О статистике, статистах и утечках персональных данных

Сергей Кораблев,
независимый эксперт по информационной безопасности

Персональные данные. Утечки, инциденты, средства защиты. Замолвим и мы пару слов об этих актуальных вопросах. Послушаем, что говорят об этом эксперты, и как обстоят дела в реальной жизни.

Что знает статистика?

Как бы вы ответили на вопрос, вынесенный в подзаголовок? Не торопитесь бросать банальное "все". Если номинально мы можем сказать, что статистика располагает всеми необходимыми сведениями, практическая сторона вопроса остается не столь однозначной. Дело в том, что, хотя и статистика все знает, она ничего не говорит. За нее говорят другие — аналитики. А уж аналитики трактуют данные каждый по-своему.

Viribus Unitis

Этот девиз династии Габсбургов как нельзя лучше подходит для того, чтобы охарактеризовать те моменты, в которых сходятся все ИБ-аналитики, а вместе с ними и операторы персональных данных и даже обычные люди. Сколь бы разные подходы они ни использовали, но непреложным остается тот факт, что утечки персональных данных — это проблема мирового масштаба. Но что нам до далеких стран, когда ФЗ "О персональных данных" давно уже принят у нас. Ведь когда регулирующие органы сами в законе разберутся, разработают меры ответственности и спросят с тех самых операторов, мало никому не покажется.

Впрочем, цели преследуются самые благие, потому не штрафами надо исправлять ситуацию, а совместными усилиями. Регуляторы должны предложить эффективные положения, а исполнители — указать на те пункты, которые нереализуемы на практике. Именно таким образом можно доработать закон, принятый уже несколько лет назад, но до сих пор неработающий.

Вместо заключения

Итак, о персональных данных поговорили, статистику обсудили, а что же статисты? Статистами в данной ситуации остается ряд вендоров рынка DLP. Понятие DLP в настоящее время оказалось настолько размытым, что и рамки рынка невозможно определить однозначно.

Большое количество крупных разработчиков, в том числе McAfee, Trend Micro, Websense и др., приобретя в последние пару лет заметных игроков DLP-рынка, попытались добавить функционал DLP в рамки своих комплексных (и часто коробочных) продуктов по безопасности. Однако на деле это привело к тому, что наиболее ценные функции DLP оказались просто растворены. Мы снова приходим к тому, что система предотвращения утечек не может быть простой ("как 5 копеек") и отличаться при этом высокой эффективностью.

Впрочем, вовсе не обязательно, что вашей компании с сетью в 40 машин понадобится DLP, пусть даже для благого дела защиты персональных данных. Средства должны быть оправданы целями, а применение DLP в конкретном примере можно приравнять к стрельбе из пушки по воробьям.

В отсутствие новых подходов попытки "слепить" очередную версию DLP на набившей оскомину контентной фильтрации не приведет к успеху. Роль статистов отведем именно таким решениям.

КОММЕНТАРИЙ ЭКСПЕРТА Наталья Самойлова, юрисконсульт компании "Инфо-ТехноПроект" Правовая неграмотность операторов как одна из проблем защиты персональных данных В последнее время повышенный интерес у государства и населения в целом вызывает одна из категорий конфиденциальной информации - персональные данные (ПД). Связано это, в первую очередь, с нарастающей проблемой утечки личных данных. Можно предположить, что появившееся законодательство в сфере ПД не добавило пока хлопот только тем операторам, которые вовсе о нем ничего не знают (конечно, если таких операторов еще не навестили с проверками контролирующие органы). Теперь, например, согласно Федеральному закону "О персональных данных", оператору необходимо принимать организационные и технические меры по обеспечению безопасности ПД при их обработке, осуществлять контроль за их достоверностью и сроками их обработки и в большинстве случаев - уведомлять уполномоченный орган (Россвязькомнадзор) об обработке ПД или о намерении ее осуществления. Россвязькомнадзор, в свою очередь, должен обеспечивать контроль над обработкой ПД (в том числе вести Реестр операторов, привлекать к административной ответственности), а ФСБ и ФСТЭК РФ - контроль над выполнением требований к обеспечению безопасности ПД, к материальным носителям биометрических ПД и технологиям их хранения вне информационных систем. Причем обеспечение безопасности персональных данных, обрабатываемых в информационных системах, становится все более актуальным в связи с реализацией концепции "электронного правительства". Для того чтобы максимально отождествить "идеальную" картину, описанную в Федеральном законе "О персональных данных", с реальным положением дел, операторы, во-первых, должны знать, на основании каких именно нормативных правовых актов им следует строить свою "операторскую" деятельность, а во-вторых, уметь правильно оценить ситуацию в части защиты ПД при выполнении своих задач. Разрешение проблемы правовой неграмотности операторов возможно путем организации и проведения следующих мероприятий: активной пропаганды необходимости защиты ПД (операторы должны четко осознавать ответственность, возложенную на них Федеральным законом "О персональных данных") в СМИ; ознакомительных курсов, практических семинаров в этой сфере. Государству в данной ситуации лучше не жалеть средств на проведение подобных информационных мероприятий, привлекая для этого компании, занимающиеся исследованием проблем защиты ПД. Целесообразнее смотреть на это с позиции, когда проще предотвратить совершение возможных нарушений операторами, чем выстраивать впоследствии бесконечные планы проведения проверок, которые, кстати, также требуют немалых затрат. Руководителям организаций-операторов также стоит взять на заметку необходимость подготовки и воспитания квалифицированных специалистов в данной сфере, поскольку любая оплошность, допущенная сотрудником в части, касающейся защиты ПД, может обернуться для компании значительными финансовыми потерями или даже подрывом репутации.