(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Персональные данные на практике остаются беззащитными

Источник: cnews
Владимир Ульянов

Утечки персональных данных, огромное количество которых сосредоточено в информационных сетях российских компаний, приводят к серьезным финансовым и репутационным издержкам. В корне явления лежат несколько причин, не последняя из которых - практическое неисполнение законодательных нормативов в области защиты персональных данных.

Как показывает практика, внимание компаний к каким бы то ни было проблемам зависит от масштаба этих проблем и их влияния на бизнес. Защита персональных данных в этом плане не исключение. В общем случае, чем больше сведений хранят и обрабатывают компании, тем выше риски, ответственность и обеспокоенность менеджмента за сохранность данных.

По данным исследования, проведенного компанией Perimetrix, более половины российских компаний (52%) обрабатывают свыше 10 тыс. записей персональных данных. Утечка такого объема информации - это далеко не локальный инцидент, поскольку группу риска составляет количество людей, сравнимое с населением небольшого города. Очевидно, что в случае неблагоприятного исхода потери исчисляются не только суммой в денежном эквиваленте с большим количеством нулей - наносится ущерб и репутации компании.

Количество записей ПД в российских компаниях

 

 

 

 

 

 

 

 

 

                 Источник: Perimetrix, 2008

Примерно каждая шестая российская компания (15,3%) обрабатывает персональные данные более 1 млн человек. Это и государственные учреждения, и крупные коммерческие компании. Если такое предприятие представлено на фондовых рынках и об утечке информации из него станет известно, акции мгновенно потеряют в цене: инвесторы не станут дожидаться окончания расследования инцидента.

Защищенность персональных данных

По данным мировой статистики об инцидентах в сфере ИБ, около 90% всех утечек так или иначе связаны с действиями персонала. Таким образом, чем больше сотрудников обладает доступом к массивам персональных данных, тем выше риски утечки.

Кто имеет доступ к массивам ПД?

 

 

 

 

 

 

 

 

 

В диаграммах сумма долей больше 100%, поскольку респонденты имели возможность выбрать несколько вариантов ответа.

         Источник: Perimetrix, 2008

Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.

Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.

Кроме того, угрозу утечки персональных данных несут топ-менеджеры (21,9%) и аналитики (18,5%). Первые, отличаясь высоким уровнем халатности, нередко имеют полный доступ к корпоративным ресурсам, который им открывают ИТ-специалисты во избежание конфликтных ситуаций. У вторых, как правило, неоправданно широкий уровень доступа. Для решения большинства задач аналитикам достаточно обезличенных статистических выборок, а не массивов реальных персональных данных.

Отдельного упоминания заслуживают call-центры и службы технической поддержки. Вероятность утечки данных через них весьма высока, поскольку сотрудники этих отделов обычно не отличаются высокой лояльностью и не всегда достаточно компетентны в сфере безопасности. Проблема, связанная с подобными рисками, устраняется достаточно просто: ограничением доступа к массивам данных. "Слить" персональные данные миллиона людей поштучно очень непросто.

Если сравнить защищенность персональных данных и информации, которая составляет коммерческую тайну, можно сделать два вывода. Во-первых, российские компании понимают важность защиты персональных данных и защищают их не хуже, чем коммерческую тайну. Во-вторых, безопасность обоих типов информации находятся на одинаково низком уровне.

Защищенность ПД в сравнении с коммерческой тайной

 

 

 

 

 

 

 

 

 

                         Источник: Perimetrix, 2008

По данным исследования, "Инсайдерские угрозы в России 2008", два наиболее действенных класса систем защиты - решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек - имеют крайне низкий уровень проникновения (36% и 24% соответственно). Другие системы безопасности занимаются защитой исключительно от внешних вторжений.

Доступ к ПД извне

 

 

 

 

 

 

 

 

Источник: Perimetrix, 2008

Еще одну угрозу персональным данным представляет доступ к информации со стороны партнеров и аутсорсинговых партнеров. Хотя в России культура аутсорсинга сравнительно слабо развита, только две трети (64,3%) отечественных компаний имеют монопольный доступ к персональными данными, 24,7% организаций делятся информацией с дочерними и материнскими структурами, оставшиеся 11,1% несут риски утечки информации через партнеров по полной программе.

Персональные данные и законодательное регулирование

Использование персональных данных в отечественных организациях жестко регулируется законодательством с помощью федерального закона "О персональных данных". Этот документ, основной в данной сфере, вступил в действие 30 января 2007 года и, по сути, представляет собой перечень самых общих высокоуровневых требований к защите персональной информации. В силу того что конкретные детали в законе не рассматриваются, он в его нынешнем виде почти не может применяться в бизнесе. Без конкретики этот норматив едва ли имеет смысл, оставаясь лишь набором общих рекомендаций.

Публикация конкретизирующих нормативов - не единственный способ оживить этот мертвый закон. В конце 2007 года был назначен орган ("Россвязькомнадзор"), ответственный за реестр операторов персональных данных, и стартовала его разработка. Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. К середине ноября 2008 года в реестре содержались сведения почти о 25 тыс. операторов персональных данных.

Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается статистикой. Большинство специалистов (79,7%) уже пыталось вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

Осведомленность специалистов о ФЗ "О персональных данных"

 

 

 

 

 

 

 

 

 

                        Источник: Perimetrix, 2008

Пятая часть (20,3%) респондентов полагает, что их компании полностью удовлетворяют требованиям закона. Эта уверенность едва ли имеет под собой основания, учитывая размытость требований. Поскольку положения ФЗ могут по-разному толковаться, до появления конкретизирующих нормативов заявлять о полном соответствии опрометчиво. В данном контексте выглядят гораздо ближе к действительности сообщения более половины специалистов о том, что их компании не выполняют требования закона частично (46,3%) либо полностью (11,1%).

Соответствие требованиям ФЗ "О персональных данных"

 

 

 

 

 

 

 

 

 

               Источник: Perimetrix, 2008

В целом операторы персональных данных готовы следовать федеральному закону, однако не до конца понимают, как именно это сделать. Более того, участники рынка считают необходимым не только выполнять положения ФЗ, но и делать больше, чем предписывается, в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что в федеральный закон должно включаться требование, согласно которому предприятия будут обязаны делать информацию об утечках ПД публичной. И только 18,5% специалистов считают, что каждая компания вправе самостоятельно решать, как поступать в случае инцидента. Такое требование, уже действующее в нескольких западных странах, наносит компании значительный ущерб в результате утечки информации. А значит, заставляет уделять безопасности большее внимания и повышает роль ответственных за нее подразделений.

Каковы перспективы?

В целом исследование показало чрезвычайную важность и растущую актуальность защиты персональных данных. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки.

Законодательное регулирование защиты ПД до сих пор практически не работает, а ФЗ "О персональных данных" по-прежнему выдвигает только общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда - просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем российское правительство предпринимает шаги для реанимации федерального закона и для осуществления контроля над операторами персональных данных. Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту - завтра, а послезавтра - спокойно наблюдать за схваткой государства и менее дальновидных компаний.

 

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 05.12.2008 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
SAP® Crystal Reports 2016 WIN INTL NUL
ABBYY FineReader 14 Standard Full
IBM Domino Utility Server Processor Value Unit (PVU) License + SW Subscription & Support 12 Months
Quest Software. TOAD Xpert Edition
GFI LanGuard подписка на 1 год (25-49 лицензий)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
СУБД Oracle "с нуля"
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Мир OLAP и Business Intelligence: новости, статьи, обзоры
Один день системного администратора
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100