...

воскресенье, 1 декабря 2013 г.

Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?

Если посмотреть на заморские страны и на их подход к защите персональных данных, мы сможем увидеть некоторую разницу с Россией, а именно:

  • население волнуется, когда передают свои данные в какую-либо компанию;

  • защита персональных данных строится не по принципу «лишь бы не докопались»;

  • компании со всей ответственностью и пониманием тратят деньги на различный СЗИ, на обучение сотрудников, на актуализацию и пересмотр угроз и рисков информационной безопасности.




Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».



Любой материал принято подавать читателю, хоть как-то классифицируя информацию, то есть разбивая ее на разделы, главы и т.д. Мне бы хотелось донести до читателя мнение, сложившееся в результате выполнения проектов по персональным данным. Суть проблемы заключается в том, что в России закон о персональных данных (далее по тексту — ПДн) просто обуза для всех, причем что для компании, что для ее работника или клиента. Компании необходимо самостоятельно или с привлечением компетентной организации защитить ПДн, работников научить с ними работать, клиентов заставлять подписывать еще одну бумажку о том, что они согласны их передать на хранение и обработку. В результате одни проблемы и правила, которые необходимо соблюдать.

Организационная часть




Типовой проект по ПДн выполняется в 4 глобальных этапа:

  1. Обследование.

  2. Разработка ОРД.

  3. Разработка системы защиты.

  4. Внедрение.




Данные этапы часто делят на подэтапы, чтобы лучше понимать картину. Это делается в основном для заказчика. В данном разделе хотел бы затронуть этап номер 2.

Со стороны внутреннего работника. Любой проект по ПДн, если он делается с нуля, подразумевает написание большой кипы бумажек, которые регламентируют работу с этими ПДн. В добавок типовые формы согласия на обработку, соглашения с контрагентами и т.д. И тут оставляет свой след российский подход: бумажки распечатаны и лежат на полке, пока не придет контролирующий орган и не будет их проверять. Почему так делается:

  1. Работник не понимает зачем ему нужны эти бумажки.

  2. При обучении, это забывается через месяц, так как за выполнением предписаний никто не следит.

  3. Ответственность за разглашение… смешно.

  4. Руководство поставило себе галочку, что «ПДн защищено», значит проблемы нет и вспоминать об это не надо.




Со стороны клиента. Подавляющее большинство людей не знают о законе, регламентирующем защиту ПДн, и не задумываются когда передают их каким либо лицам, для получения каких либо услуг. Тут можно привести много примеров: интернет-магазины, заказ еды на дом и т.д. Только после того, как прошел этот БУМ, некоторая часть населения начало задумываться об этом. Но когда наступает момент «Мой паспорт попал на главную в гугле», или «жена узнала, что я был в командировке в другом отеле», человек начинает задумываться. В остальных случаях мы сталкиваемся со следующим:

  1. Отсутствие заинтересованности в понимании, что делается с ПДн, куда передаются.

  2. Не защищают, ну и не надо.

  3. Подписать «соглашение о передаче ПДн». Зачем? Для чего?

  4. Спокойствие, пока все спокойно и паника, когда ПДн утекли.




В итоге, разработанный комплект документов, в котором написаны правила работы с ПДн, которые позволят предотвратить их утечку, не работает. Заставить их работать может только ответственный человек, например специалист по информационной безопасности в этой же компании, но так как в основном в компаниях нет таких людей (маленькие и средние организации), и вся ответственность ложиться на человека, который лучше всего «общается» с компьютером, хороших результатов не приходится ожидать.

Техническая часть




Тут все гораздо сложнее. разделим проект для крупной компании, средней и для небольшой организации.

Небольшая организация




С технической точки зрения здесь все просто. В основном вся инфраструктура построена на виндах, максимум 1 сервер для 1С, и несколько рабочих станций. Средства защиты информации (далее по тексту — СЗИ) накатываются и настраиваются быстро, проблем обычно не возникает. То есть на данном этапе с технической точки зрения все нормально. Далее идет процесс обучения работе с данными СЗИ, Если не брать механизмы идентификации/аутентификации, работа превращается в ад. Сотрудник в большинстве случаев очень негативно воспринимает изменения в его работе, тем более если это связано с техникой. В итоге мы получаем:

  1. СЗИ установлены, настроены, но ими никто не пользуется.

  2. Основная работа сотрудника усложняется работой с СЗИ.

  3. Данные СЗИ кто то должен обслуживать, и обычно такого человека нет.




В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.

Средние организации




Тут все сложнее. Сформирован IT отдел или штатный системный администратор. В исключительных случаях есть безопасник. Настроена инфраструктура. Вот тут и начинается проблема. Внедрение СЗИ, валидные с точки зрения контролирующих органов, это перестроение текущей инфраструктуры. Обычно в таких случаях ИСПДн выделяют в отдельный сегмент и защищают отдельно, чтобы не влиять на общую архитектуру и слаженную работу компании. В данном случае СЗИ есть кому администрировать, и это несомненный бонус. Опять же, сотрудники не в восторге, что что то меняется в их работе, и выполнение организационных мер по защите уходит на второй план. Контроль за их выполнением возлагается на IT-специалистов, которые опять же в свою очередь заняты боле важными вещами. В итоге получаем:

  1. СЗИ установлены, настроены, в большинстве случаев администрируются.

  2. Основная работа сотрудника усложняется работой с СЗИ.

  3. ИСПДн не рушит текущую инфраструктуру.




В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.

Большие организации




Тут еще интереснее. Отдел IT, отдел безопасности, распределенная информационная система, виртуализация, большое количество корпоративных сервисов и т.д. Обычно все защищено по уму, шифрование, защита по всем правилам и лучшим практикам. Тут и так все защищено по хорошему, но есть слово «сертификация». Это все и портит. Тут про каждый проект можно статью писать, под один шаблон не подвести. Но в итоге и с организационной частью и с технической все нормально. Ответственные сотрудники выполняют свою работу. Пользователи обучены, процесс контролируется.

В итоге получаем:

  1. СЗИ установлены, настроены, администрируются.

  2. Основная работа сотрудника усложняется работой с СЗИ.

  3. ИСПДн не рушит текущую инфраструктуру.

  4. Организационные меры выполняются согласно инструкциям и регламентам.




В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.

В заключении хочется сказать. Защита персональных данных — это хорошая и нужная работа, если она делается правильно. Но с учетом наших реалий, для малого и среднего бизнеса это не приносит никаких результатов, только бесполезная трата денег. Опять же, я говорю про большинство организаций, но я не встречал малый бизнес, у которых с ПДн все хорошо. Не говорю, что защищать ПДн не нужно, но подход должен быть другим.

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Комментариев нет:

Отправить комментарий