На головную страницу TechnoDrive.ru  
ИТ-НОВОСТИ РОСТОВА
одна из 21392 страниц...

Защита персональных данных — «начинать нужно самим, с ревизии»

TechnoDrive продолжает серию публикаций, посвященных технической защите конфиденциальной информации. Напомним, что с 1 января 2010 года все организации должны надежно защитить персональные данные своих клиентов и сотрудников. Но с чего начать, — и какие именно данные относятся к персональным?.. Об этом в сегодняшнем выпуске рассказывают эксперты компании Softline — ведущего поставщика программных решений на российском рынке.

Реклама: строим надёжные локальные сети для бизнеса.

— Говоря о персональных данных, неизменно возникает вопрос, где пролегает граница конфиденциальности? Является ли персональной информацией адрес бесплатной почты kotenok128142@mail.ru, номер ICQ человека или его имя в блоге?

— Перечисленная вами информация действительно является персональной. Однако вопрос о минимальном наборе ПДн, достаточном для идентификации, остается открытым. Такой перечень действующим законодательством пока не установлен. Зато, по данным Роскомнадзора, более 100 федеральных законов устанавливают различные перечни запрашиваемых данных.

На наш взгляд, имеет смысл рассматривать ПДн в контексте установленных ФЗ-152 классов, — от критически важного К1 до «льготного» К4. В таком разрезе, упомянутый адрес kotenok128142@mail.ru бесплатной почтовой службы вполне соответствует классу К4, для которого не требуется дополнительных спецсредств. А вот с корпоративным «мэйлом» i.ivanov@companyABC.ru класс может быть и повышен.

Кроме того, часто наши респонденты подписываются в письмах с указанием ФИО, должности, телефона и других контактов. Да и в адресной книге почтового клиента «kotenok128142» наверняка будет сопоставлен более подробной подписи отправителя. Поэтому защита серверов все-равно необходима. Многие решения ведущих вендоров имеют соответствующие встроенные средства, — а значит пользователям легального, коммерческого ПО вряд ли стоит волноваться. С другой стороны, если вы используете альтернативные платформы Open Source стоит задуматься. Скорее всего, их приведение к необходимым нормам ляжет на плечи вашей компании.

— Но с чего все-таки стоит начать предприятию подготовку к защите данных?

— Прежде всего, необходимо провести ревизию имеющихся данных. На сегодняшний день предприятия имеют много лишней информации о клиентах и партнерах — почтовые адреса, возможно паспортные данные, сведения о членах семьи и так далее. Избавившись от избыточных данных, — а также используя где возможно обезличенные идентификаторы, — компании могут в реальности (это важно!) понизить свой класс до К4. И в этом случае можно обойтись без приобретения специальных аппаратных и программных средств.

Если же все данные нужны для бизнеса, необходимо по-возможности уменьшить число компьютеров, на которых осуществляется их обработка. Стоит рассмотреть целесообразность терминальных решений и «тонких клиентов». Ведь сертифицированная защита одного компьютера на уровне К3 обойдется компании до 70 000 рублей!..

Отдельное внимание стоит уделить и рабочим местам персонала. Желательно провести аудит установленного ПО и оповестить сотрудников под роспись о недопустимости установки дополнительных баз данных. Иначе, неосторожный коллега, установивший на рабочем компьютере сомнительную базу для личного пользования, может навредить компании при проверке очень сильно!..

— Итак, аудит проведен, лишние данные удалены. Что теперь?..

— После того, как первая стадия успешно завершена, нужно заполнить специальную анкету на 17 листах. Она позволит экспертам оценить реальный класс вашей системы и приступить к реализации проекта по ее защите (при необходимости). Данные работы, например, осуществляются московскими специалистами Softline, имеющими сертификаты ФСТЭК. Отметим, что лишь при наличии данного сертификата система технической защиты конфиденциальной информации может быть аттестована и допущена к использованию.

— А если предприятие относится к классу К4?..

— В этом случае можно ограничиться организационными распоряжениями внутри фирмы. Причем именно директор компании должен назначить ответственного за сохранность персональных данных, — и утвердить регламент работы с ними. В случае утечки информации данный документ позволит разделить ответственность между руководителем и соответствующим сотрудником. При его отсутствии вся вина будет лежать на директоре.

Кстати, класс компании (в том числе К4) должен быть подтвержден специалистами, — чтобы избежать возможных несоответствий при проверках.

— Вы упомянули проверки. Как часто они будут проводиться и какие предприятия затронут в первую очередь?

— Уже сегодня существует перечень юридических лиц, подлежащих обязательной проверке в 2010 году. В него входят 6 254 организации, данные о которых содержатся на 1 111 странице. Преимущественно это государственные предприятия, региональные подразделения Роскомнадзора, таможенные службы, больницы, крупные банки и страховые компании. И это без учета возможных инициаций внеплановых проверок!..

Таким образом, экспертам Роскомнадзора предстоит огромная работа. Думаю, что именно в ходе таких проверок будут изданы уточняющие и разъясняющие акты, которые позволят ростовским компаниям составить подробное представление о категориях персональных данных и способах их защиты.

Пока же малым и средним предприятиям необходимо заняться ревизией и «генеральной уборкой» в сфере ИТ. Ведь от эффективности таких процессов будут зависеть их будущие затраты в области защиты конфиденциальных данных. И, конечно, это предотвратит возможные потери.

— Спасибо!

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

Информационные системы: автоматизация

Надёжный российской ноутбук с российским процессором — и ОС!


Одной из ярких новинок международной выставки «Иннопром-2018» (9-12 июля, Екатеринбург) стал защищённый ноутбук ЕС1866 российского производства. Устройство, подготовленное к серийному выпуску, привлекло внимание экспертов не только впечатляющей выносливостью, но и использованием отечественных технологий. В частности, — вычислительного ядра на процессоре «Эльбрус 1С+» и российской ОС. Благодаря этому, создатель ноутбука, — холдинг «Росэлектроника», — позиционирует новинку как эффективное решение для силовых структур, промышленности, медицины, сельского хозяйства и десятков других отраслей, где на первое место выходит физическая надёжность и защищённость от многочисленных ИТ-угроз.
подробнее

Вебинар по промышленной ИТ-безопасности, который надо увидеть


Стремительное развитие индустриального «Интернета вещей» и участившиеся атаки хакеров на технологическое оборудование неизбежно приведут к созданию на каждом промышленном предприятии служб ИТ-безопасности. Такой прогноз делают эксперты команды Positive Technologies — и приглашают специалистов поскорее узнать о способах защиты корпоративной ИТ-инфраструктуры. Для этого 12 июля с 14:00 до 15:00 по московскому времени будет организован бесплатный вебинар «PT ISIM netView Sensor: простое решение сложных задач промышленной кибербезопасности». Принять участие сможет любой ИТ-специалист, заранее зарегистрировавшийся онлайн. И эту возможность, действительно, не стоит упускать!
подробнее

Российские эксперты первыми предложили международный стандарт промышленного «Интернета вещей»


Технический комитет «Кибер-физические системы», в состав которого входит компания «Ростелеком», завершил разработку проекта международного стандарта в области промышленного «Интернета вещей» (IIoT). Уже в этом месяце соответствующий документ от имени России будет направлен в адрес Международной организации по стандартизации ISO/IEC. Таким образом, российские эксперты первыми в мире предложили единые стандарты и протоколы для взаимодействия устройств на «умных производствах».
подробнее

Облачные сервисы «Ростелекома» вошли в тройку лидеров


Аналитическое агентство TMT Consulting опубликовало результаты исследования российского рынка публичных облачных услуг. В соответствии с ними, компания «Ростелеком» вошла в TOP3 поставщиков решений IaaS (инфраструктура как сервис), продемонстрировав стремительный рост. При этом эксперты прогнозируют дальнейший рост популярности облачных услуг «Ростелекома», что будет способствовать укреплению позиций компании на этом динамично развивающемся рынке.
подробнее

«Как нейтрализовать любую DDoS-атаку за 15 минут?»


Распределённые атаки «отказ в обслуживании» (DDoS) остаются серьёзной проблемой для российских компаний и организаций. По данным «Лаборатории Касперского», количество DDoS-атак на IT-инфраструктуру отечественных предприятий и государственных учреждений в 2017 году удвоилось. Эти воздействия наносят вред репутации, значительно снижают производительность онлайн-сервисов, — а также маскируют незаконное проникновение в корпоративную сеть, отвлекают от кражи конфиденциальной информации и финансов. Ущерб от таких кибератак может достигать десятков миллионов рублей. К счастью, теперь у российских компаний появилась новая возможность эффективно противостоять злоумышленникам, — благодаря новой услуге «Дом.ru Бизнес», интегрированной в «Личный кабинет» клиента. «С её помощью клиенты оператора могут отразить DDoS-атаку любой сложности за считанные минуты, обеспечив тем самым стабильную и быструю работу своих онлайн-сервисов».
подробнее
Ещё информация !!!  Информационные системы: автоматизация