Типичные ошибки при построении системы защиты ПДн (СЗПДн)

6 апреля 2015
Типичные ошибки при построении системы защиты ПДн (СЗПДн)

Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Это связано с тем, что именно на специалиста ИТ-отдела возлагают функции по защите информации.

Иногда компании оплачивают переобучение, но чаще всего специалисты вынуждены приобретать новые знания  самостоятельно из общедоступных источников. К сожалению, это ведет к появлению  «стандартных» ошибок при создании системы защиты персональных данных.

Как рождается ошибка?

Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям федерального закона «О персональных данных». Оба варианта ведут к финансовым потерям.

Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

Распространенные ошибки при построении СЗПДн:

1. Неверно определено число информационных систем, обрабатывающих персональные данные.

Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

2. Неверный выбор средств защиты информации.

Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

  • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
  • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
  • перечень используемых средств защиты информации будет избыточным;
  • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

При этом первый вариант развития событий возможен в крайне редких случаях.

Совет:

  • используйте известный алгоритм создания системы защиты персональных данных:
  • проведите обследование информационной системы;
  • определите актуальные угрозы безопасности персональных данных, в соответствии с нормативными документами ФСТЭК России;
  • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
  • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

Совет: не забывайте об организационно-распорядительных документах, в ряде случаев можно воспользоваться веб-сервисами, которые помогут вам подготовить все необходимые документы.

4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, т. к. настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям федерального закона № 152-ФЗ «О персональных данных».

В ходе обследования собираются данные:

  • об организационно-штатной структуре заказчика;
  • о мерах физической безопасности;
  • о структуре, техническом и программном составе информационных систем;
  • об архитектуре информационных систем;
  • о технологических процессах обработки ПДн;
  • о существующих средствах и механизмах обеспечения безопасности ПДн.

В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

Заказать экспресс-обследование

Максим Малкиев, руководитель группы технической защиты информации «СКБ Контур», (проект «Контур-Безопасность»)

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
1010 просмотров
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше

Комментарии

Комментарии Написать свой
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.