Aercom.by - Новости безопасности в Беларуси и СНГ

25 сентября 2017 г., понедельник

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Персональные данные. Меры по защите – возможность выбора или нормативное регулирование?
1 сентября, 2011

Республика Беларусь практически единственная страна в Европе, где тема нормативного регулирования защиты персональных данных остается не тронутой.

10 августа 2011 в стране произошел очередной инцидент, данные о примерно 2-х тысячах белорусов, подавших электронные заявления на получение услуг МТБанка (паспортные и личные данные, информация о занятости, адреса и т.п. ) попали в открытый доступ на сайте банка. Случай получился достаточно резонансным, было высказано много комментариев. При этом мало говорилось о необходимости принятия нормативных мер по защите персональных данных на государственном уровне.

Журнал «Технологии безопасности» провел опрос ряда белорусских экспертов, специалистов по информационной безопасности. Какова необходимость принятия Закона о персональных данных (ЗПД) в стране, существует ли возможность выбора мер по защите баз данных для операторов или требуется жесткое государственное нормативное регулирование

Какова необходимость разработки «Закона о персональных данных» в РБ? 

Александр Сапрыкин (директор «С-Терра Бел») 

Нужно начинать. И причин тут несколько. В Конвенции Совета Европы ETS N108 «О защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 года, и в законодательствах стран, присоединившихся к Конвенции и реализующих защиту персональных данных (ПД) (все страны Европы, а также Россия, Украина, Молдова, Армения, Азербайджан, Грузия, страны Прибалтики и др.), есть требования по ограничению информационного трансграничного обмена данными со странами, не обеспечивающими защиту персональных данных (консульские, миграционные, таможенные потоки, авиа-, жд-перевозки, банковское и страховое взаимодействие и т.п. ). Оказаться в информационной изоляции транзитной стране в центре Европы вовсе не нужно.

С развитием технологий и электронного государства безопасность граждан напрямую зависит от того, защищены ли их ПД в многочисленных информационных системах различных субъектов хозяйствования.

Анатолий Тепляков (директор НТЦ «Контакт»)

Закон давно необходим. Но поскольку он непосредственно касается персональной (частной) информации и вроде бы не касается госструктур, некому выступить с инициативой о его введении. В требованиях ОАЦ, например, постановлении №675 защита информации ограниченного распространения — это как раз об этом. Принятие закона упорядочило бы работу с ПД, позволило бы повысить требования к их защите и, в результате, обеспечило бы высокий уровень безопасности этих данных.

Какой должен быть уровень прописанных технических требований для операторов персональных данных?

Александр Сапрыкин (директор «С-Терра Бел») 

На примере других стран, лучшее решение – подготовка и принятие отраслевых стандартов безопасности, учитывающих специфику отрасли (ИС с ПД в банках, GSM-операторов, в медицине – разные). Начинать следует с организационных аспектов, нормативных актов, затем постепенная практическая реализация (на несколько лет). РФ реализует «Закон о персональных данных» (ЗПД) с 2007 года и проблем еще хватает (постоянно идет работа над поправками).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

В республике определен порядок разработки, внедрения и подтверждения соответствия продукции требованиям технических нормативных правовых актов. В рамках этого порядка, возможно, провести разработку необходимых проектов предстандартов (профилей) по защите персональных данных c учетом, особенностей сфер использования систем данного класса.

Анатолий Тепляков (директор НТЦ «Контакт»)

Разный, в зависимости от объема обрабатываемых и хранимых персональных данных.

Какие современные тенденции необходимо учесть для обеспечения баланса интересов оператора и субъекта?

Александр Сапрыкин (директор «С-Терра Бел»)

Технологии ИКТ развиваются стремительно – «СМС-банкинг», «Мобильный банкинг», оплата услуг по Интернет и т.п. Во всех этих нововведениях незащищенными всегда оказываются «субъекты» – граждане, доверившие свои ПД оператору. У операторов хорошие юристы и все конфликтные ситуации в заключаемых контрактах с клиентами спрогнозированы и однозначно решаются в пользу операторов.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Требования по защите персональных данных должны быть сегментированы по возможным типовым сферам применения. Мероприятия по защите ПД должны быть адекватными возможным информационным угрозам, также они не должны быть обременительными для организаций – операторов информационных систем, как в финансовом, так и в организационном плане.

Важно рассмотреть возможность делегирования принятия, регламентирующие документов по отдельным вопросам обработки ПД не только органам государственного и местного управления, а также и ассоциациям (союзам) и иным объединениям операторов.

Иван Чурносов (начальник управления «Центр банковских технологий»)

Оператор должен нести достаточную финансовую ответственность за сохранность информации, персональных данных субъекта.

Анатолий Тепляков (директор НТЦ «Контакт»)

Количество и состав персональных данных, доступных в сети растет лавинообразно. В некоторых случаях открытая информация позволяет раскрывать госсекреты. Практически все крупные производители программного обеспечения и аппаратных средств начали применять криптографическую защиту. Быстро растет объем продаж средств сетевых средств защиты. Субъект должен получить гарантии защищенности своих персональных данных – это основа использования их оператором. С другой стороны доля затрат на средства защиты будет уменьшаться у крупных операторов – мелким ведь все равно придется обеспечить минимальный уровень защиты.

Насколько реально смоделировать все угрозы для информациолнных систем (ИС) и внедрить комплекс технических мер защиты? (установка подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования и пр.)?

Александр Сапрыкин (директор «С-Терра Бел»)

«Велосипед» изобретать не нужно – в развитых информационных странах этот комплекс средств защиты информации давно и эффективно реализуется.  У нас это также возможно реализовать – на рынке представлен практически весь спектр соответствующих средств защиты информации. Повысится спрос, появится и более богатый перечень предложений.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Моделирование угроз на ИС является сложной комплексной задачей. На практике, владельцу ИС часто не под силу самостоятельно провести полный комплекс исследований на предмет выявления информационных угроз на активы системы. Привлечение к этим работам специализированной организации, имеющей лицензию позволит решить задачу на современном технологическом уровне. Опыт РФ в вопросе построения защищенных ИС обработки ПД показывает, что типовые методические проекты организационно-технических документов по защите информации в ИС значительно облегчают владельцу ИС решение задач связанных с организацией защиты активов.

Анатолий Тепляков (директор НТЦ «Контакт»)

Не только реально, это просто необходимо. Другого пути нет. Обеспечивать защиту без учета угроз, без моделей злоумышленника, учета уязвимостей – просто выбрасывать деньги на ветер.

Насколько могут повыситься расходы организаций на установку, защиту систем обработки персональных данных?

Александр Сапрыкин (директор «С-Терра Бел»)

Если требования по защите ПД  станут неотъемлемой составляющей деятельности организаций, то подобная «нагрузка» ложится на всех одинаково и все работают в одних изменившихся условиях. Именно так и происходит в Европе уже тридцать лет – это обычные расходы – как нельзя построить здание без кирпича, так и ИС операторов персональных данных без сертифицированных средств защиты.

Нельзя сказать, что средств защиты у наших банков нет (и других операторов ПД) – все дело в том, что этот процесс субъективный, отданный на волю самих субъектов – одни что-то делают в этом плане, другие нет.

Иного пути в этом вопросе, чем сертификация и аттестация ИС субъектов не существует. Это необходимо, чтобы наши эксперты смогли дать оценку применяемых систем безопасности на соответствие минимальным требованиям в этой сфере (ТНПА, отраслевым стандартам).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Расходы на защиту ПД в ИС во многом зависят от топологии, структуры построения и особенностей работы ИС. Естественно проведение мероприятий по защите информации и внедрение средств защиты потребуют расходов. Стоимость средств защиты зависит от конкретного поставщика, выбора производителя, и тех решений по безопасности, которые внедрены в организации – операторе персональных данных.

Собственник информационной системы, имея подготовленный персонал, может значительно сократить расходы в части подготовки организационных документов.

Анатолий Тепляков (директор НТЦ «Контакт»)

У некоторых организаций расходы практически останутся на прежнем уровне или увеличится незначительно. В крупных банках, эта работа уже ведется давно, изменится лишь то, что их предположения станут требованиями закона и подзаконных актов. Ну, а для тех, кто ничего до сих пор не предпринимал, конечно, наступят тяжелые времена. Можно предположить, что работа систематизируется, а в связи с этим, нормализуются расходы.

Как вы можете оценить возможности сертифицирующих органов и уровень сертификации информационных систем в РБ?

Александр Сапрыкин (директор «С-Терра Бел»)

Все возможности у нас имеются – и профессионалы в Оперативно-аналитическом центре при Президенте Республики Беларусь (главный регулятор этих процессов) и собственная школа криптографии, и отечественные производители систем защиты информации (СЗИ). Другое дело, что мы находимся в начале пути – ведь аттестованных по безопасности ИС не имеют, к примеру, даже главные банки нашей республики – Национальный и Беларусбанк. В частности, Национальный банк начал еще в прошлом году процесс по подготовке к аттестации своих ИС по безопасности, хотя они изначально не могут быть аттестованы, поскольку в них нет, к примеру, основного составного элемента – сертифицированных средств криптографической защиты информации (шифрования). Кстати, еще один существенный момент – если в республике  заработает законодательство по защите персональных данных, то это даст мощный толчок развитию всей национальной отрасли информационной безопасности, обеспечивающей в электронном государстве функции, которые сродни понятию суверенитет и независимость. Ведь чужую криптографию с ее возможными «закладками» проверить невозможно. Сейчас же вся отрасль «сидит» на бюджете, средства на ее развитие поступают только из кармана налогоплательщика – через бюджеты госорганов. Доля расходов операторов на безопасность (а это главным образом коммерческие структуры), может составлять две трети от суммарных затрат (операторы+госорганы).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

В настоящий момент в РБ имеется достаточно высокий потенциал специалистов по защите информации. Создана, и действует система лицензирования работ и услуг в области защиты информации, организованы и регламентированы процедуры проведения сертификации и государственной экспертизы средств защиты информации.

Анатолий Тепляков (директор НТЦ «Контакт»)

Работа по сертификации средств защиты в Республике Беларусь находится на значительно более высоком уровне, чем например, в РФ. В некоторых случаях чуть хуже, чем в развитых странах Запада, но это связано с недостатком средств. В остальном нам есть чем гордиться.

Тенденции в РБ – «утечки» происходят всегда в коммерческих структурах, почему? Значит ли, что в государственных органах методики ЗПД выстроены лучше?

Александр Сапрыкин (директор «С-Терра Бел»)

В государственных органах с вступлением в силу в мае 2009 года закона об информации, информатизации и защите информации процесс защиты информации начался, хотя никаких временных рамок в этом вопросе не обозначено. Одни подходят к этому ответственно, другие выжидают – причины всегда найдутся – нет бюджета, нет специалистов и т.п. 

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Нештатные ситуации возможны в любых системах. Другой вопрос, какие требования по безопасности обработки персональных данных предъявлялись к информационной системе на этапе ее создания и развертывания, как информационная система проходила испытания на предмет работы в нештатных (аварийных) ситуациях, какие организационно-технические меры предприняты оператором системы для контроля состояния критичных активов информационной системы.

По сути, на ряду с необходимостью создания правовой и нормативно-технической базы в обществе необходимо формировать культуру защиты персональной информации и к этому необходимо делать первые шаги.

Анатолий Тепляков (директор НТЦ «Контакт»)

Можно предположить, что утечки происходят и в госстуктурах, но далеко не всегда обнародуются. С другой стороны, система обеспечения безопасности информации в РБ ориентирована в основном на госсектор. Негосударственные структуры в этом смысле принимают решения при недостатке регулятивных норм.

С вашей точки зрения – закон о защите персональных данных, какой страны может служить примером для РБ? 

Александр Сапрыкин (директор «С-Терра Бел»)

С Европой трудно сравнивать, они тридцать лет над этим работают – это уже эволюция, образец, который достичь можно лишь со временем. В СНГ: Армения занимается ЗПД с 2003 года, Россия и Молдова с 2007 года, Азербайджан и Украина – с 2011 года. Россия является наиболее обеспеченной страной, там и реализация национальных требований носит наиболее полный и развернутый характер. Политические и экономические катаклизмы на Украине не могли не сказаться и на этой проблеме – решается она несколько сумбурно и хаотично. Дело не только в формальном присоединении к ЗПД, но и в том, насколько в этот процесс привнесена национальная специфика. Самый трудный, но и понятный подход – придерживаться и развивать свои стандарты. Но это и обязывает к активной работе всех – регуляторов, производителей, операторов. Времени на раскачку нет – ведь надо параллельно с развитием ИТ-технологий (что у нас происходит) обеспечивать адекватное развитие СЗИ (этого пока нет), иначе последние могут стать тормозом для построения современного электронного государства.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Безусловно, опыт стран Евросоюза и Российской Федерации является основополагающим в этом вопросе.

Анатолий Тепляков (директор НТЦ «Контакт»)

Мне кажется, нам ближе законодательство и опыт России.         

Гл. редактор журнала «Технологии безопасности»        Драгун Сергей

Aercom.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.