Защита персональных данных: формальное соответствие и реальная защищенность

03.06.2010

Центр Информационной Безопасности (ЦИБ) компании «Инфосистемы Джет» провел семинар для заказчиков. Подобные мероприятия ЦИБ проводит регулярно, и на этот раз оно было посвящено вопросам обеспечения защиты персональных данных (ПДн). В семинаре приняли участие более 80 представителей из 63 организаций, многие из которых уже завершили обследование своих ИС и в настоящий момент приступают к построению систем защиты персональных данных.

На семинаре участниками обсуждались различные идеи обеспечения безопасности ПДн:

  • Применение средств защиты информации, которые одновременно удовлетворяют требованиям других стандартов по ИБ (СТО БР, PCI DSS, ISO 27001 и т.п.);
  • Внедрение подсистем защиты, обеспечивающих не только соответствие нормативным требованиям, но и повышающих уровень ИБ как персональных данных, так и коммерческой тайны;
  • Возможность дальнейшего масштабирования систем ИБ;
  • Минимальные изменения, а по возможности вообще их отсутствие, в существующей инфраструктуре путем применения современных и высокопроизводительных наложенных средств.

«Мы надеемся, что сформулированный нами подход к построению СЗПДн, объединяющий все вышеперечисленные идеи, позволит нашим нынешним и будущим заказчикам избежать бесполезной траты ресурсов на доморощенные, хотя и сертифицированные средства защиты. А главное, поможет получить реальную выгоду от одновременного выполнения требований регуляторов и обеспечения реальной защищенности своих информационных систем», - прокомментировал Олег Слепов, руководитель направления защиты персональных данных компании «Инфосистемы Джет».

На семинаре с докладами выступили не только эксперты компании «Инфосистемы Джет», но и представители операторов ПДн и технологических партнеров: ОАО «МТС», Oracle, Positive Technologies. Были рассмотрены вопросы использования в проектах по защите ПДн таких решений, как защита БД на базе технологий Guardium и Oracle, построение Security Operation Center, внедрение систем Data Loss Prevention, управление доступом с помощью систем класса IdM и IRM.

Серьезная дискуссия завязалась в ходе обсуждения проблем защиты персональных данных в рамках проведенного на семинаре круглого стола. Участники затронули темы, касающиеся как законодательства в целом, так и возможного смягчения требований по сертификации средств защиты в частности. Очевидно, что по-прежнему краеугольным камнем остается вопрос о регламентах проведения проверок со стороны регуляторов и о правоприменительной практике вообще.

«Как обеспечить формальное соответствие требованиям законодательства о защите персональных данных и реальную защищенность конфиденциальной информации? Пожалуй, это один из тех сложных вопросов, на который ответить «просто» не получится. Особенно учитывая неопределенность нормативной базы в решении многих практических задач. Именно поэтому обмен опытом и подходами между операторами персональных данных и экспертами компании «Инфосистемы Джет» был по-настоящему полезен для всех участников семинара» - отметил Дмитрий Костров, директор по проектам ИБ ОАО «МТС».)