14 октября 2020 г., среда

Отраслевые мероприятия (Беларусь)

12 октября, 2020

О переносе даты проведения VIII международной выставки-форума «Центр безопасности. 2020»

1 июля, 2020

Запись вебинара – разработка BIM моделей АСПС

13 апреля, 2020

«Центр безопасности. 2020» – текущая ситуация

16 февраля, 2020

Новый практический курс «СКУД PERCo» в Образовательном центре АЭРКОМ

2 февраля, 2020

Конференция «СКУД – технологии и практика»

16 января, 2020

Обучение по базовому сертификационному курсу PERCo

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
Персональные данные. Меры по защите – возможность выбора или нормативное регулирование?
1 сентября, 2011

Республика Беларусь практически единственная страна в Европе, где тема нормативного регулирования защиты персональных данных остается не тронутой.

10 августа 2011 в стране произошел очередной инцидент, данные о примерно 2-х тысячах белорусов, подавших электронные заявления на получение услуг МТБанка (паспортные и личные данные, информация о занятости, адреса и т.п. ) попали в открытый доступ на сайте банка. Случай получился достаточно резонансным, было высказано много комментариев. При этом мало говорилось о необходимости принятия нормативных мер по защите персональных данных на государственном уровне.

Журнал «Технологии безопасности» провел опрос ряда белорусских экспертов, специалистов по информационной безопасности. Какова необходимость принятия Закона о персональных данных (ЗПД) в стране, существует ли возможность выбора мер по защите баз данных для операторов или требуется жесткое государственное нормативное регулирование

Какова необходимость разработки «Закона о персональных данных» в РБ? 

Александр Сапрыкин (директор «С-Терра Бел») 

Нужно начинать. И причин тут несколько. В Конвенции Совета Европы ETS N108 «О защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 года, и в законодательствах стран, присоединившихся к Конвенции и реализующих защиту персональных данных (ПД) (все страны Европы, а также Россия, Украина, Молдова, Армения, Азербайджан, Грузия, страны Прибалтики и др.), есть требования по ограничению информационного трансграничного обмена данными со странами, не обеспечивающими защиту персональных данных (консульские, миграционные, таможенные потоки, авиа-, жд-перевозки, банковское и страховое взаимодействие и т.п. ). Оказаться в информационной изоляции транзитной стране в центре Европы вовсе не нужно.

С развитием технологий и электронного государства безопасность граждан напрямую зависит от того, защищены ли их ПД в многочисленных информационных системах различных субъектов хозяйствования.

Анатолий Тепляков (директор НТЦ «Контакт»)

Закон давно необходим. Но поскольку он непосредственно касается персональной (частной) информации и вроде бы не касается госструктур, некому выступить с инициативой о его введении. В требованиях ОАЦ, например, постановлении №675 защита информации ограниченного распространения — это как раз об этом. Принятие закона упорядочило бы работу с ПД, позволило бы повысить требования к их защите и, в результате, обеспечило бы высокий уровень безопасности этих данных.

Какой должен быть уровень прописанных технических требований для операторов персональных данных?

Александр Сапрыкин (директор «С-Терра Бел») 

На примере других стран, лучшее решение – подготовка и принятие отраслевых стандартов безопасности, учитывающих специфику отрасли (ИС с ПД в банках, GSM-операторов, в медицине – разные). Начинать следует с организационных аспектов, нормативных актов, затем постепенная практическая реализация (на несколько лет). РФ реализует «Закон о персональных данных» (ЗПД) с 2007 года и проблем еще хватает (постоянно идет работа над поправками).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

В республике определен порядок разработки, внедрения и подтверждения соответствия продукции требованиям технических нормативных правовых актов. В рамках этого порядка, возможно, провести разработку необходимых проектов предстандартов (профилей) по защите персональных данных c учетом, особенностей сфер использования систем данного класса.

Анатолий Тепляков (директор НТЦ «Контакт»)

Разный, в зависимости от объема обрабатываемых и хранимых персональных данных.

Какие современные тенденции необходимо учесть для обеспечения баланса интересов оператора и субъекта?

Александр Сапрыкин (директор «С-Терра Бел»)

Технологии ИКТ развиваются стремительно – «СМС-банкинг», «Мобильный банкинг», оплата услуг по Интернет и т.п. Во всех этих нововведениях незащищенными всегда оказываются «субъекты» – граждане, доверившие свои ПД оператору. У операторов хорошие юристы и все конфликтные ситуации в заключаемых контрактах с клиентами спрогнозированы и однозначно решаются в пользу операторов.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Требования по защите персональных данных должны быть сегментированы по возможным типовым сферам применения. Мероприятия по защите ПД должны быть адекватными возможным информационным угрозам, также они не должны быть обременительными для организаций – операторов информационных систем, как в финансовом, так и в организационном плане.

Важно рассмотреть возможность делегирования принятия, регламентирующие документов по отдельным вопросам обработки ПД не только органам государственного и местного управления, а также и ассоциациям (союзам) и иным объединениям операторов.

Иван Чурносов (начальник управления «Центр банковских технологий»)

Оператор должен нести достаточную финансовую ответственность за сохранность информации, персональных данных субъекта.

Анатолий Тепляков (директор НТЦ «Контакт»)

Количество и состав персональных данных, доступных в сети растет лавинообразно. В некоторых случаях открытая информация позволяет раскрывать госсекреты. Практически все крупные производители программного обеспечения и аппаратных средств начали применять криптографическую защиту. Быстро растет объем продаж средств сетевых средств защиты. Субъект должен получить гарантии защищенности своих персональных данных – это основа использования их оператором. С другой стороны доля затрат на средства защиты будет уменьшаться у крупных операторов – мелким ведь все равно придется обеспечить минимальный уровень защиты.

Насколько реально смоделировать все угрозы для информациолнных систем (ИС) и внедрить комплекс технических мер защиты? (установка подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования и пр.)?

Александр Сапрыкин (директор «С-Терра Бел»)

«Велосипед» изобретать не нужно – в развитых информационных странах этот комплекс средств защиты информации давно и эффективно реализуется.  У нас это также возможно реализовать – на рынке представлен практически весь спектр соответствующих средств защиты информации. Повысится спрос, появится и более богатый перечень предложений.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Моделирование угроз на ИС является сложной комплексной задачей. На практике, владельцу ИС часто не под силу самостоятельно провести полный комплекс исследований на предмет выявления информационных угроз на активы системы. Привлечение к этим работам специализированной организации, имеющей лицензию позволит решить задачу на современном технологическом уровне. Опыт РФ в вопросе построения защищенных ИС обработки ПД показывает, что типовые методические проекты организационно-технических документов по защите информации в ИС значительно облегчают владельцу ИС решение задач связанных с организацией защиты активов.

Анатолий Тепляков (директор НТЦ «Контакт»)

Не только реально, это просто необходимо. Другого пути нет. Обеспечивать защиту без учета угроз, без моделей злоумышленника, учета уязвимостей – просто выбрасывать деньги на ветер.

Насколько могут повыситься расходы организаций на установку, защиту систем обработки персональных данных?

Александр Сапрыкин (директор «С-Терра Бел»)

Если требования по защите ПД  станут неотъемлемой составляющей деятельности организаций, то подобная «нагрузка» ложится на всех одинаково и все работают в одних изменившихся условиях. Именно так и происходит в Европе уже тридцать лет – это обычные расходы – как нельзя построить здание без кирпича, так и ИС операторов персональных данных без сертифицированных средств защиты.

Нельзя сказать, что средств защиты у наших банков нет (и других операторов ПД) – все дело в том, что этот процесс субъективный, отданный на волю самих субъектов – одни что-то делают в этом плане, другие нет.

Иного пути в этом вопросе, чем сертификация и аттестация ИС субъектов не существует. Это необходимо, чтобы наши эксперты смогли дать оценку применяемых систем безопасности на соответствие минимальным требованиям в этой сфере (ТНПА, отраслевым стандартам).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Расходы на защиту ПД в ИС во многом зависят от топологии, структуры построения и особенностей работы ИС. Естественно проведение мероприятий по защите информации и внедрение средств защиты потребуют расходов. Стоимость средств защиты зависит от конкретного поставщика, выбора производителя, и тех решений по безопасности, которые внедрены в организации – операторе персональных данных.

Собственник информационной системы, имея подготовленный персонал, может значительно сократить расходы в части подготовки организационных документов.

Анатолий Тепляков (директор НТЦ «Контакт»)

У некоторых организаций расходы практически останутся на прежнем уровне или увеличится незначительно. В крупных банках, эта работа уже ведется давно, изменится лишь то, что их предположения станут требованиями закона и подзаконных актов. Ну, а для тех, кто ничего до сих пор не предпринимал, конечно, наступят тяжелые времена. Можно предположить, что работа систематизируется, а в связи с этим, нормализуются расходы.

Как вы можете оценить возможности сертифицирующих органов и уровень сертификации информационных систем в РБ?

Александр Сапрыкин (директор «С-Терра Бел»)

Все возможности у нас имеются – и профессионалы в Оперативно-аналитическом центре при Президенте Республики Беларусь (главный регулятор этих процессов) и собственная школа криптографии, и отечественные производители систем защиты информации (СЗИ). Другое дело, что мы находимся в начале пути – ведь аттестованных по безопасности ИС не имеют, к примеру, даже главные банки нашей республики – Национальный и Беларусбанк. В частности, Национальный банк начал еще в прошлом году процесс по подготовке к аттестации своих ИС по безопасности, хотя они изначально не могут быть аттестованы, поскольку в них нет, к примеру, основного составного элемента – сертифицированных средств криптографической защиты информации (шифрования). Кстати, еще один существенный момент – если в республике  заработает законодательство по защите персональных данных, то это даст мощный толчок развитию всей национальной отрасли информационной безопасности, обеспечивающей в электронном государстве функции, которые сродни понятию суверенитет и независимость. Ведь чужую криптографию с ее возможными «закладками» проверить невозможно. Сейчас же вся отрасль «сидит» на бюджете, средства на ее развитие поступают только из кармана налогоплательщика – через бюджеты госорганов. Доля расходов операторов на безопасность (а это главным образом коммерческие структуры), может составлять две трети от суммарных затрат (операторы+госорганы).

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

В настоящий момент в РБ имеется достаточно высокий потенциал специалистов по защите информации. Создана, и действует система лицензирования работ и услуг в области защиты информации, организованы и регламентированы процедуры проведения сертификации и государственной экспертизы средств защиты информации.

Анатолий Тепляков (директор НТЦ «Контакт»)

Работа по сертификации средств защиты в Республике Беларусь находится на значительно более высоком уровне, чем например, в РФ. В некоторых случаях чуть хуже, чем в развитых странах Запада, но это связано с недостатком средств. В остальном нам есть чем гордиться.

Тенденции в РБ – «утечки» происходят всегда в коммерческих структурах, почему? Значит ли, что в государственных органах методики ЗПД выстроены лучше?

Александр Сапрыкин (директор «С-Терра Бел»)

В государственных органах с вступлением в силу в мае 2009 года закона об информации, информатизации и защите информации процесс защиты информации начался, хотя никаких временных рамок в этом вопросе не обозначено. Одни подходят к этому ответственно, другие выжидают – причины всегда найдутся – нет бюджета, нет специалистов и т.п. 

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Нештатные ситуации возможны в любых системах. Другой вопрос, какие требования по безопасности обработки персональных данных предъявлялись к информационной системе на этапе ее создания и развертывания, как информационная система проходила испытания на предмет работы в нештатных (аварийных) ситуациях, какие организационно-технические меры предприняты оператором системы для контроля состояния критичных активов информационной системы.

По сути, на ряду с необходимостью создания правовой и нормативно-технической базы в обществе необходимо формировать культуру защиты персональной информации и к этому необходимо делать первые шаги.

Анатолий Тепляков (директор НТЦ «Контакт»)

Можно предположить, что утечки происходят и в госстуктурах, но далеко не всегда обнародуются. С другой стороны, система обеспечения безопасности информации в РБ ориентирована в основном на госсектор. Негосударственные структуры в этом смысле принимают решения при недостатке регулятивных норм.

С вашей точки зрения – закон о защите персональных данных, какой страны может служить примером для РБ? 

Александр Сапрыкин (директор «С-Терра Бел»)

С Европой трудно сравнивать, они тридцать лет над этим работают – это уже эволюция, образец, который достичь можно лишь со временем. В СНГ: Армения занимается ЗПД с 2003 года, Россия и Молдова с 2007 года, Азербайджан и Украина – с 2011 года. Россия является наиболее обеспеченной страной, там и реализация национальных требований носит наиболее полный и развернутый характер. Политические и экономические катаклизмы на Украине не могли не сказаться и на этой проблеме – решается она несколько сумбурно и хаотично. Дело не только в формальном присоединении к ЗПД, но и в том, насколько в этот процесс привнесена национальная специфика. Самый трудный, но и понятный подход – придерживаться и развивать свои стандарты. Но это и обязывает к активной работе всех – регуляторов, производителей, операторов. Времени на раскачку нет – ведь надо параллельно с развитием ИТ-технологий (что у нас происходит) обеспечивать адекватное развитие СЗИ (этого пока нет), иначе последние могут стать тормозом для построения современного электронного государства.

Алла Сысун (руководитель отдела разработки прикладных систем «БЕЛХАРД КОМПЬЮТЕР»)

Безусловно, опыт стран Евросоюза и Российской Федерации является основополагающим в этом вопросе.

Анатолий Тепляков (директор НТЦ «Контакт»)

Мне кажется, нам ближе законодательство и опыт России.         

Гл. редактор журнала «Технологии безопасности»        Драгун Сергей

Aercom.by

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.