152-ФЗ: ожидание и реальность. Эксперты: персональные данные будут главной мишенью киберпреступников в ближайшие годы.
Персональные данные людей привлекают все больше внимания со стороны злоумышленников и становятся одной из главных мишеней кибератак в современном цифровом мире. К такому мнению пришли эксперты на семинаре «152-ФЗ: ожидания и реальность», посвященном широкому спектру вопросов безопасной работы с персональными данными.
Любые личные данные – из отсканированного паспорта, СНИЛС или ИНН — могут с легкостью использовать преступники, например, для оформления электронной подписи в удостоверяющем центре, считает
Борис Меркулов, инженер по облачным решениям и информационной безопасности Linxdatacenter.
Обладание такой подписью позволит им далее открывать и закрывать ИП или ООО, подписывать платежные документы, обращаться в банки за займами от имени человека, чьи данные были похищены. Если посмотреть на историю последних крупных утечек данных в мире, то акцент именно на ПДн будет очевиден. Профессиональные решения в области информационной безопасности, которые обеспечивают соблюдение требований законов о ПДн, – это уже не опция, а необходимость
С ним согласна
Наталия Неверовская, партнер юридической фирмы «Юникомлигал».
Если раньше по вопросам ПДн к нам обращались в основном иностранные компании, то сегодня наблюдается шквал таких обращений буквально от всех – начиная от серьезных бизнес-игроков вплоть до театров, музеев, библиотек и медицинских клиник. Новые форматы предоставления услуг и проникновение цифровых инструментов в сферы, ориентированные на конечного пользователя (торговля, банки, страхование), серьезно расширили как объем используемых современной экономикой ПДн, так и перечень типов данных, подпадающих под это определение. Сегодня под персональной информацией человека принято подразумевать любые данные, позволяющие идентифицировать личность человека: номер телефона, IP-адрес, никнейм на различных ресурсах в Интернете – все это является ПДн
Таким образом, любая компания и организация сегодня так или иначе является оператором данных, а, значит, несет определенные законом обязанности и ограничения.
Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter, отметила важность соблюдения всех этапов проекта по организации защиты ПДн. Самый важный этап – аудит, поскольку по его итогам выявляются текущая ситуация с обработкой ПДн в организации, намечаются контуры архитектуры будущего решения, распределяются роли ответственных за проект сотрудников. Например, именно на этапе аудита необходимо назначить руководителя проекта, который станет ответственным лицом по обработке данных для дальнейших контактов с Роскомнадзором.
Второй важный момент – осознание непрерывности задач по работе с ПДн в структуре бизнес-процессов компании. Любые изменения бизнес-процессов, структуры штата, обновления законодательства и правоприменительной практики обязывают компанию проводить обновление всех регламентов, процессов, архитектуры, моделей актуальных угроз и т.д.
Участники семинара отметили перспективу необходимости приводить к единому знаменателю требования российского 152-ФЗ и европейского GDPR, а также роль в процессах защиты ПДн такой составляющей, как обучение персонала процессам обработки данных. Закон дает определенную свободу: каждый оператор самостоятельно решает, какие данные хранить, каким способом и как долго, как уничтожать и т.д. Индивидуальная внутренняя политика организаций в области защиты данных должна быть не только разработана, но и доведена до сотрудников.
После аудита бизнес-процессов, получения заключения, моделирования угроз и определения необходимого уровня защиты ПДн начинается работа над созданием ТЗ, ТП и ОРД. Внедрение системы защиты ПДн происходит сегодня только на базе данного набора проектной документации и согласно указанной последовательности действий
подчеркивает Ольга Ермакова.
Эксперты сошлись во мнении, что проекты по защите ПДн имеет смысл отдавать на аутсорсинг подрядчику, компетенции которого сочетают в себя необходимый уровень юридической и технической экспертизы.
Такой подход потребует больше времени, денег и не предоставит большого выбора подходящих исполнителей, но зато гарантирует 100% соблюдение требований законодательства, защитит ПДн субъектов на должном уровне, а также гарантирует понимание всех тонкостей обработки личных данных применительно к задачам конкретного бизнеса
рассказала Ольга Ермакова
Локальная система информационной защиты виртуальных машин потребляет много вычислительных ресурсов, замедляет их быстродействие и повышает нагрузку на сеть. Передача же обработки ПДн в облако внешнему сервис-провайдеру позволяет обеспечить высокую скорость работы ИТ-системы и завязанных на ней бизнес-процессов при одновременном выполнении всех требований, связанных с ИБ. В облаках это обеспечивается безагентским подходом к реализации комплекса ИБ-мер, когда антивирусы, сканеры и другие инструменты получают доступ к ресурсам ИТ-системы без установки программы-агента на тот же сервер, что повышает скорость сканирования виртуальных машин, портов, узлов сети и т.д.
Также облака предоставляют возможности масштабировать любые ИТ ресурсы, в том числе для обеспечения необходимого уровня защиты данных, по запросу в зависимости от требований компании. К примеру, инструменты виртуализации VMware, используемые в составе облачных сервисов Linxdatacenter, позволяют эмулировать ИБ-компоненты ИТ инфраструктуры, включая программные свитчи типа NSX Edge Gateway, для гарантии полной безопасности всех подключений.
Семинар был организован компанией Linxdatacenter, международным экспертом в сфере высокотехнологичных решений по хранению данных, облачных сервисов и телекоммуникаций, при информационной поддержке Российско-Британской торговой палаты и Финско Российской торговой палаты в Москве.
Фотографии с мероприятия доступны по
ссылке.
Краткая справка о Linxdatacenter
Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.
Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform. Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.
Подробнее о решениях Linxdatacenter на сайте
ru.linxdatacenter.com
Финско-Российская торговая палата – это уникальная сеть возможностей Финско-Российская торговая палата, ФРТП, является ведущей экспертной организацией в вопросах двусторонней торговли между Финляндией и Россией. ФРТП соединяет финское ноу-хау с возможностями российского рынка. В нашей команде работает более 20 экспертов по торговле с Россией. Мы обслуживаем 700 финских и российских компаний-членов и всех заинтересованных в развитии двустороннего бизнеса. Мы создаем возможности для развития бизнеса между Финляндией и Россией, предоставляя компаниям лучший способ использования потенциала финско-российской торговли. Наша главная задача – содействовать успеху нашего клиента. Мы предоставим вам актуальную и достоверную информацию о финско-российской торговле и бизнесе.
svkk.ru
Российско-Британская Торговая Палата (РБТП) является некоммерческой общественной организацией, одной из немногих двусторонних Палат в мире, содействующей развитию торгово- экономических связей между Россией и Великобританией c 1916 года. Его Королевское Высочество Принц Майкл Кентский является Патроном РБТП. Главный офис компании находится в Лондоне и филиал в Москве.
Услуги РБТП предоставляются как для корпораций, так и компаний разного уровня, которые уже давно работают или только вступают на международный рынок. РБТП оказывает услуги по поиску потенциальных деловых партнеров и проводит мероприятия для возможности расширения клиентской базы членов Палаты.
РБТП организует торговые миссии для российских и британских компаний и руководителей регионов. Мы регулярно проводим деловые завтраки, конференции и семинары, бизнес брифинги и ежемесячные встречи членов Палаты. Участие в таких мероприятиях создаёт идеальные условия для распространения информации о деятельности членов РБТП.
rbcc.com