以前,只有大型组织才能负担得起用于存储和分析大数据的严肃基础架构。 如今,大数据正在广泛的领域中找到越来越多的应用程序。 同时,大数据的发展不仅带来了机遇,而且带来了许多困难。 当今的组织越来越多地使用机器学习和认知技术,这些技术通常可以更好地利用大数据。 同样,在这一领域也存在着它们自己的,相对新技术固有的对信息安全的威胁。
2013年左右,
云安全联盟 (CSA)分析了大数据技术的基本安全问题。 CSA是一个非营利组织,旨在促进最佳实践的使用,以确保“云计算”的安全性,并提高所有相关方对此主题的认识。 根据分析,他们确定了10个主要的:
- 分布式编程结构中的安全计算
- 非关系型数据仓库的安全建议
- 安全的数据存储和交易日志
- 验证/过滤端点输入
- 实时安全监控
- 可扩展的复合数据挖掘和分析
- 加密增强的数据安全性
- 粒度访问控制
- 细化审核
- 数据预测
之后又添加了3个新问题:
- 建模:规范涵盖大多数网络攻击或数据泄漏场景的威胁模型
- 分析:基于威胁模型寻找可接受的解决方案
- 实施:在现有基础架构中实施解决方案
如果有人感兴趣,可以
在链接上获得报告的完整版本。
2016年,CSA在“大数据安全和隐私手册”的标题下发布:《大数据安全和隐私手册》。 该材料可在工作组的目录中找到,以供
参考 。
报告指出,信息安全漏洞取决于大数据的各种来源和格式,数据收集的流性质以及在分布式云基础架构之间传输数据的需求。 另外,大量的此类数据有助于增加攻击面。
2年过去了,2018年10月17日,这一消息出现在MegaFon官方网站上,称“大数据市场参与者协会”在俄罗斯成立。 MegaFon,Mail.Ru集团,oneFactor,Tinkoff银行,Yandex和Sberbank建立了大数据市场参与者协会。 MegaFon的运营总监Anna Serebryanikova当选为该组织的总裁。
引用Megafon的新闻稿:
协会成员将为大数据的处理,存储,传输和使用制定共同的原则和标准。 联合开发将成为参与该协会的每家公司大数据政策的基础。 该组织的优先任务是制定面向业务的战略,以开发大数据市场,提高行业参与者之间的互动的技术和运营效率,并制定道德准则以保护用户的利益。
我脑海中浮现出著名的视频“七红线”的情节:
“我们公司制定了一项新的战略计划,以扩大市场渗透率,最大化品牌忠诚度并增加无形资产。 为了实现这些目标……我们开始了一个新项目。”大约在同一时间,2018年10月23日,新的《联邦法》草案出现在立法支持系统的网站上。 通过此
链接,您可以熟悉为该项目提交的整个文档包。
我们将简要介绍随附的文件和《联邦法》本身。 首先,我将引用一个解释性注释:
“每天,由于使用了各种社交网络,服务,设备和其他信息技术,用户在互联网上留下了大量关于自己的匿名信息,通常称为“大用户数据”。 作为自动处理的结果,这些信息使您可以确定单个用户特征,这些特征随后将由大型用户数据操作员用于其自身目的或由他们免费或收费地转让给其他有关方。 但是,此类数据不是个人数据。
俄罗斯联邦大型用户数据管理领域的法律真空剥夺了个人(用户)应有的法律保护和支持。”
从那里:
根据《俄罗斯联邦总统令,2018年5月7日第204号,关于俄罗斯联邦直到2024年的发展的国家目标和战略任务》,俄罗斯联邦政府与俄罗斯联邦组成实体的国家当局一起,除其他事项外,被指示确保创建可持续发展的国家。所有组织和家庭均可使用的安全信息和电信基础设施,用于高速传输,处理和存储大量数据; 建立主要用于国内发展的,用于数据的传输,处理和存储的全球竞争基础设施; “基于国内在数据传输,处理和存储方面的发展而来的信息安全,可确保保护个人,企业和国家的利益。”
该法律草案本身在2006年7月27日第149-号联邦法律“关于信息,信息技术和信息保护”中提出,以定义以下概念:
- 大用户数据
- “大用户数据运营商”,
- “处理大型用户数据。”
还建议建立对大型用户数据的处理(收集,传输和以其他方式处理大型用户数据的过程)的状态调节功能。 而且,大型用户数据的操作员有责任。
由米哈伊尔·罗曼诺夫(Mikhail Romanov)领导的杜马州代表小组
建议 ,通过大用户数据来理解有关个人及其行为的全部信息,这些信息不包含个人数据,但使您无需使用其他信息和处理即可识别特定的人。 明确地说,我们正在谈论从各种来源(包括Internet)收集的信息,Internet的数量超过了1000个网络地址。
应该建立一条规则,根据该规则,用户将不得不通过在运营商网站上发布带有相应信息消息的大型用户数据(如果没有相应信息),以另一种可访问的方式来通知有关此类处理的信息。 法律可能会引入一项条款,禁止处理旨在识别特定个人的大用户数据。 但是,按计划,应从事业务搜索活动的联邦执行机构的要求,处理此类数据将不适用。
Roskomnadzor悬吊了对信息消息及其形式的要求,以及“按传统方式”维护大数据运营商的记录。 显而易见的类推如下:“操作员”,“用户数据”,“通知” ...
对个人数据的保护对我们来说还远远不够,现在我们开始根据法律保护大用户数据(BPD)。 突然被人们遗忘的GOST项目
“使用云技术的信息保护”可能很快就会被淘汰
。 一般规定。”根据法规法规对俄罗斯的个人数据处理进行更详细的研究将有助于我们的研究: