Защита ПДн

Проанализировав опыт иностранных государств в области защиты информации, в частности, персональных данных (ПДн), видна ощутимая разница подходов по сравнению с Россией:

  • граждане переживают (а порой даже испытывают страх) при передаче своих персональных данных в какую-либо организацию;
  • защита персональных данных не строится по принципу удовлетворения руководящих предписаний регулятора в области защиты информации;
  • руководство организации со всей ответственностью и пониманием подходит к вопросу закупки и развертывания средств защиты информации (СЗИ), к обучению и повышению квалификации сотрудников, анализу и предотвращению угроз и рисков информационной безопасности.

У нас же дело обстоит с точностью да наоборот...

В нашей стране закон о персональных данных (Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных») является обузой как для компаний, так и для ее сотрудников, клиентов. Организации вынуждены самостоятельно или с помощью привлечения аутсорсинга защищать персональные данные, учить персонал работать с ними в соответствии с руководящими документами, заставлять клиента ставить бесконечные подписи на бланках о том, что они согласны с передачей, хранением и обработкой их ПДн. В результате возникает целая кипа проблем и требований, которые необходимо решать / соблюдать.

Если говорить о системе защиты персональных данных, то любой проект в данной сфере выполняется по следующему сценарию:

  1. Обследование.
  2. Разработка организационно-распорядительной документации (ОРД).
  3. Разработка подсистем защиты.
  4. Внедрение.

Данные этапы часто подлежат декомпозиции, однако особое внимание заслуживает этап под номером 2 — «Разработка ОРД».

Вы на стороне сотрудника

Проект по защите информации, особенно, если он делается «с нуля», предполагает под собой разработку огромного количества документов, которые регламентируют порядок работы с этой самой информацией. К этому количеству можно приплюсовать типовые формы согласия субъектов, доп. соглашений с контрагентами, внесение правок в типовые договоры и т.д. Тут-то и вступает в ход традиционно-русский подход: документы распечатываются и лежат на полке / в шкафу, ожидая очередной плановой проверки со стороны регулятора.

При этом сотрудники организации не понимают, для чего им нужны все эти инструкции, при ознакомлении с которыми текст читается между строк, а подпись ставится автоматически (все равно за соблюдением никто не следит). Меж тем задача по защите ПДн в организации считается выполненной.

Вы на стороне клиента

Подавляющее большинство не знает об упомянутом законе о защите ПДн, не задумывается, когда передает свои персональные данные третьим лицам в целях получения каких-либо услуг. Сюда можно отнести такие вещи, плотно вошедшие в наш повседневный обиход, как заказ в интернет-магазине, вызов такси, оформление скидочных карт и т.д.

Однако постепенно (наряду с заметно участившимися новостями о свершившихся утечках, халатности служб безопасности) люди все-таки начинают задумываться: «Моя почтовая переписка попала в индекс Яндекса», «Мои ФИО и номер мобильного телефона можно найти на первой странице Гугла», «Кто-то ни с того ни с сего узнал данные моей кредитной карточки»... Все это говорит о следующем:

  • отсутствие заинтересованности субъекта: как хранятся мои ПДн, в каких целях и кем обрабатываются;
  • принцип «не защищают — авось пронесет»;
  • автоматическая подпись напротив согласия о передаче / хранении / обработке персональных данных;
  • паника и всеобщее негодование в следствие утечки.

В результате весь комплекс разработанной организационно-распорядительной документации по защите информации попросту не работает. Ответственный — специалист по информационной безопасности, однако в малых и средних компаниях такая должность фигурирует крайне редко. Таким образом, виноватым оказывается кто угодно: оператор ЭВМ, системный администратор , руководитель направления, генеральный директор...

Техническая сторона

Если говорить о технической стороне реализации требований по защите информации, то тут все гораздо сложнее.

В малых организациях вся инфраструктура построена в основном на ОС семейства Windows, присутствует 1-2 сервера для организации работы 1С и файлового хранилища. Средства защиты информации внедряются быстро и без особых проблем совместимости.

По результатам внедрения инициируется процесс обучения персонала работе со средствами защиты ПДн. Если не брать во внимание механизм идентификации / аутентификации (парольная защита), задача превращается в невыполнимую: сотрудники крайне негативно воспринимают нововведения в должностные обязанности, не осознают важности и необходимости непрерывного проведения мероприятий по защите информации.

В результате СЗИ установлены и настроены, но никто ими не пользуется, сотрудники поставленных задач не выполняют, штатная единица по обслуживанию средств защиты в организации не выделена. Задачи по защите информации от несанкционированного доступа, изменения провалены.

В средних организациях, как правило, уже сформирован IT-департамент или присутствует постоянный системный администратор. В исключительных случаях мы можем говорить о специалисте по информационной безопасности. Инфраструктура настроена и адаптирована под имеющиеся задачи и отраслевую специфику компании.

Проблемы начинаются при внедрении СЗИ, валидных с точки зрения регулятора, — происходит перестройка имеющейся инфраструктуры. В общем случае информационные системы персональных данных выделяются в отдельный сегмент и защищаются отдельно, чтобы не влиять на общую архитектуру и отрегулированные бизнес-процессы компании.

Как и в случае малых организаций, сотрудники противятся вносимым в их порядок работы изменениям, выполнение организационных мер по защите уходит на второй план. Контроль по выполнению разработанных требований возлагается на IT-подразделение.

В итоге получается, что СЗИ установлены, настроены и с большинстве случаев успешно администрируются, основная работа сотрудников организации усложняется необходимостью использования СЗИ, информационная система персональных данных не рушит имеющуюся инфраструктуру, так как была выделена в отдельный сегмент. В заключении — организационные и технические меры успешно внедрены, сотрудники обучены, персональные данные НЕ защищаются.

В больших организациях все намного интереснее: IT-департамент, служба безопасности, распределенная информационная система, средства виртуализации, большое количество корпоративных сервисов и т.д. Используются криптографические средства защиты, архитектура СЗИ опирается на отраслевые решения и сборники лучших практик. Речь идет о сертифицированных автоматизированных системах сбора, хранения и обработки конфиденциальной информации, организационная и техническая часть выполнены на высшем уровне, назначены ответственные лица, проведено обучение персонала, процесс защиты непрерывен и подвергается систематическим плановым проверкам и испытаниям.

В результате СЗИ установлены, настроены и администрируются, основная работа сотрудника организации усложняется необходимостью использования СЗИ, информационные системы персональных данных не рушат имеющуюся инфраструктуру, организационные и технические меры выполнены согласно разработанным инструкциям и регламентам. К сожалению, лишь в случае больших организаций нам приходится говорить об организованной системе защите конфиденциальной информации.

Заключение

Защита персональных данных сегодня представляет собой востребованное и высококвалифицированное направление, требующее специальной подготовки и понимания глобальных принципов на всех уровнях функционирования и управления организацией. С учетом российских реалий, в случае малого и среднего бизнеса задача превращается в бесполезное расходование денежных средств. Из этого ни в коем случае не следует, что защищать ПДн не обязательно — считается необходимым пересматривать подход к противостоянию информационным угрозам, прививать общую культуру при обращении с конфиденциальной информацией сотрудниками организации.

Русский
8 (800) 350-81-96