Новости ТехноДрайв
Интерфейс мозг-компьютер в 2022 году: как сделать BCI самому?
Берёте смартфон с 4G? Симка YOTA в подарок!
Как отключить автоматические платные подписки?
Эксперты Банка России: биометрия — это удобство и добровольность
«Кванториум» даёт детям шанс получить отличную работу в будущем
Разработка под Android в Ростове: новые возможности от GDG
Сотовые операторы научились имитировать исходящие вызовы
Самый дешёвый мобильный Интернет в Ростове: выгодные тарифы 4G
Что лучше: Honor, Xiaomi или Huawei?
4G в Ростовской области: какой Интернет лучший?
Перенос номера: «уйти», чтобы остаться на лучших условиях?
Цифровое телевидение в смартфоне — без Интернета!
Локальная сеть дома: как настроить так, чтобы не взломали?
— Перечисленная вами информация действительно является персональной. Однако вопрос о минимальном наборе ПДн, достаточном для идентификации, остается открытым. Такой перечень действующим законодательством пока не установлен. Зато, по данным Роскомнадзора, более 100 федеральных законов устанавливают различные перечни запрашиваемых данных.
На наш взгляд, имеет смысл рассматривать ПДн в контексте установленных ФЗ-152 классов, — от критически важного К1 до «льготного» К4. В таком разрезе, упомянутый адрес kotenok128142@mail.ru бесплатной почтовой службы вполне соответствует классу К4, для которого не требуется дополнительных спецсредств. А вот с корпоративным «мэйлом» i.ivanov@companyABC.ru класс может быть и повышен.
Кроме того, часто наши респонденты подписываются в письмах с указанием ФИО, должности, телефона и других контактов. Да и в адресной книге почтового клиента «kotenok128142» наверняка будет сопоставлен более подробной подписи отправителя. Поэтому защита серверов все-равно необходима. Многие решения ведущих вендоров имеют соответствующие встроенные средства, — а значит пользователям легального, коммерческого ПО вряд ли стоит волноваться. С другой стороны, если вы используете альтернативные платформы Open Source стоит задуматься. Скорее всего, их приведение к необходимым нормам ляжет на плечи вашей компании.
— Прежде всего, необходимо провести ревизию имеющихся данных. На сегодняшний день предприятия имеют много лишней информации о клиентах и партнерах — почтовые адреса, возможно паспортные данные, сведения о членах семьи и так далее. Избавившись от избыточных данных, — а также используя где возможно обезличенные идентификаторы, — компании могут в реальности (это важно!) понизить свой класс до К4. И в этом случае можно обойтись без приобретения специальных аппаратных и программных средств.
Если же все данные нужны для бизнеса, необходимо по-возможности уменьшить число компьютеров, на которых осуществляется их обработка. Стоит рассмотреть целесообразность терминальных решений и «тонких клиентов». Ведь сертифицированная защита одного компьютера на уровне К3 обойдется компании до 70 000 рублей!..
Отдельное внимание стоит уделить и рабочим местам персонала. Желательно провести аудит установленного ПО и оповестить сотрудников под роспись о недопустимости установки дополнительных баз данных. Иначе, неосторожный коллега, установивший на рабочем компьютере сомнительную базу для личного пользования, может навредить компании при проверке очень сильно!..
— После того, как первая стадия успешно завершена, нужно заполнить специальную анкету на 17 листах. Она позволит экспертам оценить реальный класс вашей системы и приступить к реализации проекта по ее защите (при необходимости). Данные работы, например, осуществляются московскими специалистами Softline, имеющими сертификаты ФСТЭК. Отметим, что лишь при наличии данного сертификата система технической защиты конфиденциальной информации может быть аттестована и допущена к использованию.
— В этом случае можно ограничиться организационными распоряжениями внутри фирмы. Причем именно директор компании должен назначить ответственного за сохранность персональных данных, — и утвердить регламент работы с ними. В случае утечки информации данный документ позволит разделить ответственность между руководителем и соответствующим сотрудником. При его отсутствии вся вина будет лежать на директоре.
Кстати, класс компании (в том числе К4) должен быть подтвержден специалистами, — чтобы избежать возможных несоответствий при проверках.
— Уже сегодня существует перечень юридических лиц, подлежащих обязательной проверке в 2010 году. В него входят 6 254 организации, данные о которых содержатся на 1 111 странице. Преимущественно это государственные предприятия, региональные подразделения Роскомнадзора, таможенные службы, больницы, крупные банки и страховые компании. И это без учета возможных инициаций внеплановых проверок!..
Таким образом, экспертам Роскомнадзора предстоит огромная работа. Думаю, что именно в ходе таких проверок будут изданы уточняющие и разъясняющие акты, которые позволят ростовским компаниям составить подробное представление о категориях персональных данных и способах их защиты.
Пока же малым и средним предприятиям необходимо заняться ревизией и «генеральной уборкой» в сфере ИТ. Ведь от эффективности таких процессов будут зависеть их будущие затраты в области защиты конфиденциальных данных. И, конечно, это предотвратит возможные потери.
Полный список новостей «ТЕХНОДРАЙВ»
© 2001-2022 Борис Зубов, contact@technodrive.ru