Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
![]() |
Лилия ПАВЛОВА | 25 августа 2011 |
Зашита персданных: почем, зачем и как
Николай Антипов, технический специалист отдела защиты персональных данных Softline, уверен, что расходы на защиту персональных данных следует относить к разряду долгосрочных инвестиций. Своими соображениями на "горячую тему" этого лета эксперт поделился с обозревателем "ИКС".

- Проект по защите персональных данных (ПДн) состоит из нескольких этапов, как правило, последовательных:
1. Сбор и анализ сведений об информационной системе;
2. Проектирование системы защиты персональных данных и разработка комплекта организационно-распорядительных документов;
3. Закупка необходимых средств защиты информации (СЗИ), поскольку ряд требований невозможно выполнить организационными мерами;
4. Внедрение, настройка и итоговые испытания системы защиты персональных данных.
Как правило, цена первого этапа является фиксированной, а стоимость второго и третьего зависят от результатов первого.
- Расходы на защиту ПДн – это затраты для компании или все же инвестиции? Может ли компания расчитывать на получение какого-то возврата/прибыли от вложенных в защиту ПДн средств?
- При правильном планировании и организации деятельности по защите ПДн изначальные затраты переходят в разряд долгосрочных инвестиций. Почему это происходит? Приведу примеры, которые в дополнительных комментариях не нуждаются:
- взлом и хищение базы данных пользователей SonyPlaystation (около 100 млн. пользователей) – http://www.rb.ru/topstory/incidents/2011/04/27/144601.html;
- взлом базы данных Citigroup,в результате которого были похищены персональные данные порядка 200 000 держателей карт – http://www.digit.ru/it/20110609/382321226.html;
- утечка смс-сообщений сотового оператора «Мегафон» – http://lenta.ru/news/2011/07/18/megafail/.
- Кому выгоден ФЗ №152 «О персональных данных»? Государству? Субъектам персональных данных? Компаниям, их обрабатывающим?
- В первую очередь 152-ФЗ призван обеспечить «защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Следовательно, субъектам ПДн он выгоден. Равно как и государству, для которого 152-ФЗ и другие руководящие документы являются инструментом контроля сферы ПДн. Больше всего трудностей с выполнением 152-ФЗ возникло именно у операторов ПДн (компании, обрабатывающие ПДн), поскольку требования по защите предъявляются именно к ним. Ситуацию усугубляет также то, что некоторые положения 152-ФЗ до конца не проработаны и это осложняет их применение на практике. В настоящий момент ведется деятельность по внесению в закон изменений, призванных исправить ряд положений, и сделать 152-ФЗ более жизнеспособным.
- Что вы можете сказать о защите личных данных в социальных сетях и в сети Интернет в целом?
- Защита ПДн в сети Интернет как раз является одним из непроработанных вопросов 152-ФЗ: перед тем, как приступить к обработке ПДн субъекта, оператор должен получить его согласие на такую обработку (за исключением ряда случаев), причем согласие должно быть либо в письменной форме, либо в электронной форме, подписанное электронной подписью. В большинстве случаев получение согласия как в первой, так и во второй форме, не представляется возможным, а крестик или галочка при заполнении веб-формы не считается легитимным согласием. Это же относится и к социальным сетям: их деятельность противоречит требованиям 152-ФЗ. И это относится не только к получению согласия субъектов ПДн: требования по защите, установленные законодательством в сфере ПДн, также не выполняются.
- Одно из требований по защите ПДн - контроль за обеспечением уровня защищенности ПДн. Как производится такой контроль, разработана ли методика контроля и т.д.?
- Действительно, в Постановлении Правительства №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» одним из требований является «постоянный контроль за обеспечением уровня защиты персональных данных». При этом методика контроля не разработана. Подход компании Softline к его проведению выглядит следующим образом:
Формирование номенклатуры требований к системе защиты ПДн в соответствии с руководящими документами;
Актуализация модели угроз;
Проведение контроля соответствия обработки ПДн в информационной системе персональных данных сформированной номенклатуре требований и модели угроз.
Поскольку защита ПДн не заканчивается после реализации проекта и должна осуществляться на всех этапах жизненного цикла, контроль за обеспечением уровня защищенности позволяет своевременно детектировать угрозы безопасности ПДн и поддерживать требуемый уровень защиты.
Читайте также:
Цифровые ассистенты и прогнозные модели: ИТ-тренды в промышленности 2025 года
Облачные перспективы: трансформация рынка и ее влияние на российский бизнес
Обзор событий кибербезопасности. Последняя неделя ноября
Обзор событий кибербезопасности за неделю
Число инцидентов, связанных с утечками данных, с начала года выросло на 80%