Защита персональных данных – с ней, как на фронте

В январе наступающего года в российских компаниях и организациях начнут шириться проверки систем безопасности хранения данных на соответствие закону № 152-ФЗ. Пожалуй, основная идея прошедшего семинара заключалась в том, что как бы то ни было, но каждой организации необходимо провести комплекс посильных мероприятий, чтобы хотя отчасти соответствовать требованиям нового закона. А затем предпринятые меры развивать дальше.

Специалисты LETA IT-company разъяснили, какие требования к средствам защиты ПДн предъявляет закон №152-ФЗ. Оператор в процессах сбора, обработки, передачи и хранения персональных данных должен применять специализированное программное и аппаратное обеспечение. Средства защиты ПДн должны обладать сертификатами ФСТЭК или ФСБ – актуальная информация об этих средствах имеется на официальных сайтах этих ведомств.

В соответствии с руководящими документами регуляторов  для некоторых классов информационных систем, обрабатывающих ПДн, необходимо внедрить систему защиты, состоящую из десяти подсистем. В частности, это подсистемы антивирусной защиты; защиты от несанкционированного доступа; анализа защищенности и выявления уязвимостей; криптографической защиты информации; маршрутизации, коммуникации и межсетевого экранирования; обнаружения вторжений. Если компания оперирует ПДн, относимых к первому классу секретности, ей предстоит внедрить еще ряд специализированных «подсистем защиты информации от утечек по техническим каналам».

Но прежде всего, по словам эксперта по построению и развитию корпоративных сетей передачи данных, CCVP, CCDP Алексея Янкевского,  необходимо провести в компаниях аудит, чтобы выявить какими данными оперирует компания и какими средствами обеспечивается их безопасность и целостность.

Собственно воплощение проекта по созданию системы безопасности, независимо от того, будет ли он воплощаться собственными силами компании или с помощью партнера, должно начинаться с определения ситуаций, когда требуется проводить сбор, хранение, передачу или обработку персональных данных. Далее следует выделить бизнес-процессы, связанные с такими ситуациями, провести их анализ, определить подразделения и сотрудников компании, участвующих в обработке ПДн.

Алексей Янкевский подчеркнул, что на стадии категорирования персональных данных полезно выработать предложения по снижению категорий обрабатываемых ПДн. Чем ниже категория, тем проще их защищать, и легче проходить проверки регулирующих органов. После определения категории нужно сформировать модель угроз и подготовить задание по созданию требуемой системы защиты. Далее проводится уточнение классов информационных систем и подготовка рекомендаций по использованию технических средств защиты персональных данных.

В Роскомнадзор подается уведомление о деятельности в качестве оператора персональных данных, а во ФСТЭК – заявка на  получение экземпляров руководящих документов по  организации системы защиты.

На семинаре также обсуждались вопросы, не связанные с персональными данными. Так, один из докладов был посвящен организации информационной системы товарно-материальными ресурсами предприятия. 

Андрей Козырь, эксперт по построению и развитию корпоративных сетей передачи данных, CCVP, CCDP посоветовал использовать централизованный доступ к информации, которую можно хранить на сервере. Таким образом, защищать нужно будет сервер и каналы передачи данных, что дешевле, по сравнению с защитой распределенной базы данных. Еще один плюс централизованной базы данных – легкое подключение филиалов к необходимой им информации. Однако, нельзя забывать о необходимости создавать резервный ЦОД и дублировать каналы связи. Это делает хранение БД более дорогим, но помогает избежать риска потери данных при катастрофах или отказах каналов связи.

Для контроля перемещения ТМЦ можно использовать технологию RFID, штрих-кодирование, разрушающиеся этикетки со штрих-кодом и ряд других. Безопасность хранения на складе при использовании таких средств может повыситься примерно на 20%.

Однако, если вернуться к теме безопасности, то по данным ассоциации AFCOM, сегодня около 40% ЦОДов не готовы отражать хакерские атаки, даже если они не отличаются особой изощренностью. 61% опрошенных сообщили, что считаю кибер-терроризм реальной угрозой своему бизнесу, причем лишь треть операторов заявили, что имеют средства, необходимые для восстановления данных после атак.

На семинаре также обсуждались проблемы противостояния методам конкурентной разведки и способы противодействия рейдерству.