Защита персональных данных: формальное соответствие и реальная защищенность

28 мая 2010 г. центр информационной безопасности (ЦИБ) компании "Инфосистемы Джет" провел семинар для заказчиков. Подобные мероприятия ЦИБ проводит регулярно, и на этот раз оно было посвящено вопросам обеспечения защиты персональных данных (ПДн). В семинаре приняли участие более 80 представителей из 63 организаций, многие из которых уже завершили обследование своих ИС и в настоящий момент приступают к построению систем защиты персональных данных.

Идеи обеспечения безопасности ПДн

На семинаре участниками обсуждались различные идеи обеспечения безопасности ПДн:

• применение средств защиты информации, которые одновременно удовлетворяют требованиям других стандартов по ИБ (СТО БР, PCI DSS, ISO 27001 и т.п.);
• внедрение подсистем защиты, обеспечивающих не только соответствие нормативным требованиям, но и повышающих уровень ИБ как персональных данных, так и коммерческой тайны;
• возможность дальнейшего масштабирования систем ИБ;
• минимальные изменения, а по возможности вообще их отсутствие в существующей инфраструктуре путем применения современных и высокопроизводительных наложенных средств.

"Мы надеемся, что сформулированный нами подход к построению СЗПДн, объединяющий все вышеперечисленные идеи, позволит нашим нынешним и будущим заказчикам избежать бесполезной траты ресурсов на доморощенные, хотя и сертифицированные средства защиты. А главное, поможет получить реальную выгоду от одновременного выполнения требований регуляторов и обеспечения реальной защищенности своих информационных систем", – прокомментировал Олег Слепов, руководитель направления защиты персональных данных компании "Ин-фосистемы Джет".

"Круглый стол"

На семинаре с докладами выступили не только эксперты компании "Инфосистемы Джет", но и представители операторов ПДн и технологических партнеров: ОАО "МТС", Oracle, Positive Technologies. Были рассмотрены вопросы использования в проектах по защите ПДн таких решений, как защита БД на базе технологий Guardium и Oracle, построение Security Operation Center, внедрение систем Data Loss Prevention, управление доступом с помощью систем класса IdM и IRM.

Серьезная дискуссия завязалась в ходе обсуждения проблем защиты персональных данных в рамках проведенного на семинаре "круглого стола". Участники затронули темы, касающиеся как законодательства в целом, так и возможного смягчения требований по сертификации средств защиты в частности. Очевидно, что по-прежнему краеугольным камнем остается вопрос о регламентах проведения проверок со стороны регуляторов и о правоприменительной практике вообще.

"Как обеспечить формальное соответствие требованиям законодательства о защите персональных данных и реальную защищенность конфиденциальной информации? Пожалуй, это один из тех сложных вопросов, на который не получится ответить просто. Особенно учитывая неопределенность нормативной базы в решении многих практических задач. Именно поэтому обмен опытом и подходами между операторами персональных данных и экспертами компании "Инфосистемы Джет" был по-настоящему полезен для всех участников семинара", – отметил Дмитрий Костров, директор по проектам ИБ ОАО "МТС".)