состав какого-либо иного ПО или распространяется совместно с ним.
  • Отсутствие ограничений на иное ПО. Лицензия не должна накладывать ограничения на иное ПО, распространяемое вместе с лицензируемым ПО.
  • Технологическая нейтральность. Возможность реализации прав пользователя не должна зависеть от какой-либо технологии или стиля интерфейса.

Требования к качеству и обеспечению безопасности открытого ПО

При использовании Обществом открытого ПО предъявляются следующие требования к обеспечению его безопасности:

  • Регулярное тестирование и анализ безопасности. Частота проведения таких мероприятий может варьироваться в зависимости от размера проекта, его популярности и уровня риска.
  • Защита среды и сетевого сегмента, где используется открытое ПО. Это снизит вероятность взлома или использования уязвимостей в открытом ПО при атаке.
  • Применение принципа минимальных привилегий. Принцип ограничения доступа и разграничения прав пользователей помогает предотвратить распространение уязвимостей и потенциальных атак внутри системы.
  • Обучение разработчиков практикам безопасности. Это помогает им понять, как писать безопасный код, выявлять уязвимости и принимать меры безопасности на протяжении всего жизненного цикла разработки программного обеспечения.
  • Учёт регуляторных и лицензионных рисков. Каждое приложение и пакет, несмотря на открытый исходный код, имеет свою лицензию на использование. Риски реализуются, если лицензия оказывается несовместима с использованием приложения по предназначению.
  • Регулярное обновление. Компоненты с открытым исходным кодом, которые не обновляются регулярно, могут сделать программное обеспечение уязвимым к известным уязвимостям.
  • Мониторинг зависимостей. Необходимо регулярно отслеживать и проверять дерево зависимостей ПО, чтобы выявлять и устранять слабые звенья.
  • Использование специальных инструментов для управления зависимостями. Такие инструменты автоматически отслеживают обновления библиотек и зависимостей, проверяя их на наличие известных уязвимостей.
  • Использование специальных инструментов анализа состава ПО (SCA), которые помогают отслеживать компоненты открытого ПО в составе приложения, что существенно с точки зрения безопасности их применения.
  • Использование сканеров безопасности, которые сканируют ПО на наличие уязвимостей, вредоносного кода и устаревших компонентов.
  • Создание чёткого плана действий на случай возникновения проблем с безопасностью.

Анализ уязвимостей открытого ПО, применение сканеров безопасности и других специальных инструментов анализ ПО осуществляется в соответствии с Политикой контроля защищенности корпоративной сети.

Регулярное обновление открытого ПО, тестирование и установка программных коррекций (патчей) и исправлений безопасности осуществляется в соответствии с Политикой установки обновлений ПО.

Полную версию Политики использования открытого ПО можно найти в составе Универсального комполекта типовых документов по информационной безопасности GTS 1035.

Новости

Как получить сертификат ISO 27001

Фев 4, 2025 #ISO 27001, #сертификация от GlobalTrust.ru
image_pdfimage_print

В настоящей статье мы рассмотрим основные моменты, связанные с получением организацией сертификата ISO 27001, чтобы помочь широкой аудитории сориентироваться в данном вопросе.

ISO/IEC 27001международный стандарт системы менеджмента информационной безопасности. Он устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Также стандарт содержит требования по оценке и обработке рисков информационной безопасности с учётом потребностей организации. Стандарт носит универсальный характер. Он может применяться практически к любому типу организации, вне зависимости от формы собственности, рода деятельности, размера и внешних условий.

Действующая редакция стандарта ISO 27001

В октябре 2022 года была опубликована 3-я редакция международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Система менеджмента информационной безопасности — Требования». В Российской Федерации в настоящее время действует национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», который идентичен 2-й (предыдущей) редакции международного стандарта ISO/IEC 27001:2013.

Для российских организаций, работающих на внутренний рынок, приоритет имеет сертификация систем менеджмента информационной безопасности (СМИБ) по требованиям национального стандарта, поэтому далее под сертификацией по ISO 27001 подразумевается сертификация на соответствие российскому аналогу ISO 27001 – национальному стандарту РФ ГОСТ Р ИСО/МЭК 27001-2021. Однако следует учитывать, что сертификаты ГОСТ Р ИСО/МЭК 27001-2021 скорее всего не будут признаваться за пределами РФ.

Для чего нужен сертификат ISO 27001

Сертификат ISO 27001 на практике вряд ли может в полной мере гарантировать реальную безопасность организации, однако он подтверждает соответствие внедрённой в организации СМИБ требованиям стандарта. Соответствие стандарту также подтверждает, что организация внедрила систему управления рисками информационной безопасности, и что в этой системе соблюдены все лучшие практики и принципы, закреплённые в стандарте. Это необходимо для обеспечения надёжной защиты данных и снижения рисков, связанных с их утечкой или несанкционированным доступом.

Получая сертификат ISO 27001 организации обычно ставят перед собой слеющие цели:

  • Повышение доверия клиентов и партнёров. Сертификат демонстрирует приверженность компании высоким стандартам информационной безопасности.
  • Возможность участия в тендерах на приоритетных условиях.
  • Снижение рисков и затрат, связанных с инцидентами информационной безопасности.
  • Удовлетворение требований законодательства и нормативных актов (например, законодательства о лицензировании деятельности в области защиты информации).
  • Улучшение репутации и конкурентоспособности компании.
  • Получение возможности работать с государственными организациями (например, по направлению защиты государственной тайны).
  • Выполнение требований некоммерческих партнёрств и СРО.
  • Содействие в получении различных разрешений и допусков.
  • Выход на международный рынок (при условии прохождения сертификации ISO 27001 в международно признанной системе сертификации).

Когда обязательно получать сертификат ISO 27001

В большинстве случаев получение сертификата ISO 27001 является добровольным. Однако в некоторых случаях он может быть обязательным условием для осуществления определенных видов деятельности (и перечень таких видов деятельности имеет тенденцию к постоянному раширению), например:

  • Для экспорта программного продукта. Наличие сертификата ISO 27001 — непременное условие при поставках ПО в другие страны.
  • Для участия в государственных закупках и тендерах. Особенно часто это требование встречается, если заказчик — государственная организация. Однако и частные компании все чаще включают требование к наличию сертификата ISO 27001 в тендерную документацию.
  • Для получения доступа к определённым уровням секретности. Например, если организация сотрудничает с государственными органами и ей нужен доступ к определённым уровням секретности.

Также в некоторых случаях клиенты могут требовать наличия сертификата ISO 27001 от своих поставщиков и подрядчиков как подтверждения соответствия международному стандарту.

Как подготовится к сертификации по ISO 27001

Не вдаваясь в подробности, перечислим основные шаги, необходимые для подготовки к сертификации по ISO 27001:

  1. Определить область действия СМИБ, выносимую на сертификацию. Для этого надо выбрать бизнес-процессы или услуги являющиеся ключевыми для бизнеса компании.
  2. Определить круг лиц (из числа работников организации и третьих сторон), задействованных в обеспечении выполнения выбранных бизнес-процессов или предоставлении услуг.
  3. Оценить ресурсы, которые могут понадобиться для реализации проекта по внедрению ISO 27001, включая человеческие ресурсы (например, компетенции), материальные (чёткий бюджетный план), временные (учесть ожидания заинтересованных сторон по срокам получения сертификата).
  4. Определиться, будет ли компания внедрять стандарт самостоятельно или с привлечением сторонних специалистов консультантов (интеграторов).
  5. Выбрать аккредитованный орган по сертификации и отправить ему запрос на предоставление калькуляции соответствующих услуг.
  6. При выборе самостоятельной подготовки следует пройти обучающие курсы по внедрению стандарта. Их на регулярной основе проводят как органы по сертификации, так и различные учебные центры по направлению ИБ.
  7. Разработать организационно-распорядительную документацию, отражающую процессы и процедуры управления информационной безопасностью. Это могут быть политики, положения, процедуры, регламенты, инструкции, формы отчетности и другие документы, необходимые для эффективного функционирования СМИБ.
  8. Провести обучение сотрудников по вопросам информационной безопасности и требований стандарта ISO 27001 в контексте разработанной документации СМИБ. Чем лучше сотрудники понимают свою роль в обеспечении безопасности информации, тем более эффективно будет функционировать СМИБ.
  9. Провести предварительную проверку (аудит) со стороны независимых экспертов или аудиторов для выявления возможных недочётов и корректировки СМИБ.

Для более подробной консультации по подготовке к сертификации рекомендуется обратиться к специалистам. Например, GlobalTrust была одной из первых российских компаний, начавших предоставлять услуги по внедрению СМИБ и подготовки к сертификации по ISO 27001, а также одним из первых партнеров в России Британского института стандартов (BSI), являющегося основным разработчиком международного стандарта ISO 27001.

Подробнее о внедрении и сертификации СМИБ можно почитать на сайте GlobalTrust, а также в разделе статей Менеджмент безопасности и рисков на портале InfoSecPortal.ru.

Как выбрать орган по сертификации

В настоящие время в России имеется достаточно большое количество органов по сертификации, выдающих сертификаты ISO 27001. Однако следует позаботиться, чтобы полученный организацией сертификат имел официальный статус. Для этого, при выборе органа по сертификации ISO 27001 стоит обратить внимание на наличие государственной аккредитации в Федеральной службе по аккредитации (ФСА). Также важно, чтобы орган проводил процедуру сертификационного аудита в системе сертификации, зарегистрированной в Росстандарте.

Процедура получения сертификата ISO 27001

Процедура сертификации ISO 27001 регламентируется системой сертификации и зарегистрированными в ней органами по сертификации. Как правило, для получения сертификата ISO 27001 необходимо пройти несколько этапов:

  1. Предварительная консультация. На этом этапе можно получить бесплатную консультацию в органе по сертификации.
  2. Заполнение заявки на сертификацию и ее отправка в орган по сертификации.
  3. Подготовка необходимой документации. Список документов орган по сертификации огласит на этапе консультации.
  4. Подписание договора и оплата за сертификацию.
  5. Процесс сертификации. Может включать в себя предварительных аудит и несколько этапов основного сертификационного аудита, в зависимости от выбранной схемы сертификации.
  6. Внесение сертификата в реестр системы сертификации (в случае принятия положительного решения по результатам сертификационного аудита).
  7. Выдача сертификата ISO 27001 заказчику.

Вместо заключения

Желаем успешного прохождения сертификационного аудита и получения сертификата ISO 27001! Он Вам понадобится и ни один раз.