Как защитить персональные данные. Сообща выясняли представители бизнеса и госорганов

Проблема построения систем персональных данных (ПДн) в данный момент актуальна практически для всех организаций. Помимо того факта, что конфиденциальность такого рода сведений необходима в интересах бизнеса, важно, что с 1 января 2011 года все предприятия должны соответствовать государственным требованиям относительно защиты персональных данных. Регуляторами выполнения этих требований – ФСТЭК, ФСБ и Роскомнадзором – с этого момента будут проводиться плановые проверки. Деятельность организаций, не выполнивших государственных предписаний, будет приостановлена.

Генеральный директор «Альтирикс системс» Александр Кузьмин, отметив актуальность темы семинара, представил присутствующим свою компанию, одним из направлений деятельности которой является именно информационная безопасность. Специалисты проводят аудит на соответствие требованиям федеральным нормативным актам и международным стандартам по информационной безопасности, проводят тестирование существующих в организациях систем информационной безопасности, а также оказывают помощь в создании, обслуживании и поддержке этих систем. Кроме того, «Альтирикс системс» предоставляет услуги по управлению ИТ-инфраструктурой, внедряет решения по виртуализации и облачным вычислениям. Среди клиентов компании есть такие крупные представители бизнеса, как оператор связи МТС и др. Семинар по защите персональных данных компанией проводится впервые. Осенью 2010 года планируются мероприятия по виртуализации. По словам Александра Кузьмина, ситуация с информационной безопасностью в России и на Западе существенно различается. «Если на Западе мы работаем в основном с целью защиты интересов бизнеса – его непрерывности, доступности, то в нашей стране часто построение систем защиты в первую очередь направлено на соответствие требований государственных регуляторов. Такая национальная особенность», – заметил спикер.

Эксперт «Альтирикс системс» Михаил Тайнов очертил ряд задач, стоящих перед частными и государственными организациями в рамках исполнения нормативных требований, в том числе федерального закона «О персональных данных». Также в своем выступлении г-н Тайнов поделился практическим опытом создания систем защиты персональных данных на предприятии. Уточнив, что такое персональные данные, откуда они поступают на предприятие и что именно считается их обработкой, специалист еще раз подчеркнул актуальность их защиты с точки зрения бизнеса и с точки зрения требований законодательства. Перед операторами персональных данных, которыми являются все организации и лица, осуществляющие обработку ПДн и определяющие цели и содержание этой обработки, стоит задача, проанализировав свои бизнес-процессы, классифицировать персональные данные и информационную систему персональных данных (ИСПДн), сформировать актуальную модель угроз, подготовить ТЗ на систему защиты и др. Все эти предварительные внедрению системы работы предприятие может выполнить самостоятельно или привлечь соответствующих специалистов. Михаил Тайнов рассказал, как происходит уже непосредственное построение системы защиты, продемонстрировал некоторые нюансы конкретных реализованных «Альтирикс системс» проектов. Также г-н Тайнов назвал преимущества создания ИСПДн предприятия с привлечением специалистов «Альтирикс системс». Во-первых, каждая система безопасности создается с учетом индивидуальных потребностей бизнеса организации, во-вторых, работа выполняется в соответствии нормативной документации ФСТЭК и ФСБ. Кроме того, эксперт отметил тот факт, что «Альтирикс системс» осуществляет сопровождение компании в течение года после реализации проекта на случай ее проверки регулятором или изменения законодательства.

Обзор правовой базы по персональным данным представил участникам семинара Виктор Швед, до недавнего времени заместитель начальника управления ФСТЭК России по СЗФО. Виктор Швед отметил, что, разрабатывая систему защиты персональных данных, каждая организация должна опираться не на отдельные нормативные акты, а на весь комплекс законодательных документов, регулирующих эту сферу. Правовыми документами в данном случае является Конституция РФ, Федеральный закон «О персональных данных», требования нормативно-методических документов регуляторов, в том числе и приказ ФСТЭК от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», Федеральный закон «О связи» и др.

Решение проблемы недостаточной компетенции персонала большинства компаний для выполнения требований регуляторов по защите ПНд предложил ректор «Академии Информационных систем» Юрий Малинин. Академия предлагает профессиональные курсы повышения квалификации по информационной безопасности. По словам г-на Малинина, обучение сотрудников поможет компаниям своими силами выполнять требования регуляторов и не привлекать к этому сторонних специалистов.

Исполнительный директор «Альтирикс системс» Сергей Кубан выступил с докладом «Комплексный интегрированный подход к построению системы защиты персональных данных». Г-н Кубан рассказал о стандартах построения системы управления информационной безопасностью и СЗПДн, а также о современных технологических угрозах и проблемах при построении этих систем. Также спикер обозначил подход к выбору технических решений в этих вопросах, отметив продукты двух компаний-вендоров – IBM и «Код безопасности», представители которых также присутствовали на мероприятии.

 

«IBM мы предпочли изначально, потому что они представляют очень хорошие решения по информационной безопасности, многие из которых не имеют аналогов. Кроме того, сейчас мы имеем доступ к закрытой дистрибьюции не только их решений по информационной безопасности, но и по управлению ИТ-инфраструктурой и т. д. Компанию «Код безопасности» мы выбрали, поскольку ее разработки – хорошая альтернатива продуктам IBM; это российский вендор, и его решения дешевле. Кроме того, мы работаем и с другими производителями, которых выбирали исходя из индивидуальных требований заказчика. Некоторые наши клиенты ставили дополнительные цели, для достижения которых нам приходилось искать соответствующих вендоров, иногда малоизвестных в России», – уточнил генеральный директор «Альтирикс системс» Александр Кузьмин.

Региональный представитель по СЗФО компании «Код безопасности» Вадим Кропотов представил решения своей компании для построения систем защиты персональных данных, уточнив, что компания производит полную линейку таких продуктов. Условно вендор подразделяет свои продукты на категории защиты автоматизированных рабочих мест, периметра, сети и контроля информационной безопасности. Например, новый продукт для защиты АРМ – это программный комплекс Securiti Studio Suite, предоставляющий защиту от несанкционированного доступа и безопасный доступ в сеть.
Самое простое, но самое надежное средство безопасности, по словам Вадима Кропотова, это электронный замок «Соболь». Он полностью защищает автономный компьютер, рабочую станцию или сервер, входящий в состав локально-вычислительной сети. В своем выступлении г-н Кропотов представил и все остальные продукты вендора. Также эксперт обозначил точку зрения на некоторые актуальные проблемы сертификации. «Всех сейчас волнует, какие средства защиты применять – сертифицированные или несертифицированные. В принципе, государственные органы не требуют жесткой сертификации. Но, на мой взгляд, тем оператором, которые хотят реально защитить свои данные и не иметь проблем, лучше применять проверенные сертифицированные средства защиты. Мы для этого и работаем, и наши продукты действительно соответствуют всем требованиям. За прошлый год у нас было порядка 50 тысяч аттестованных информационных систем», – уточнил Вадим Кропотов.


Консультант по информационной безопасности IBM ISS Олег Летаев представил участникам семинара анализ существующих на сегодняшний день угроз безопасности, в частности, типовых вирусных атак и схем захвата корпоративных конфиденциальных данных. Также г-н Летаев представил свои продукты для обеспечения защиты. По словам специалиста, в первом квартале 2010 года произошло обновление аппаратной платформы решений IBM в области информационной безопасности. Характеристики производительности каждой модели повысились от 2 до 4 раз при прежней ценовой политике. Также специалист подробно рассказал о продуктах IBM и дальнейших планах компании в этой области.



По словам организаторов, несмотря на то, что участники семинара имели разную степень подготовки и осведомленности в проблеме информационной безопасности и защиты персональных данных, мероприятие прошло успешно.

Представителям некоторых компаний семинар помог определиться с вендорами, продуктами и интеграторами. «Мероприятие «Альтирикс системс» очень информационно насыщенное и, безусловно, актуальное, так как проблема на данный момент действительно важна. Особо хорошо, что здесь не только поднимается вопрос о системах защиты, но и предлагаются конкретные решения и конкретные продукты», – прокомментировал один из участников семинара, специалист НОУ ДПО «Санкт-Петербургская академия безопасности» Александр Цымбалов.