1 января 2011 года - дата, до наступления которой информационные системы персональных данных должны соответствовать всем требованиям Федерального закона. Согласно слов Ивана Бурдело - директора департамента информационной безопасности компании «Кабест», входящей в группу «Астерос»", назначение нового крайнего срока вступления в юридическую силу Закона «О персональных данных» положительным образом повлияло на степень готовности предприятий по внедрению мер по защите.

Стоит отметить, что только в последнее время заказчики получили практическую, а не теоретическую готовность к ведению конструктивного диалога на данную тему. Ещё год назад большая часть времени уходила именно на то. Чтобы провести «ликбез» по теме персональных данных и степени важности обеспечения должного уровня их защиты. Кроме того следует акцентировать своё внимание на том, что Роскомнадзор и другие государственные регулирующие организации, занимавшиеся проверочной деятельностью, внесли свою лепту в просвещение рынка и к его побуждению к активным действия. Это послужило наочным доказательством того, что соблюдение закона не является лишь формальным требованием.

В Федеральном законе «О защите персональных данных» нет чётко сформулированного определения, которое бы указывало, какие именно данные необходимо защищать – в этом и заключалась главная сложность операторов ПДн. Под термином «персональные данные» подразумеваются следующие данные: информация любого характера о физическом лице (ФИО, дата и место рождения, семейное, социальное, имущественное положение, уровень полученного образования, профессиональная специализация, урвоень финансового дохода и т.п.), Следует также отметить, что отдельные элементы этих данных практически бесполезны, ведь общую картину о том или ином человеке можно составить только исходя из совокупности всего перечисленного выше. По этой причине у каждого оператора, работающего с подобной информацией неизменно возникает логичный вопрос о методах её защиты. В связи с тем, что ФЗ не даёт чёткой и однозначной рекомендации по этому поводу, до недавних пор именно от решения оператора непосредственно зависело, каким данным будет придаваться первостепенное значение, а значит и, соответственно, к какому классу ПДн они будут отнесены в дальнейшем. Правильность причисления информации к тому или иному классу системы прямо влияют на осуществляемые меры, которые будут к ним применены с целью недопущения утечки конфиденциальной информации. От этого напрямую будет зависеть стоимость будущего проекта безопасности конфиденциальных личных данных людей.

Вопросы и ответы.

У территориально распределённых организаций, вынужденных осуществлять свою деятельность с использованием подключения к сетям общего пользования наибольшая вероятность возникновения сложных проблем. Это объясняется тем, что часть системы «опубликовывается» в неконтролируемой среде, в которой высока вероятность их попадания, что называется не в те руки. Следует отметить, что территориально распределённые организации весьма отличают между собой по специфике своей деятельности, а посему и характер угроз для них будет значительно отличаться. В связи с этим построение системы защиты ПДн подразумевает тщательный анализ существующих вариантов, рассмотрение альтернативных возможностей обработки подобного рода информации, а также будущий вид логической и физической конструкции данных систем. К примеру, если обработка данных будет распределена по различным объектам, в таком случае у каждого отдельного объекта могут возникать свои особенные специфичные проблемы.

В стремлении создать «идеальную систему защиты» необходимо помнить, что безопасность должна сочетаться с повышенной функциональностью системы. И, кроме того, средства защиты ни в коем случае не должны иметь воздействия на остальные бизнес-процессы той или иной организации и должны служить на благо компании по достижения определённых деловых интересов. Также необходимо учитывать жёсткие требования, ограничивающие размер бюджета, время реализации проекта и наличие уже выполняемых бизнес-задач, выполнение которых нельзя ни остановить, ни отменить.

Критерии достаточного уровня защищённости ПДн, которые размещены в пределах различных государств, а также мера ответственности за их утечку – эти вопросы занимают умы заказчиков и до сих пор относятся к разряду неразрешённых . Также проблемы прибавляются в случае, когда Ваши данные хранятся в арендованных серверах, где помимо Ваших данных могут храниться данные десятков других коммерческих предприятий – как в таком случае обеспечить должны уровень безопасности своих данных? Вопрос построения надёжной системы защиты в архитектурной схеме ,которая предполагает обработку виртуальных данных также достаточно остро стоит на повестке дня. Подобные вопросы возникают практически в каждом объекте, а, как известно, нестандартные вопросы решаются с помощью нестандартных решений, которые заранее нельзя выработать. По этой причине каждая отдельная организация создаёт свой оригинальный способ решения возникающих проблем с неизменным учётом специфических особенностей каждого отдельного взятого заказчика. Подобная работа подразумевает неизменно высокопрофессиональный и творческий подход к поставленной задаче.

В виду того, затраты на создание системы защиты ПДн всегда подразумевают под собой существенны денежные затраты, почти все операторы стремятся найти способы, как их уменьшить. Одним из таких способов является оптимизация самой системы с целью выявить второстепенные звенья, благодаря чему можно заметно уменьшить число точек, которые нужно защищать – следствием этого процесса может стать уменьшение затрат на обеспечение должного уровня защиты ПДн.

Следующим распространённым способом снижения затрат, отличающегося высокой эффективностью, является перевод ПДн из «типовой» категории в «специальную». Типовая система чётко регламентирована, и, кроме того, к ней зафиксированы определённые меры безопасности. Однако для обычной организации чересчур накладными и неоправданно высокими могут быть расходы на её содержание. Специальные ИСПДн отличается от типовых тем, что для них требования формируются исходя из реальных угроз, которые индивидуальны для каждой отдельно взятой системы. Подобная модель полностью учитывает специфику осуществляемой организацией деятельности и технологию обработки информации. Специальная модель даёт возможность объективной оценки существующих рисков и других угроз её безопасности, разработать подходящую для неё систему и избежать излишних затрат.

Следующим эффективным способом уменьшения затрат является сертификация уже существующих в компании средств защиты. В процессе их сертификации устанавливается уровень их соответствия требованиям ПДн, следствием чего у заказчика исчезает потребность в закупке дополнительных средств защиты. Оптимизация архитектуры ИСПДн также даёт возможность уменьшить затраты. Главный смысл оптимизации заключается в следующем: чем меньше составных частей – тем меньше й будет сумма затрат, нужной на обеспечение их функциональной деятельности. Вкратце говоря, в результате анализа всей системе снова-таки выявляются элементы второстепенного значения, устранив которые система ни в коем случае не будет хуже эксплуатироваться. Решения подобного рода дают реальную возможность в несколько раз уменьшить стоимость проекта.