Как обеспечить защиту персональных данных?

Руководитель направления ИБ ГК «Экстрим» Алексей Шевченко об обеспечении безопасности персональных данных

Руководитель направления ИБ ГК «Экстрим» Алексей Шевченко об обеспечении безопасности персональных данных

Вопросы по обработке, хранению, передаче и защите персональных данных сегодня активно обсуждаются мировым сообществом. Российские законодатели также не остаются в стороне. Появляются новые документы в сфере персональных данных, вносятся поправки в уже существующую правоприменительную практику, ужесточаются условия для операторов персональных данных и всех, кто, так или иначе, работает с ними. О том, какие требования нужно соблюдать при обеспечении безопасности персональных данных в организации, с чего начать защиту информационной системы персональных данных (ИСПДн) и какие средства для этого применять, рассказывает Алексей Шевченко, руководитель направления ИБ Группы компаний «Экстрим».

— Какие законы и нормативные документы на данный момент регулируют сферу защиты персональных данных (ПДн) и какие существуют требования по обеспечению их защиты?

— Ключевыми документами являются в первую очередь Федеральный закон 152-ФЗ «О персональных данных» и Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Далее документы регуляторов: ФСБ России (например, приказ № 378 о применении криптосредств), ФСТЭК России (приказ № 21 об организационных и технических мерах защиты, приказ № 17 о защите информации в государственных информационных системах), а также Минкомсвязи и Роскомнадзора (в части государственного контроля за соблюдением требований законодательства). К этому нужно добавить документы и стандарты, разработанные для отдельных отраслей: например, для государственных организаций — Постановление Правительства РФ № 211; для банков — стандарт СТО БР ИББС; для медицинских учреждений — Методические рекомендации Минздрава и т.п.

— Кто обязан соблюдать эти требования?

— В связи с тем, что наше законодательство трактует понятие «персональные данные» достаточно широко, то требования по защите ПДн распространяются практически на все организации, а также на индивидуальных предпринимателей, определяя всех их как операторов персональных данных.

— Как оператору персональных данных выполнить эти требования?

— Это непростой вопрос, так как для многих операторов требования кажутся завышенными, а единственным источником финансовых ресурсов для коммерческих организаций является прибыль, а для государственных организаций — бюджетные средства, поэтому в России сейчас получила широкое распространение практика «бумажной безопасности» для персональных данных.

С чего начать построение системы защиты для ИСПДн?

— Залог успеха в защите ПДн в четком следовании простой последовательности действий:

  • выполнение требований регуляторов по документальному обеспечению защиты;
  • реализация требуемых организационных мероприятий;
  • внедрение адекватных мер технической защиты.

Первые два шага практически бесплатны и позволяют обеспечить ту самую «бумажную безопасность», проверяемую Роскомнадзором. А вот третий шаг направлен на обеспечение реальной защиты ПДн и требует квалифицированного подхода.

— Применение технических средств защиты обеспечит полную конфиденциальность ПДн и убережет компанию от утечки ПДн? Какую угрозу несет утечка ПДн для оператора?

— Пока никому не удалось создать «непробиваемую» защиту, ведь всегда останется как минимум одно слабое звено — люди, которые могут, например, случайно уничтожить или же сознательно украсть данные в самой защищенной системе. В случае утечки оператор несет различные риски, определяемые характером деятельности и «утекшими» сведениями, например, репутационные, финансовые, административные и т.п. Поэтому целью защиты обычно является не полное предотвращение утечек, а минимизация рисков от актуальных угроз.

— Какие средства защиты применимы для защиты ПДн? Есть ли требования к этим решениям?

— Персональные данные защищают теми же решениями, которые используются для защиты современных ИТ-систем: антивирус, межсетевые экраны, сканеры защищенности, средства шифрования и т.п. Для защиты ИСПДн требуется применять сертифицированные по требованиям безопасности средства защиты. Наиболее полную линейку сертифицированных средств защиты предлагает компания «Код Безопасности». Продукты компании способны обеспечить защиту персональных данных в ИСПДн любого уровня защищенности.

— Можно ли ограничиться применением одного продукта или необходимо внедрять комплекс технических средств?

— Современную ИТ-систему практически невозможно защитить одним продуктом, так как в природе нет «серебряной пули», способной одновременно защитить операционную систему, приложения, базы данных и сеть. В лучшем случае это будет набор продуктов от одного производителя, что сделает более простым управление этим «комбайном». В худшем — «зоопарк» из нескольких решений с разными архитектурами и интерфейсами управления. «Прожиточный минимум» реального безопасника, по нашему опыту, включает антивирус, межсетевой экран и сканер уязвимостей в системах с не очень высокими требованиями по безопасности. С ростом требований перечень продуктов неизбежно расширяется, поэтому, повторюсь, нужно обладать знаниями и опытом, чтобы грамотно подобрать необходимые продукты и достичь адекватной защищенности за приемлемые деньги.

— Расскажите, из каких этапов состоит проект по обеспечению безопасности ПДн в компании? Сколько это занимает времени и что требуется?

— В первую очередь необходимо детально изучить объект, т.е. выехать на обследование. В процессе обследования складывается понимание состава информационной системы, ее уязвимых мест и потенциальных угроз. Далее формируется технический проект системы защиты, производятся поставка необходимых средств защиты, их внедрение, подготовка организационно-распорядительной документации, необходимой для выполнения всех требований контролирующих органов. Время реализации проекта зависит от размера компании-заказчика. На крупных объектах только проектирование системы защиты может занимать несколько месяцев. В небольших организациях создание типовой системы защиты информации происходит за несколько недель.

— Какие проекты по защите ИСПДн реализовала ваша компания и каковы результаты?

— ГК «Экстрим» успешно реализовала проекты по защите информации таких крупных операторов, как Правительство Свердловской области, Администрация Екатеринбурга и другие. Защиту ПДн в этих организациях в том числе обеспечивают сертифицированные средства защиты Secret Net и vGate, разработки «Кода Безопасности». ГК «Экстрим» также тесно работает со всеми муниципальными образованиями Свердловской области и практически каждое из них является заказчиком компании по линии защиты информации. Среди наших заказчиков есть и коммерческие организации. Проекты в таких компаниях в основном направлены на защиту критически важной информации, в том числе персональных данных, и минимизацию рисков, связанных с кражей, искажением, уничтожением информации, отказом в доступе и т.п.

 

 

 

 

 

 

Материалы по теме

Спасти ТЭК от санкций и криминала

«Варьеганнефть» готовится к пожароопасному периоду

ВИЗ-Сталь подвела итоги месячника по гражданской защите

Сотрудники «Варьеганнефть» повысили квалификацию в области экологической безопасности

ASV-сканирование –обязательное требование стандарта PCI DSS

Первый рейтинг безопасности городов будет создан в России