Если посмотреть на заморские страны и на их подход к защите персональных данных, мы сможем увидеть некоторую разницу с Россией, а именно:
Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».
Любой материал принято подавать читателю, хоть как-то классифицируя информацию, то есть разбивая ее на разделы, главы и т.д. Мне бы хотелось донести до читателя мнение, сложившееся в результате выполнения проектов по персональным данным. Суть проблемы заключается в том, что в России закон о персональных данных (далее по тексту — ПДн) просто обуза для всех, причем что для компании, что для ее работника или клиента. Компании необходимо самостоятельно или с привлечением компетентной организации защитить ПДн, работников научить с ними работать, клиентов заставлять подписывать еще одну бумажку о том, что они согласны их передать на хранение и обработку. В результате одни проблемы и правила, которые необходимо соблюдать.
Типовой проект по ПДн выполняется в 4 глобальных этапа:
Данные этапы часто делят на подэтапы, чтобы лучше понимать картину. Это делается в основном для заказчика. В данном разделе хотел бы затронуть этап номер 2.
Со стороны внутреннего работника. Любой проект по ПДн, если он делается с нуля, подразумевает написание большой кипы бумажек, которые регламентируют работу с этими ПДн. В добавок типовые формы согласия на обработку, соглашения с контрагентами и т.д. И тут оставляет свой след российский подход: бумажки распечатаны и лежат на полке, пока не придет контролирующий орган и не будет их проверять. Почему так делается:
Со стороны клиента. Подавляющее большинство людей не знают о законе, регламентирующем защиту ПДн, и не задумываются когда передают их каким либо лицам, для получения каких либо услуг. Тут можно привести много примеров: интернет-магазины, заказ еды на дом и т.д. Только после того, как прошел этот БУМ, некоторая часть населения начало задумываться об этом. Но когда наступает момент «Мой паспорт попал на главную в гугле», или «жена узнала, что я был в командировке в другом отеле», человек начинает задумываться. В остальных случаях мы сталкиваемся со следующим:
В итоге, разработанный комплект документов, в котором написаны правила работы с ПДн, которые позволят предотвратить их утечку, не работает. Заставить их работать может только ответственный человек, например специалист по информационной безопасности в этой же компании, но так как в основном в компаниях нет таких людей (маленькие и средние организации), и вся ответственность ложиться на человека, который лучше всего «общается» с компьютером, хороших результатов не приходится ожидать.
Тут все гораздо сложнее. разделим проект для крупной компании, средней и для небольшой организации.
С технической точки зрения здесь все просто. В основном вся инфраструктура построена на виндах, максимум 1 сервер для 1С, и несколько рабочих станций. Средства защиты информации (далее по тексту — СЗИ) накатываются и настраиваются быстро, проблем обычно не возникает. То есть на данном этапе с технической точки зрения все нормально. Далее идет процесс обучения работе с данными СЗИ, Если не брать механизмы идентификации/аутентификации, работа превращается в ад. Сотрудник в большинстве случаев очень негативно воспринимает изменения в его работе, тем более если это связано с техникой. В итоге мы получаем:
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.
Тут все сложнее. Сформирован IT отдел или штатный системный администратор. В исключительных случаях есть безопасник. Настроена инфраструктура. Вот тут и начинается проблема. Внедрение СЗИ, валидные с точки зрения контролирующих органов, это перестроение текущей инфраструктуры. Обычно в таких случаях ИСПДн выделяют в отдельный сегмент и защищают отдельно, чтобы не влиять на общую архитектуру и слаженную работу компании. В данном случае СЗИ есть кому администрировать, и это несомненный бонус. Опять же, сотрудники не в восторге, что что то меняется в их работе, и выполнение организационных мер по защите уходит на второй план. Контроль за их выполнением возлагается на IT-специалистов, которые опять же в свою очередь заняты боле важными вещами. В итоге получаем:
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.
Тут еще интереснее. Отдел IT, отдел безопасности, распределенная информационная система, виртуализация, большое количество корпоративных сервисов и т.д. Обычно все защищено по уму, шифрование, защита по всем правилам и лучшим практикам. Тут и так все защищено по хорошему, но есть слово «сертификация». Это все и портит. Тут про каждый проект можно статью писать, под один шаблон не подвести. Но в итоге и с организационной частью и с технической все нормально. Ответственные сотрудники выполняют свою работу. Пользователи обучены, процесс контролируется.
В итоге получаем:
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.
В заключении хочется сказать. Защита персональных данных — это хорошая и нужная работа, если она делается правильно. Но с учетом наших реалий, для малого и среднего бизнеса это не приносит никаких результатов, только бесполезная трата денег. Опять же, я говорю про большинство организаций, но я не встречал малый бизнес, у которых с ПДн все хорошо. Не говорю, что защищать ПДн не нужно, но подход должен быть другим.
- население волнуется, когда передают свои данные в какую-либо компанию;
- защита персональных данных строится не по принципу «лишь бы не докопались»;
- компании со всей ответственностью и пониманием тратят деньги на различный СЗИ, на обучение сотрудников, на актуализацию и пересмотр угроз и рисков информационной безопасности.
Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».
Введение
Любой материал принято подавать читателю, хоть как-то классифицируя информацию, то есть разбивая ее на разделы, главы и т.д. Мне бы хотелось донести до читателя мнение, сложившееся в результате выполнения проектов по персональным данным. Суть проблемы заключается в том, что в России закон о персональных данных (далее по тексту — ПДн) просто обуза для всех, причем что для компании, что для ее работника или клиента. Компании необходимо самостоятельно или с привлечением компетентной организации защитить ПДн, работников научить с ними работать, клиентов заставлять подписывать еще одну бумажку о том, что они согласны их передать на хранение и обработку. В результате одни проблемы и правила, которые необходимо соблюдать.
Организационная часть
Типовой проект по ПДн выполняется в 4 глобальных этапа:
- Обследование.
- Разработка ОРД.
- Разработка системы защиты.
- Внедрение.
Данные этапы часто делят на подэтапы, чтобы лучше понимать картину. Это делается в основном для заказчика. В данном разделе хотел бы затронуть этап номер 2.
Со стороны внутреннего работника. Любой проект по ПДн, если он делается с нуля, подразумевает написание большой кипы бумажек, которые регламентируют работу с этими ПДн. В добавок типовые формы согласия на обработку, соглашения с контрагентами и т.д. И тут оставляет свой след российский подход: бумажки распечатаны и лежат на полке, пока не придет контролирующий орган и не будет их проверять. Почему так делается:
- Работник не понимает зачем ему нужны эти бумажки.
- При обучении, это забывается через месяц, так как за выполнением предписаний никто не следит.
- Ответственность за разглашение… смешно.
- Руководство поставило себе галочку, что «ПДн защищено», значит проблемы нет и вспоминать об это не надо.
Со стороны клиента. Подавляющее большинство людей не знают о законе, регламентирующем защиту ПДн, и не задумываются когда передают их каким либо лицам, для получения каких либо услуг. Тут можно привести много примеров: интернет-магазины, заказ еды на дом и т.д. Только после того, как прошел этот БУМ, некоторая часть населения начало задумываться об этом. Но когда наступает момент «Мой паспорт попал на главную в гугле», или «жена узнала, что я был в командировке в другом отеле», человек начинает задумываться. В остальных случаях мы сталкиваемся со следующим:
- Отсутствие заинтересованности в понимании, что делается с ПДн, куда передаются.
- Не защищают, ну и не надо.
- Подписать «соглашение о передаче ПДн». Зачем? Для чего?
- Спокойствие, пока все спокойно и паника, когда ПДн утекли.
В итоге, разработанный комплект документов, в котором написаны правила работы с ПДн, которые позволят предотвратить их утечку, не работает. Заставить их работать может только ответственный человек, например специалист по информационной безопасности в этой же компании, но так как в основном в компаниях нет таких людей (маленькие и средние организации), и вся ответственность ложиться на человека, который лучше всего «общается» с компьютером, хороших результатов не приходится ожидать.
Техническая часть
Тут все гораздо сложнее. разделим проект для крупной компании, средней и для небольшой организации.
Небольшая организация
С технической точки зрения здесь все просто. В основном вся инфраструктура построена на виндах, максимум 1 сервер для 1С, и несколько рабочих станций. Средства защиты информации (далее по тексту — СЗИ) накатываются и настраиваются быстро, проблем обычно не возникает. То есть на данном этапе с технической точки зрения все нормально. Далее идет процесс обучения работе с данными СЗИ, Если не брать механизмы идентификации/аутентификации, работа превращается в ад. Сотрудник в большинстве случаев очень негативно воспринимает изменения в его работе, тем более если это связано с техникой. В итоге мы получаем:
- СЗИ установлены, настроены, но ими никто не пользуется.
- Основная работа сотрудника усложняется работой с СЗИ.
- Данные СЗИ кто то должен обслуживать, и обычно такого человека нет.
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.
Средние организации
Тут все сложнее. Сформирован IT отдел или штатный системный администратор. В исключительных случаях есть безопасник. Настроена инфраструктура. Вот тут и начинается проблема. Внедрение СЗИ, валидные с точки зрения контролирующих органов, это перестроение текущей инфраструктуры. Обычно в таких случаях ИСПДн выделяют в отдельный сегмент и защищают отдельно, чтобы не влиять на общую архитектуру и слаженную работу компании. В данном случае СЗИ есть кому администрировать, и это несомненный бонус. Опять же, сотрудники не в восторге, что что то меняется в их работе, и выполнение организационных мер по защите уходит на второй план. Контроль за их выполнением возлагается на IT-специалистов, которые опять же в свою очередь заняты боле важными вещами. В итоге получаем:
- СЗИ установлены, настроены, в большинстве случаев администрируются.
- Основная работа сотрудника усложняется работой с СЗИ.
- ИСПДн не рушит текущую инфраструктуру.
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.
Большие организации
Тут еще интереснее. Отдел IT, отдел безопасности, распределенная информационная система, виртуализация, большое количество корпоративных сервисов и т.д. Обычно все защищено по уму, шифрование, защита по всем правилам и лучшим практикам. Тут и так все защищено по хорошему, но есть слово «сертификация». Это все и портит. Тут про каждый проект можно статью писать, под один шаблон не подвести. Но в итоге и с организационной частью и с технической все нормально. Ответственные сотрудники выполняют свою работу. Пользователи обучены, процесс контролируется.
В итоге получаем:
- СЗИ установлены, настроены, администрируются.
- Основная работа сотрудника усложняется работой с СЗИ.
- ИСПДн не рушит текущую инфраструктуру.
- Организационные меры выполняются согласно инструкциям и регламентам.
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.
Заключение
В заключении хочется сказать. Защита персональных данных — это хорошая и нужная работа, если она делается правильно. Но с учетом наших реалий, для малого и среднего бизнеса это не приносит никаких результатов, только бесполезная трата денег. Опять же, я говорю про большинство организаций, но я не встречал малый бизнес, у которых с ПДн все хорошо. Не говорю, что защищать ПДн не нужно, но подход должен быть другим.
