Защита финансовой информации: как избежать утечек
Узнать большеПерсональные данные граждан (ПДн), которые используются операторами для целевой обработки, обладают повышенным статусом защиты. Существует целый ряд законодательных актов, устанавливающих порядок работы с персональной информацией, принципы обеспечения защиты и требования. Одним из таких регулирующих документов выступает 21 приказ ФСТЭК России от 18.02.2013 г. Документ содержит технические аспекты защиты ПДн и сопутствующие полезные сведения.
Приказ ФСТЭК 21: кратко о главном
Этот нормативный документ выступает в качестве дополнения к 152-ФЗ от 27.07.2006 г. Содержит рекомендации и требования по обеспечению технической защиты ПДн и предотвращению утечек данных. В частности, 21-й приказ ФСТЭК регламентирует:
-
Порядок и принципы идентификации, аутентификации пользователей, допущенных к обработке ПДн;
-
Особенности управления системой доступа к ПДн;
-
Требования к программной среде, ограничения по использованию ПО;
-
Обеспечение физической защиты ПК, на которых хранятся персональные сведения;
-
Правила фиксации случаев инцидентов безопасности;
-
Правила обеспечения антивирусной защиты;
-
Методы учета случаев проникновения злоумышленников в закрытый информационный периметр;
-
Порядок контроля, оценки защищенности ПДн.
21 приказ ФСТЭК России: применение на практике
Выход этого нормативного акта помог операторам ПДн разобраться с неопределенностью. Во-первых, в нем были обозначены конкретные меры, средства обеспечения технической безопасности ПДн. Во-вторых, приказ отличался актуальностью и касался таких важных моментов, как облачные хранилища, мобильные платформы.
Тем не менее, понимая очевидную пользу рекомендаций регулятора, стоит отметить, что часть представленных мер обладает избыточным характером. В частности, 21-й приказ ФСТЭК включает целых 15 групп мер по защите ПДн, дополнительно расширенных 2-20 решениями. Это привело к усложнению реализации операторами требований 21 приказа ФСТЭК, потому что большинство обозначенных мер носит базовый и обязательный характер для всех четырех уровней защищенности.
В целом 21 приказ ФСТЭК России оставляет широкую свободу оператору в выборе стратегии защиты, ее полноты и подходов к реализации. Конкретные указания и подробный перечень мер позволяют провести мероприятия по обеспечению защиты ПДн самостоятельно без привлечения сторонних организаций. Однако размытость ряда формулировок, неопределенность позиции регулятора по отдельным вопросам могут стать камнем преткновения на пути реализации требований на практике.
Как должен действовать оператор, чтобы соблюсти требования 21 приказа ФСТЭК?
-
Предварительно изучить ПП РФ № 1119. Это нужно для понимания уровня защищенности информационной системы, которую нужно будет обеспечить. Уровень напрямую зависит от категории ПДн и их объема.
-
Проанализировать предложенные ФСТЭК меры защиты, которые соответствуют уровню защищенности. Необходимо выбрать и составить полный перечень базовых мер, потому что все они обязательны к исполнению.
-
Из подготовленного перечня защитных мер исключаются те, которые изначально не учитывались ввиду нехватки технических возможностей у оператора. Например, облачные технологии, средства виртуализации информации и прочие варианты.
-
Сопоставить подходящие защитные меры с предварительно смоделированными угрозами, актуальными на данный момент времени. В итоге должны быть охвачены все угрозы ПДн. Если этого не произошло – включаем компенсационные меры защиты.
-
Подготовить одобренный перечень мер, обеспечивающих требуемый уровень безопасности информации.
-
Составить график реализации защитных мер ПДн, приступить к его планомерному воплощению.
21 приказ ФСТЭК России демонстрирует смягчение требований в области информационной безопасности. Регулятор предлагает конкретные варианты и подходы. Требуется только сопоставить предложенные решения с моделями угроз, выбрать подходящие и реализовать. Не стоит также забывать, что защита ПДн исключает чрезмерность. В этом вопросе будет полезно использовать решения DLP-класса типа Solar Dozor. Он предотвращает несанкционированную передачу ПДн, находит признаки корпоративного мошенничества, поэтому будет полезен любой компании, которая ведет обработку ПДн.