Защита персональных данных: формальное соответствие и реальная защищенность

03.06.2010

Центр Информационной Безопасности (ЦИБ) компании «Инфосистемы Джет» провел семинар для заказчиков. Подобные мероприятия ЦИБ проводит регулярно, и на этот раз оно было посвящено вопросам обеспечения защиты персональных данных (ПДн). В семинаре приняли участие более 80 представителей из 63 организаций, многие из которых уже завершили обследование своих ИС и в настоящий момент приступают к построению систем защиты персональных данных.

На семинаре участниками обсуждались различные идеи обеспечения безопасности ПДн:

  • Применение средств защиты информации, которые одновременно удовлетворяют требованиям других стандартов по ИБ (СТО БР, PCI DSS, ISO 27001 и т.п.);
  • Внедрение подсистем защиты, обеспечивающих не только соответствие нормативным требованиям, но и повышающих уровень ИБ как персональных данных, так и коммерческой тайны;
  • Возможность дальнейшего масштабирования систем ИБ;
  • Минимальные изменения, а по возможности вообще их отсутствие, в существующей инфраструктуре путем применения современных и высокопроизводительных наложенных средств.

«Мы надеемся, что сформулированный нами подход к построению СЗПДн, объединяющий все вышеперечисленные идеи, позволит нашим нынешним и будущим заказчикам избежать бесполезной траты ресурсов на доморощенные, хотя и сертифицированные средства защиты. А главное, поможет получить реальную выгоду от одновременного выполнения требований регуляторов и обеспечения реальной защищенности своих информационных систем», - прокомментировал Олег Слепов, руководитель направления защиты персональных данных компании «Инфосистемы Джет».

На семинаре с докладами выступили не только эксперты компании «Инфосистемы Джет», но и представители операторов ПДн и технологических партнеров: ОАО «МТС», Oracle, Positive Technologies. Были рассмотрены вопросы использования в проектах по защите ПДн таких решений, как защита БД на базе технологий Guardium и Oracle, построение Security Operation Center, внедрение систем Data Loss Prevention, управление доступом с помощью систем класса IdM и IRM.

Серьезная дискуссия завязалась в ходе обсуждения проблем защиты персональных данных в рамках проведенного на семинаре круглого стола. Участники затронули темы, касающиеся как законодательства в целом, так и возможного смягчения требований по сертификации средств защиты в частности. Очевидно, что по-прежнему краеугольным камнем остается вопрос о регламентах проведения проверок со стороны регуляторов и о правоприменительной практике вообще.

«Как обеспечить формальное соответствие требованиям законодательства о защите персональных данных и реальную защищенность конфиденциальной информации? Пожалуй, это один из тех сложных вопросов, на который ответить «просто» не получится. Особенно учитывая неопределенность нормативной базы в решении многих практических задач. Именно поэтому обмен опытом и подходами между операторами персональных данных и экспертами компании «Инфосистемы Джет» был по-настоящему полезен для всех участников семинара» - отметил Дмитрий Костров, директор по проектам ИБ ОАО «МТС».)

По ссылкам ниже Вы можете ознакомиться с материалами семинара.

Дмитрий Костров,
директор по проектам ИБ ОАО МТС
Правоприменительная практика в области ЗПДн: опыт первых проверок
Евгений Акимов,
Заместитель начальника Центра информационной безопасности «Инфосистемы Джет»
Подходы к защите персональных данных: как найти баланс между требованиями регуляторов и реальной защищенностью
Александр Волжинский, технический руководитель направления ЗПДн «Инфосистемы Джет» Системы ИБ, удовлетворяющие и регуляторов и бизнес. Опыт использования в проектах
Артем Медведев,
руководитель направления безопасности БД и SOC «Инфосистемы Джет»
Журналирование, протоколирование, контроль доступа к БД и контроль конфигураций путем построения Security Operation Center
Сергей Гордейчик,
технический директор PositiveTechnologies
Решение MaxPatrol для защиты персональных данных
Александр Синельников,
менеджер по развитию бизнеса «Инфосистемы Джет»
Как сложить слово «СЧАСТЬЕ» из D,L,P,З,П,Д,Н
Дмитрий Шепелявый,
директор Fusion Middleware Oracle Russia
Защита ПДн с использованием сертифицированных средств защиты информации Oracle
Алексей Лаврухин,
начальник отдела IdM решений «Инфосистемы Джет»
Практические аспекты управления доступом с использованием продуктов класса IdM и IRM