Развеиваем мифы, сопутствующие принятию поправок к ФЗ № 152
Ситуация с организацией информационной безопасности в России и многих странах мира остается весьма тяжелой. Об этом говорят и постоянные сообщения о все новых вредоносных программах, о мошеннических схемах в Интернете и их последствиях. Статистика не врет: на данный момент Россия в плане ИБ остается одним из самых незащищенных государств в мире. По различным оценкам, от пятидесяти до семидесяти процентов компьютеров пользователей и компаний инфицированы теми или иными вредоносными объектами.
На данный момент у нас действует довольно много стандартов безопасности, позволяющих выполнить проект по защите бизнеса на высочайшем уровне. Среди них — международные стандарты, в том числе переведенные и принятые в виде ГОСТов (например, ГОСТ Р ИСО/МЭК 13569), стандарты защиты отдельных направлений бизнеса (например, стандарты ИБ банков России СТО БР ИББС-1.0—2010), постановления правительства (например, закон о защите персональных данных), стандарты по оптимизации бизнес-процедур, основанные на ITIL. Реализация любого из этих документов позволяет создать многоуровневую систему безопасности, включающую регламентируемые процедуры, обучение пользователей, закупку и настройку необходимого (именно для данной компании!) программного и аппаратного обеспечения.
Наибольшую известность из всех стандартов безопасности получил закон “О персональных данных”, известный также под наименованием 152-ФЗ. Этот стандарт является обязательным для всех операторов, обрабатывающих персональные данные. К сожалению, хотя закон и имеет подзаконные акты, уточняющие его положение, они не описывают однозначно все вопросы, интересующие на настоящий момент тех, кто так или иначе ответственен за выполнение положений закона. В связи с этим он оброс значительным числом мифов — широко распространенных, но тем не менее далеких от реальности.
Наиболее широко распространен миф, что вступление закона в силу отложено. Это не так: он вступил в силу уже три года назад. До второй половины 2011-го отложено вступление в силу только одной части одной статьи, касающейся приведения защиты локальных сетей и отдельных компьютеров в соответствие с требованиями закона. Однако статья 19 гласит, что “…оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры <…> для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. То есть уже сейчас операторы должны принимать необходимые меры по информационной защите. Более того, именно операторы отвечают за правомерность применения тех или иных средств защиты. И именно оператор должен представить доказательство того, что субъект персональных данных дал своё согласие на их обработку.
В настоящий момент в Государственной думе РФ рассматривается законопроект Резника, изменяющий отдельные положения и требования 152-ФЗ. Однако сам закон о защите персональных данных не будет отменен никогда, так как он принят в связи с подписанием конвенции Совета Европы.
Согласно закону операторами являются юридические и физические лица, осуществляющие обработку персональных данных с использованием средств автоматизации или без использования оных. Выполнять закон должны как организации, так и простые пользователи, если они обрабатывают данные не только в своих интересах.
В свою очередь обработка данных — это такие действия над данными, как сбор, накопление, хранение, использование, распространение, обезличивание и уничтожение. Даже если вы хотите произвести обезличивание персональных данных с целью снижения стоимости защиты или просто их уничтожаете, это уже требует соответствующей защиты, включая использование в необходимых случаях ПО для очистки областей памяти и безвозвратного удаления данных на жестких дисках.
Одним из первых шагов при реализации требований закона (практически сразу за назначением ответственного за проведение этой процедуры лица и анализа законодательства) следует определение типов данных, которые требуется защищать, а также их местоположения. В ходе этой работы необходимо выяснить, каким угрозам подвергаются эти данные, а также выявить возможности по сокращению типов обрабатываемых данных или по их обезличиванию.
Оператор сам определяет список актуальных угроз, оценивает их значимость и вероятность реализации (как правило, это делается на основе опроса специалистов предприятия), что позволяет предприятию оптимизировать свою защиту. Но не следует искусственно занижать уровень защищенности — ведь именно оператор несет за него ответственность. Полностью снять ответственность с оператора позволяет использование услуг компаний, которые имеют соответствующую лицензию. В таком случае именно эти компании будут нести ответственность за недостаточность защиты, неправильную настройку ПО или некачественный аудит.
В числе того, чем нельзя пренебрегать, — антивирусная защита. На данный момент именно вредоносные программы различного типа наряду со спамом служат основным источником инцидентов в сфере ИТ-безопасности. Способов распространения вирусов существует множество, но основной причиной их проникновения в сеть или утечек данных из нее служат сами сотрудники компании, имеющие непозволительно высокий уровень доступа к различным ресурсам сети либо использующие рабочее время в собственных интересах. Традиционные антивирусы могут не допустить активации вируса, но предотвратить его проникновение в сеть они могут не всегда — вредоносная программа может проникнуть, например, через закрытое соединение или защищенный паролем архив. К счастью, современные средства безопасности обеспечивают комплексную защиту. Кроме традиционного файлового антивируса они содержат средства контроля трафика — как до поступления в использующие его программы, так и после (что позволяет не только проверять защищенные соединения, но и оберегать систему от проникновения вирусов через известные уязвимости), средства офисного контроля, позволяющие ограничить доступ и к ресурсам локальной сети, и к Интернету. Это не только надежно перекрывает все пути доступа вирусов в сеть, но и позволяет уменьшить непрофильные затраты — в том числе на устранение инцидентов, оплату простоев сотрудников и вычислительных мощностей, трафика. Применение продуктов комплексной защиты с широким функционалом дает возможность сэкономить и на закупках отдельных продуктов, в которых эти функции представлены по отдельности, что опять же упрощает управление защитой компании.
Если говорить об управлении антивирусной защитой, то ее наличие является одним из требований закона о защите персональных данных. Такая система требуется наряду с обеспечением защиты всех узлов сети, на которых производится обработка персональных данных, от проникновения вирусов и угроз, возникающих вследствие несанкционированного доступа различного типа, а также защиты каналов доступа в Интернет. В последнее включается антивирусная проверка почтового и интернет-трафика и защита сети брандмауэром.
Все эти компоненты присутствуют в Dr.Web Enterprise Security Suite — уникальном по сочетанию функционала, вариантов поставки и удобству лицензирования комплексе продуктов. Начнем с последнего.
Dr.Web Enterprise Security Suite не требует определения типа защищаемой системы при покупке. Одна и та же лицензия действует для защиты операционных систем Windows, Linux или Mac OS (при покупке антивирусной защиты рабочих станций) или почтовых серверов MS Exchange, IBM Lotus Domino, UNIX. Компании не придется менять лицензию при переходе на другие программные продукты или смене структуры сети. Продукты Dr.Web Enterprise Security Suite одинаково удобны как для небольших компаний, которым важна неприхотливость выбранного решения, так и для мощных организаций, требующих возможности применения различных политик и управления защитой разветвленной сети филиалов с одного рабочего места.
Компания “Доктор Веб” сертифицирует все свои решения. Это особенно важно для организаций здравоохранения и крупных компаний, оперирующих данными о здоровье людей или данными, утечка которых может привести к значительным негативным последствиям.
Закон о защите персональных данных создает уникальную возможность перехода к безопасному взаимодействию компаний и отдельных пользователей — с полной гарантией того, что посланные и принятые данные будут именно теми данными, которые были отправлены или запрошены. На пути к безопасному Интернету немало препятствий — от невнятных формулировок определения самих персональных данных и требований к организациям, осуществляющим защиту конфиденциальной информации, до отсутствия необходимых для проведения многих работ специалистов. Но дорогу осилит идущий, и важно начать этот путь — от подачи уведомления о намерении обработки персональных данных до выработки оптимальных бизнес-процедур и перехода компании к более эффективной модели работы, дающей гарантию успешного будущего.
СПЕЦПРОЕКТ
