Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?

    Если посмотреть на заморские страны и на их подход к защите персональных данных, мы сможем увидеть некоторую разницу с Россией, а именно:

    • население волнуется, когда передают свои данные в какую-либо компанию;
    • защита персональных данных строится не по принципу «лишь бы не докопались»;
    • компании со всей ответственностью и пониманием тратят деньги на различный СЗИ, на обучение сотрудников, на актуализацию и пересмотр угроз и рисков информационной безопасности.

    Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».

    Введение


    Любой материал принято подавать читателю, хоть как-то классифицируя информацию, то есть разбивая ее на разделы, главы и т.д. Мне бы хотелось донести до читателя мнение, сложившееся в результате выполнения проектов по персональным данным. Суть проблемы заключается в том, что в России закон о персональных данных (далее по тексту — ПДн) просто обуза для всех, причем что для компании, что для ее работника или клиента. Компании необходимо самостоятельно или с привлечением компетентной организации защитить ПДн, работников научить с ними работать, клиентов заставлять подписывать еще одну бумажку о том, что они согласны их передать на хранение и обработку. В результате одни проблемы и правила, которые необходимо соблюдать.

    Организационная часть


    Типовой проект по ПДн выполняется в 4 глобальных этапа:

    1. Обследование.
    2. Разработка ОРД.
    3. Разработка системы защиты.
    4. Внедрение.

    Данные этапы часто делят на подэтапы, чтобы лучше понимать картину. Это делается в основном для заказчика. В данном разделе хотел бы затронуть этап номер 2.
    Со стороны внутреннего работника. Любой проект по ПДн, если он делается с нуля, подразумевает написание большой кипы бумажек, которые регламентируют работу с этими ПДн. В добавок типовые формы согласия на обработку, соглашения с контрагентами и т.д. И тут оставляет свой след российский подход: бумажки распечатаны и лежат на полке, пока не придет контролирующий орган и не будет их проверять. Почему так делается:

    1. Работник не понимает зачем ему нужны эти бумажки.
    2. При обучении, это забывается через месяц, так как за выполнением предписаний никто не следит.
    3. Ответственность за разглашение… смешно.
    4. Руководство поставило себе галочку, что «ПДн защищено», значит проблемы нет и вспоминать об это не надо.

    Со стороны клиента. Подавляющее большинство людей не знают о законе, регламентирующем защиту ПДн, и не задумываются когда передают их каким либо лицам, для получения каких либо услуг. Тут можно привести много примеров: интернет-магазины, заказ еды на дом и т.д. Только после того, как прошел этот БУМ, некоторая часть населения начало задумываться об этом. Но когда наступает момент «Мой паспорт попал на главную в гугле», или «жена узнала, что я был в командировке в другом отеле», человек начинает задумываться. В остальных случаях мы сталкиваемся со следующим:

    1. Отсутствие заинтересованности в понимании, что делается с ПДн, куда передаются.
    2. Не защищают, ну и не надо.
    3. Подписать «соглашение о передаче ПДн». Зачем? Для чего?
    4. Спокойствие, пока все спокойно и паника, когда ПДн утекли.

    В итоге, разработанный комплект документов, в котором написаны правила работы с ПДн, которые позволят предотвратить их утечку, не работает. Заставить их работать может только ответственный человек, например специалист по информационной безопасности в этой же компании, но так как в основном в компаниях нет таких людей (маленькие и средние организации), и вся ответственность ложиться на человека, который лучше всего «общается» с компьютером, хороших результатов не приходится ожидать.

    Техническая часть


    Тут все гораздо сложнее. разделим проект для крупной компании, средней и для небольшой организации.

    Небольшая организация


    С технической точки зрения здесь все просто. В основном вся инфраструктура построена на виндах, максимум 1 сервер для 1С, и несколько рабочих станций. Средства защиты информации (далее по тексту — СЗИ) накатываются и настраиваются быстро, проблем обычно не возникает. То есть на данном этапе с технической точки зрения все нормально. Далее идет процесс обучения работе с данными СЗИ, Если не брать механизмы идентификации/аутентификации, работа превращается в ад. Сотрудник в большинстве случаев очень негативно воспринимает изменения в его работе, тем более если это связано с техникой. В итоге мы получаем:

    1. СЗИ установлены, настроены, но ими никто не пользуется.
    2. Основная работа сотрудника усложняется работой с СЗИ.
    3. Данные СЗИ кто то должен обслуживать, и обычно такого человека нет.

    В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.

    Средние организации


    Тут все сложнее. Сформирован IT отдел или штатный системный администратор. В исключительных случаях есть безопасник. Настроена инфраструктура. Вот тут и начинается проблема. Внедрение СЗИ, валидные с точки зрения контролирующих органов, это перестроение текущей инфраструктуры. Обычно в таких случаях ИСПДн выделяют в отдельный сегмент и защищают отдельно, чтобы не влиять на общую архитектуру и слаженную работу компании. В данном случае СЗИ есть кому администрировать, и это несомненный бонус. Опять же, сотрудники не в восторге, что что то меняется в их работе, и выполнение организационных мер по защите уходит на второй план. Контроль за их выполнением возлагается на IT-специалистов, которые опять же в свою очередь заняты боле важными вещами. В итоге получаем:

    1. СЗИ установлены, настроены, в большинстве случаев администрируются.
    2. Основная работа сотрудника усложняется работой с СЗИ.
    3. ИСПДн не рушит текущую инфраструктуру.

    В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн НЕ защищены.

    Большие организации


    Тут еще интереснее. Отдел IT, отдел безопасности, распределенная информационная система, виртуализация, большое количество корпоративных сервисов и т.д. Обычно все защищено по уму, шифрование, защита по всем правилам и лучшим практикам. Тут и так все защищено по хорошему, но есть слово «сертификация». Это все и портит. Тут про каждый проект можно статью писать, под один шаблон не подвести. Но в итоге и с организационной частью и с технической все нормально. Ответственные сотрудники выполняют свою работу. Пользователи обучены, процесс контролируется.
    В итоге получаем:

    1. СЗИ установлены, настроены, администрируются.
    2. Основная работа сотрудника усложняется работой с СЗИ.
    3. ИСПДн не рушит текущую инфраструктуру.
    4. Организационные меры выполняются согласно инструкциям и регламентам.

    В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.

    Заключение


    В заключении хочется сказать. Защита персональных данных — это хорошая и нужная работа, если она делается правильно. Но с учетом наших реалий, для малого и среднего бизнеса это не приносит никаких результатов, только бесполезная трата денег. Опять же, я говорю про большинство организаций, но я не встречал малый бизнес, у которых с ПДн все хорошо. Не говорю, что защищать ПДн не нужно, но подход должен быть другим.
    • +4
    • 10,1k
    • 8
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +3
      Забывали упомянуть, что в заморских странах есть свобода выбора СЗИ, а не полтора сертифицированных вендора, клепающих поделки — одна хуже другой.
        0
        В разделе про крупные компании как раз упомянул слово «сертификация», подразумевая ваш комментарий
        +5
        Пока я могу, почти свободно купить базу телефонов, судимостей, и еще десяток других, пока в «Соглашениях» будут свободно указываться пункты что собранная информация может передаваться в третьи руки, пока мне будут звонить не известные мне организации на мой телефон и обращаться ко мне по ФИО. Защита ПДн — фикция! И выбрасывание денег на ветер.
          –3
          На данный момент ПДн защищают только крупные конторы, и как раз утекают данные из мелких, по этому в нашей стране ПДн не защищены, так что да, вы правы
          +7
          Мне рассказывал руководитель одной крупной организации, которая прошла проверку РосКомНадзора, что после проверки они выключили все СЗИ, потому что с ними ничего не работает. Цель создания ФЗ-152 совершенно не благостная, не о какой фактической реальной защите речь не идёт, применяемые технические методики в контексте упомянутого закона — пустая, недееспособная формальность, фикция. Практически все требования по закону не технические, а бюррократические. Проверка РосКомНадзора 90% времени изучает журналы, модель угроз и прочее, а АРМ даже не смотрит и терминация защищённых VLANов им абсолютно не интересна. Цель закона — это очередной способ оказывать давление на частный бизнес. Там настолько свободные интерпретации по каждому пункту, что при заинтересованности со стороны проверяющих можно нагнуть любую компанию. Люди пишут письма по разъяснениям, ФСТЭК каждый раз даёт противоречивые, взаимоисключающие комментарии. Это узаконеное вымагательтсво, искуственно созданая отрасль, не удивлюсь, если это лобби производителей СЗИ и безопасников. Большинство компаний не смогут самостоятельно закрыться по закону, т.к. для этого нужна лицензия и обученный персонал по ИБ, им придётся обращаться к подрядчикам, а это бабки бабки бабки. Это всё настолько бредово, что некоторые просто предпочитают платить штрафы, благо они пока не большие.
            –2
            Сама организация может купить себе СЗИ, лицензия для этого не нужна. В случае вашего знакомого, это один из вариантов построения ИСПДн, пройти проверку и выключить все, но я хотел донести нечто другое.А роскомнадзор только сейчас проверяет бумажки, скоро все поменяется, и РКН будет проверять всю техническую часть. Защита ПДн — это правильное дело, но не в нашей стране и не с нашими подходами, именно это я хотел сказать своей статьей
            0
            В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.

            Но никто из сотрудников не знает, что было написано в конкретном договоре и соглашении о передаче ПД, а когда находят эти соглашения и договора в своих архивах и когда им показываешь свою копию договора начинают заявлять, что таких пунктов там быть не могло просто по тому, что не могло быть никогда (самое смешное, что договора обычно типовые, только разных лет).

            Так что извините, но с моей точки зрения вероятность утечки личных данных из больших компаний может быть существенно выше, чем из маленьких, так как за много лет накопилось огромное количество договоров и соглашений об одном и том-же, но с разными условиями, и, по умолчанию, никто из сотрудников и понятия не имеет по какой версии нужно работать в данном конкретном случае, по этому работают по какой прийдется или последней.

            Кстати, наиболее показательна эта проблема в области связи, когда наличие старого, еще бумажного договора легко вводит целый филиал оператора в дикий ступор, так как если его прочитать, то выясняется, что оператор сейчас нарушает буквально каждый пункт. Не зря сейчас уже все операторы поумнели и НЕ дают на руки полноценных договоров с печатями и подписями, чтобы всегда можно было сослаться на абстрактный сайт, а там можно выкладывать что угодно изменяя текст когда угодно.

            P.S. Однако встречал я это не только в сфере связи, но в других сферах примеры пока были куда более скучными.
              0
              Потому-что компании не заинтересованы вкладываться в то, что не приносит доход или предотвращает ущерб.
              Все остальное вопрос воспитания, закон о ПДн молод, постепенно народ будет проникаться и менять отношение на как в Европах.
              Ну или введут миллионные штрафы и тогда компании резко заинтересуются.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое