Защита персональных данных — «начинать нужно самим, с ревизии»

TechnoDrive продолжает серию публикаций, посвященных технической защите конфиденциальной информации. Напомним, что с 1 января 2010 года все организации должны надежно защитить персональные данные своих клиентов и сотрудников. Но с чего начать, — и какие именно данные относятся к персональным?.. Об этом в сегодняшнем выпуске рассказывают эксперты компании Softline — ведущего поставщика программных решений на российском рынке.

— Говоря о персональных данных, неизменно возникает вопрос, где пролегает граница конфиденциальности? Является ли персональной информацией адрес бесплатной почты kotenok128142@mail.ru, номер ICQ человека или его имя в блоге?

— Перечисленная вами информация действительно является персональной. Однако вопрос о минимальном наборе ПДн, достаточном для идентификации, остается открытым. Такой перечень действующим законодательством пока не установлен. Зато, по данным Роскомнадзора, более 100 федеральных законов устанавливают различные перечни запрашиваемых данных.

На наш взгляд, имеет смысл рассматривать ПДн в контексте установленных ФЗ-152 классов, — от критически важного К1 до «льготного» К4. В таком разрезе, упомянутый адрес kotenok128142@mail.ru бесплатной почтовой службы вполне соответствует классу К4, для которого не требуется дополнительных спецсредств. А вот с корпоративным «мэйлом» i.ivanov@companyABC.ru класс может быть и повышен.

Кроме того, часто наши респонденты подписываются в письмах с указанием ФИО, должности, телефона и других контактов. Да и в адресной книге почтового клиента «kotenok128142» наверняка будет сопоставлен более подробной подписи отправителя. Поэтому защита серверов все-равно необходима. Многие решения ведущих вендоров имеют соответствующие встроенные средства, — а значит пользователям легального, коммерческого ПО вряд ли стоит волноваться. С другой стороны, если вы используете альтернативные платформы Open Source стоит задуматься. Скорее всего, их приведение к необходимым нормам ляжет на плечи вашей компании.

— Но с чего все-таки стоит начать предприятию подготовку к защите данных?

— Прежде всего, необходимо провести ревизию имеющихся данных. На сегодняшний день предприятия имеют много лишней информации о клиентах и партнерах — почтовые адреса, возможно паспортные данные, сведения о членах семьи и так далее. Избавившись от избыточных данных, — а также используя где возможно обезличенные идентификаторы, — компании могут в реальности (это важно!) понизить свой класс до К4. И в этом случае можно обойтись без приобретения специальных аппаратных и программных средств.

Если же все данные нужны для бизнеса, необходимо по-возможности уменьшить число компьютеров, на которых осуществляется их обработка. Стоит рассмотреть целесообразность терминальных решений и «тонких клиентов». Ведь сертифицированная защита одного компьютера на уровне К3 обойдется компании до 70 000 рублей!..

Отдельное внимание стоит уделить и рабочим местам персонала. Желательно провести аудит установленного ПО и оповестить сотрудников под роспись о недопустимости установки дополнительных баз данных. Иначе, неосторожный коллега, установивший на рабочем компьютере сомнительную базу для личного пользования, может навредить компании при проверке очень сильно!..

— Итак, аудит проведен, лишние данные удалены. Что теперь?..

— После того, как первая стадия успешно завершена, нужно заполнить специальную анкету на 17 листах. Она позволит экспертам оценить реальный класс вашей системы и приступить к реализации проекта по ее защите (при необходимости). Данные работы, например, осуществляются московскими специалистами Softline, имеющими сертификаты ФСТЭК. Отметим, что лишь при наличии данного сертификата система технической защиты конфиденциальной информации может быть аттестована и допущена к использованию.

— А если предприятие относится к классу К4?..

— В этом случае можно ограничиться организационными распоряжениями внутри фирмы. Причем именно директор компании должен назначить ответственного за сохранность персональных данных, — и утвердить регламент работы с ними. В случае утечки информации данный документ позволит разделить ответственность между руководителем и соответствующим сотрудником. При его отсутствии вся вина будет лежать на директоре.

Кстати, класс компании (в том числе К4) должен быть подтвержден специалистами, — чтобы избежать возможных несоответствий при проверках.

— Вы упомянули проверки. Как часто они будут проводиться и какие предприятия затронут в первую очередь?

— Уже сегодня существует перечень юридических лиц, подлежащих обязательной проверке в 2010 году. В него входят 6 254 организации, данные о которых содержатся на 1 111 странице. Преимущественно это государственные предприятия, региональные подразделения Роскомнадзора, таможенные службы, больницы, крупные банки и страховые компании. И это без учета возможных инициаций внеплановых проверок!..

Таким образом, экспертам Роскомнадзора предстоит огромная работа. Думаю, что именно в ходе таких проверок будут изданы уточняющие и разъясняющие акты, которые позволят ростовским компаниям составить подробное представление о категориях персональных данных и способах их защиты.

Пока же малым и средним предприятиям необходимо заняться ревизией и «генеральной уборкой» в сфере ИТ. Ведь от эффективности таких процессов будут зависеть их будущие затраты в области защиты конфиденциальных данных. И, конечно, это предотвратит возможные потери.