Rambler's Top100
Реклама
 
Статьи
Лилия ПАВЛОВА  25 августа 2011

Зашита персданных: почем, зачем и как

Николай Антипов, технический специалист отдела защиты персональных данных Softline, уверен, что расходы на защиту персональных данных следует относить к разряду долгосрочных инвестиций.  Своими соображениями на "горячую тему" этого лета эксперт поделился с обозревателем "ИКС".

 - Все операторы персональных данных обязаны иметь, как выражаются специалисты в области информационной безопасности, адекватные системы защиты.  Из чего в итоге складывается цена защиты персональных данных?

- Проект по защите персональных данных (ПДн) состоит из нескольких этапов, как правило, последовательных:

1.    Сбор и анализ сведений об информационной системе;

2.    Проектирование системы защиты персональных данных и разработка комплекта организационно-распорядительных документов;

3.    Закупка необходимых средств защиты информации (СЗИ), поскольку ряд требований невозможно выполнить организационными мерами;

4.    Внедрение, настройка и итоговые испытания системы защиты персональных данных.

Как правило, цена первого этапа является фиксированной, а стоимость второго и третьего зависят от результатов первого. 
- Расходы на защиту ПДн – это затраты для компании или все же инвестиции? Может ли компания расчитывать на получение какого-то возврата/прибыли  от вложенных в защиту ПДн средств?

- При правильном планировании и организации деятельности по защите ПДн изначальные затраты переходят в разряд долгосрочных инвестиций. Почему это происходит? Приведу примеры, которые в дополнительных комментариях не нуждаются:

-  взлом и хищение базы данных пользователей SonyPlaystation (около 100 млн. пользователей) – http://www.rb.ru/topstory/incidents/2011/04/27/144601.html;

- взлом базы данных Citigroup,в результате которого были похищены персональные данные порядка 200 000 держателей карт – http://www.digit.ru/it/20110609/382321226.html;

-  утечка смс-сообщений сотового оператора «Мегафон» – http://lenta.ru/news/2011/07/18/megafail/
- Кому выгоден ФЗ №152 «О персональных данных»? Государству? Субъектам персональных данных? Компаниям, их обрабатывающим?

- В первую очередь 152-ФЗ  призван обеспечить «защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Следовательно, субъектам ПДн он выгоден. Равно как и государству, для которого 152-ФЗ и другие руководящие документы являются инструментом контроля сферы ПДн. Больше всего трудностей с выполнением 152-ФЗ возникло именно у операторов ПДн (компании, обрабатывающие ПДн), поскольку требования по защите предъявляются именно к ним. Ситуацию усугубляет также то, что некоторые положения 152-ФЗ до конца не проработаны и это осложняет их применение на практике. В настоящий момент ведется деятельность по внесению в закон изменений, призванных исправить ряд положений, и сделать 152-ФЗ более жизнеспособным.
- Что вы можете сказать о защите личных данных в социальных сетях и в сети Интернет в целом?

- Защита ПДн в сети Интернет как раз является одним из непроработанных вопросов 152-ФЗ: перед тем, как приступить к обработке ПДн субъекта, оператор должен получить его согласие на такую обработку (за исключением ряда случаев), причем согласие должно быть либо в письменной форме, либо в электронной форме, подписанное электронной подписью. В большинстве случаев получение согласия как в первой, так и во второй форме, не представляется возможным, а крестик или галочка при заполнении веб-формы не считается легитимным согласием. Это же относится и к социальным сетям: их деятельность противоречит требованиям 152-ФЗ. И это относится не только к получению согласия субъектов ПДн: требования по защите, установленные законодательством в сфере ПДн, также не выполняются.
- Одно из требований по защите ПДн -  контроль за обеспечением уровня защищенности ПДн. Как производится такой контроль, разработана ли методика контроля и т.д.?

- Действительно, в Постановлении Правительства №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» одним из требований является «постоянный контроль за обеспечением уровня защиты персональных данных». При этом методика контроля не разработана. Подход компании Softline к его проведению выглядит следующим образом:

Формирование номенклатуры требований к системе защиты ПДн в соответствии с руководящими документами;

Актуализация модели угроз;

Проведение контроля соответствия обработки ПДн в информационной системе персональных данных сформированной номенклатуре требований и модели угроз.

Поскольку защита ПДн не заканчивается после реализации проекта и должна осуществляться на всех этапах жизненного цикла, контроль за обеспечением уровня защищенности позволяет своевременно детектировать угрозы безопасности ПДн и поддерживать требуемый уровень защиты. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!