Cum se asigură protecția datelor cu caracter personal?
Întrebări privind prelucrarea, stocarea, transmiterea și protecția datelor cu caracter personal se discută în mod activ de către comunitatea internațională. De asemenea, parlamentarii ruși nu stau la o parte. Există documente noi în domeniul datelor cu caracter personal, de modificare a practicilor de aplicare a legii existente, condiții mai stricte pentru operatorii de date cu caracter personal și a tuturor celor care, într-un fel sau altul, de lucru cu ei. Despre ce trebuie respectate cerințele în asigurarea securității datelor cu caracter personal în organizație, pentru a începe proteja sistemul de informații personale de date (PDIuri) și ce înseamnă să se aplice, spune Alexei Shevchenko, șef al grupului de securitate a informațiilor de companii „Extreme“.
- Ce legi și reglementări reglementează în prezent protecția datelor cu caracter personal (PDN) și care sunt cerințele pentru a asigura protecția acestora?
- Documentele cheie sunt în primul rând Legea federală 152-FZ „Cu privire Date personale“ și Rezoluția Guvernului RF № 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal la prelucrarea acestora în sistemele informaționale de date cu caracter personal.“ documente de reglementare suplimentare: FSB-ul Rusiei (de exemplu, numărul de ordine 378 privind aplicarea kriptosredstv) FSTEC Rusia (numărul de ordine 21 privind măsurile organizatorice și tehnice de protecție, numărul de ordine 17 în ceea ce privește protecția informațiilor în sistemele informaționale de stat), precum și Ministerul Comunicațiilor și Roskomnadzor (în ceea ce privește controlul statului asupra respectării cerințelor legislației). La aceasta trebuie să adăugăm documentele și standardele elaborate pentru industriile individuale, de exemplu, pentru organizațiile de stat - Hotărârea Guvernului Federației Ruse № 211; pentru bănci - standard STB BR IBBS; pentru instituțiile medicale - recomandările metodice ale Ministerului Sănătății, etc.
- Cine este obligat să respecte aceste cerințe?
- Datorită faptului că legislația noastră se ocupă cu conceptul de „date cu caracter personal“ destul de larg, pentru protecția cerințelor PD se aplică în aproape toate organizațiile, precum și întreprinzătorilor individuali, definind-le ca toți operatorii de date cu caracter personal.
- Cum îndeplinește aceste cerințe operatorul de date cu caracter personal?
- Aceasta este o întrebare dificilă, deoarece mulți operatori, cerințele par să fie prea mare, iar singura sursă de resurse financiare pentru organizațiile comerciale este de profit, cât și pentru agențiile guvernamentale - fonduri bugetare, astfel încât Rusia este acum practică pe scară largă a „hârtie de securitate“ pentru datele cu caracter personal.
-De ce începeți să construiți un sistem de securitate pentru ISDN?
- Cheia succesului în protejarea PDN în respectarea strictă a unei acțiuni simple:
- respectarea cerințelor autorităților de reglementare pentru protecția documentelor;
- realizarea măsurilor organizatorice necesare;
- punerea în aplicare a unor măsuri tehnice de protecție adecvate.
Primele două etape sunt practic gratis și permit să se ofere foarte multă "siguranță la hârtie", verificată de Roskomnadzor. Dar al treilea pas are ca scop asigurarea unei protecții reale PDD și necesită o abordare calificată.
- Utilizarea protecției tehnice va asigura confidențialitatea deplină a PDN și va proteja compania împotriva pierderii PDN? Care este pericolul unei scurgeri de PDN pentru operator?
"În timp ce nimeni nu a reușit să creeze o apărare" impenetrabilă ", va exista întotdeauna cel puțin o legătură slabă - oameni care pot, de exemplu, să distrugă accidental sau să fure în mod deliberat date în cel mai sigur sistem. În caz de scurgeri, operatorul suportă diverse riscuri, determinate de natura activității și de informațiile "scurgeri", de exemplu, reputaționale, financiare, administrative etc. Prin urmare, scopul protecției nu este, de obicei, prevenirea completă a scurgerilor, ci minimalizarea riscurilor generate de amenințările reale.
- Ce mijloace de protecție sunt aplicabile protecției PDN? Există cerințe pentru aceste decizii?
- Datele personale sunt protejate de aceleași soluții utilizate pentru protejarea sistemelor informatice moderne: antivirus, firewall-uri, scanere de securitate, facilități de criptare și altele asemenea. Pentru a proteja ISDN-ul, este necesar să se utilizeze echipamente de siguranță certificate. Cea mai completă linie de produse de securitate certificate este oferită de compania "Codul de Securitate". Produsele companiei sunt capabile să protejeze datele cu caracter personal în ISDN la orice nivel de securitate.
- Este posibil să limitați utilizarea unui singur produs sau trebuie să introduceți un set de mijloace tehnice?
"Este aproape imposibil să protejăm un sistem informatic modern cu un singur produs, deoarece nu există un" glont de argint "în natură care să poată proteja simultan sistemul de operare, aplicațiile, bazele de date și rețeaua. În cel mai bun caz, acesta va fi un set de produse de la un producător, ceea ce va facilita gestionarea acestei "combinații". În cel mai rău caz, "grădina zoologică" a mai multor soluții cu diferite arhitecturi și interfețe de management. "Costul vieții" al unui gardian de securitate real, din experiența noastră, include un antivirus, un firewall și un scanner de vulnerabilitate în sisteme cu cerințe de securitate care nu sunt foarte ridicate. Cu cerințele crescânde, lista produselor se extinde inevitabil, așa că, repet, trebuie să aveți cunoștințele și experiența pentru a ridica în mod competent produsele necesare și pentru a obține o siguranță adecvată pentru bani acceptabili.
- În primul rând, este necesar să studiem obiectul în detaliu, adică. mergi la examen. În timpul anchetei, apare o înțelegere a compoziției sistemului informatic, a vulnerabilităților sale și a posibilelor amenințări. Mai mult, se formeaza un design tehnic al sistemului de protectie, se livreaza echipamentele de protectie necesare, se implementeaza, se pregateste documentatia organizationala si administrativa necesara indeplinirii tuturor cerintelor organelor de reglementare. Timpul de implementare a proiectului depinde de dimensiunea clientului-companie. În instalațiile mari, numai proiectarea unui sistem de securitate poate dura câteva luni. În organizațiile mici, crearea unui sistem standard de securitate a informațiilor durează câteva săptămâni.
- Ce proiecte pentru protecția ISPDn au fost implementate de compania dvs. și care sunt rezultatele?
Articole similare
Trimiteți-le prietenilor: