Як забезпечити захист персональних даних?
Питання по обробці, зберіганню, передачі і захисту персональних даних сьогодні активно обговорюються світовою спільнотою. Російські законодавці також не залишаються осторонь. З'являються нові документи в сфері персональних даних, вносяться поправки в уже існуючу правозастосовчу практику, посилюються умови для операторів персональних даних і всіх, хто, так або інакше, працює з ними. Про те, які вимоги потрібно дотримуватися при забезпеченні безпеки персональних даних в організації, з чого почати захист інформаційної системи персональних даних (ІСПДн) і які кошти для цього застосовувати, розповідає Олексій Шевченко, керівник напрямку ІБ Групи компаній «Екстрім».
- Які закони і нормативні документи на даний момент регулюють сферу захисту персональних даних (ПДН) і які існують вимоги щодо забезпечення їх захисту?
- Ключовими документами є в першу чергу Федеральний закон 152-ФЗ «Про персональних даних» та Постанова Уряду РФ № 1119 «Про затвердження вимог до захисту персональних даних під час їх обробки в інформаційних системах персональних даних». Далі документи регуляторів: ФСБ Росії (наприклад, наказ № 378 про застосування кріптосредств), ФСТЕК Росії (наказ № 21 про організаційні та технічні заходи захисту, наказ № 17 про захист інформації в державних інформаційних системах), а також Мінкомзв'язку і Роскомнадзора (в частині державного контролю за дотриманням вимог законодавства). До цього потрібно додати документи і стандарти, розроблені для окремих галузей: наприклад, для державних організацій - Постанова Уряду РФ № 211; для банків - стандарт СТО БР Іббсе; для медичних установ - Методичні рекомендації МОЗ і т.п.
- Хто зобов'язаний дотримуватися цих вимог?
- У зв'язку з тим, що наше законодавство трактує поняття «персональні дані» досить широко, то вимоги щодо захисту ПДН поширюються практично на всі організації, а також на індивідуальних підприємців, визначаючи всіх їх як операторів персональних даних.
- Як оператору персональних даних виконати ці вимоги?
- Це непросте питання, так як для багатьох операторів вимоги здаються завищеними, а єдиним джерелом фінансових ресурсів для комерційних організацій є прибуток, а для державних організацій - бюджетні кошти, тому в Росії зараз набула широкого поширення практика «паперової безпеки» для персональних даних.
-З чого почати побудову системи захисту для ІСПДн?
- Запорука успіху в захисті ПДН в чіткому дотриманні простий послідовності дій:
- виконання вимог регуляторів з документального забезпечення захисту;
- реалізація необхідних організаційних заходів;
- впровадження адекватних заходів технічного захисту.
Перші два кроки практично безкоштовні і дозволяють забезпечити ту саму «паперову безпеку», перевіряється Роскомнадзором. А ось третій крок спрямований на забезпечення реального захисту ПДН і вимагає кваліфікованого підходу.
- Застосування технічних засобів захисту забезпечить повну конфіденційність ПДН і вбереже компанію від витоку ПДН? Яку загрозу несе витік ПДН для оператора?
- Поки нікому не вдалося створити «непробивну» захист, адже завжди залишиться як мінімум одна слабка ланка - люди, які можуть, наприклад, випадково знищити або ж свідомо вкрасти дані в найзахищенішою системі. У разі витоку оператор несе різні ризики, які визначаються характером діяльності і «витекли» відомостями, наприклад, репутаційні, фінансові, адміністративні тощо Тому метою захисту зазвичай є не повне запобігання витокам, а мінімізація ризиків від актуальних загроз.
- Які засоби захисту застосовні для захисту ПДН? Чи є вимоги до цих рішень?
- Персональні дані захищають тими ж рішеннями, які використовуються для захисту сучасних ІТ-систем: антивірус, міжмережеві екрани, сканери захищеності, засоби шифрування і т.п. Для захисту ІСПДн потрібно застосовувати сертифіковані за вимогами безпеки засоби захисту. Найбільш повну лінійку сертифікованих засобів захисту пропонує компанія «Код Безпеки». Продукти компанії здатні забезпечити захист персональних даних в ІСПДн будь-якого рівня захищеності.
- Чи можна обмежитися застосуванням одного продукту або необхідно впроваджувати комплекс технічних засобів?
- Сучасну ІТ-систему практично неможливо захистити одним продуктом, так як в природі немає «срібної кулі», здатної одночасно захистити операційну систему, додатки, бази даних і мережа. У кращому випадку це буде набір продуктів від одного виробника, що зробить більш простим управління цим «комбайном». У гіршому - «зоопарк» з декількох рішень з різними архітектурами та інтерфейсами управління. «Прожитковий мінімум» реального безпечники, за нашим досвідом, включає антивірус, міжмережевий екран і сканер вразливостей в системах з не дуже високими вимогами щодо безпеки. З ростом вимог перелік продуктів неминуче розширюється, тому, повторюся, потрібно володіти знаннями і досвідом, щоб грамотно підібрати необхідні продукти і досягти адекватної захищеності за прийнятні гроші.
- В першу чергу необхідно детально вивчити об'єкт, тобто виїхати на обстеження. В процесі обстеження складається розуміння складу інформаційної системи, її вразливих місць і потенційних загроз. Далі формується технічний проект системи захисту, виробляються постачання необхідних засобів захисту, їх впровадження, підготовка організаційно-розпорядчої документації, необхідної для виконання всіх вимог контролюючих органів. Час реалізації проекту залежить від розміру компанії-замовника. На великих об'єктах тільки проектування системи захисту може займати кілька місяців. У невеликих організаціях створення типової системи захисту інформації відбувається за кілька тижнів.
- Які проекти по захисту ІСПДн реалізувала ваша компанія і які результати?
