В соответствии с новым законом о защите персональных данных граждан, к персональным данным относится любая информация, относящаяся к физическому лицу: ФИО, дата и место рождения, адрес, семейное положение, доходы и т.п.
Что же нового привнесет этот закон в процесс обеспечения информационной безопасности компаний?
По мнению экспертов по информационной безопасности компании "Энвижн Груп" Федора Грубова и Екатерины Дербенцевой, практически 100% компаний сегодня являются операторами, обрабатывающими персональные данные. Часто эти компании для обработки и хранения информации, относящейся к персональным данным, используют центры хранения данных (к которым могут относиться и обычные серверы с базами данных, и сложные системы хранения данных в рамках внедренных ERP- или CRM-систем). Новый закон требует принятия "необходимых организационных и технических мер, в том числе шифровальных (криптографических) средств".
Для того чтобы удовлетворять предъявляемым законом требованиям, Ф.Грубов и Е.Дербенцева прежде всего предлагают "определить, какая бизнес-единица возьмет на себя вопросы защиты персональных данных в компании", а также список сотрудников, "которым необходим доступ к информации с персональными данными в ЦХД в рамках своих функциональных обязанностей". Затем необходима разработка регламентирующих документов по работе с этими данными, начиная с политики безопасности по защите персональных данных в компании. Нельзя забывать и о вопросах физической безопасности оборудования в составе ЦХД.
"На техническом уровне, - считают эксперты, - ЦХД можно условно разделить на систему хранения данных, удаленных пользователей данной системы и каналы связи, соединяющие этих пользователей с системой". Соответственно потребуется внедрение комплексного решения по защите ЦХД.
В заключении хочется отметить, что теперь обязанность по защите персональных данных ложится и на те компании, которые информацию о персональных данных не выделяют в отдельный тип данных и не задумываются об адекватном обеспечении их безопасности. А это может стимулировать повышение уровня информационной безопасности во многих компаниях.
